Чому Google називає Thunderbird "менш захищеним"?

У мене ніколи не було проблем із використанням Gmail із Thunderbird, але, намагаючись використовувати клієнт безкоштовного програмного забезпечення для Google Talk / Chat / Hangout, я виявив, що згідно з документом Google про "менш безпечні додатки" :

Деякі приклади програм, які не підтримують новітні стандарти безпеки, включають [...] поштові клієнти настільних ПК, такі як Microsoft Outlook та Mozilla Thunderbird.

Тоді Google пропонує перемикач облікового запису " все або нічого" проти "незахищеного " ("Дозволити менш захищені програми").

Чому Google каже, що Thunderbird "не підтримує новітні стандарти безпеки"? Чи намагається Google сказати, що стандартні протоколи, такі як IMAP, SMTP та POP3, є "менш безпечними" способами доступу до поштової скриньки? Чи намагаються вони сказати, що використання цього програмного забезпечення піддається ризику їхніх облікових записів? Або те, що?

Звіт про вразливість Secunia : Mozilla Thunderbird 24.x (де 31?) Говорить про «Unpatched 11% (1 з 9 рекомендацій щодо Secunia) [...] Найсуворіший безрецептурний дорадник Secunia, що впливає на Mozilla Thunderbird 24.x, із усіма застосованими патчами постачальників , оцінюється високо критично », мабуть, SA59803 .

Оновлення 2 : станом на 2018 рік, Google подвоїв спади, надсилаючи повідомлення, щоб запросити вимкнути "менш безпечний" доступ:

Оновлення : OAuth2 доступний у Thunderbird 38, з подальшими виправленнями в пізніших випусках, а помилка 849540 була закрита. Мені все ще не зрозуміло цілей всього цього цирку.

— Немо
джерело

Відповідне питання Bugzilla.

— Боб

Якщо у вас увімкнено двофакторну автентифікацію в обліковому записі, ви можете створити для програми Thunderbird пароль для програми.

— Ри-

Це дійсно вимагає відповіді "Тому що Google помиляється".

— Джошуа

Пов'язано з Security.SE: Які небезпеки дозволяють "менш захищеним програмам" отримувати доступ до мого облікового запису Google? (Я думаю, що практика дозволяти стороннім особам бачити ваші облікові дані справедливо називається "менш захищеною", але мені абсолютно незрозуміло, яку перевагу безпеці дає Google, відмовляючи автентифікацію після того, як ви вже надали свої дані.)

— apsillers

Відповіді:

Це тому, що ці клієнти (на даний момент) не підтримують OAuth 2.0 .

... починаючи з другої половини 2014 року, ми почнемо поступово збільшувати перевірки безпеки, які здійснюються, коли користувачі входять у Google. Ці додаткові перевірки гарантують, що лише призначений користувач має доступ до свого облікового запису, незалежно від браузера, пристрою чи програми. Ці зміни вплинуть на будь-яку програму, яка надсилає Google ім’я користувача та / або пароль.

Щоб краще захистити своїх користувачів, рекомендуємо оновити всі свої програми до OAuth 2.0. Якщо ви не вирішите цього робити, від ваших користувачів буде потрібно вжити додаткових заходів, щоб надалі отримувати доступ до ваших програм.

...

Підсумовуючи це, якщо ваша програма наразі використовує звичайні паролі для аутентифікації на Google, ми наполегливо радимо вам мінімізувати зриви користувачів, перейшовши на OAuth 2.0.

Джерело: "Нові заходи безпеки вплинуть на старіші програми (не OAuth 2.0)" - Блог онлайн-безпеки Google

— Ƭᴇcʜιᴇ007
джерело

Ця проблема насправді не є безпекою, це контроль якості для видобутку даних. Реальна безпека заважає Google видобувати ваші особисті дані.

— fixer1234

@ fixer1234 Особисто я вважаю, що мова йде більше про те, щоб Google хотів змусити веб-браузер задіяти (другий крок аутентифікації) з надією, що з часом ви будете роздратовані використовувати лише (Google) веб-поштовий клієнт. ;)

— Ƭᴇcʜιᴇ007

@Nemo "Звичайні паролі" не стосуються того, чи паролі зашифровані під час транзиту, а про те, чи має стороннє додаток (у цьому випадку Thunderbird) доступ до вашого простого тексту паролем облікового запису Google. З OAuth це не так. Залежно від того, наскільки безпечним та наскільки надійним є стороннє додаток, чи зберігає він звичайний текстовий пароль, може бути критичною проблемою безпеки.

— Ajedi32

Ajedi32, я розумію, що вони означають, але термінологія не зрозуміла. У цій відповіді це технічно правильно, але ІМХО не задовільно. Який сенс оголошувати "менш безпечні програми" для доступу до Gmail, включають Thunderbird, але не веб-браузери, які більшість разів зберігають паролі, іноді навіть не зашифровані?

— Немо

OAuth є більш безпечним, оскільки йому потрібно лише розшифрувати введення ключів (тобто паролі у простому тексті) протягом дуже короткої тривалості, поки ви авторизуєте поштовий агент, це правда, чи здійснюєте ви автентифікацію в браузері або якщо поштове програмне забезпечення підтримує вбудований OAuth дозволу. Якщо поштове програмне забезпечення не використовує OAuth, вам потрібно буде розблоковувати брелок практично весь час, тим самим перемагаючи мету шифрування (також ваш пароль піддається ризику кожного разу, коли ви призупиняєте або перезимуєте комп'ютер із розблокованою брелоком).

— Лі Лі Раян

Починаючи з Thunderbird 38 підтримується OAuth 2.0, див. Https://support.mozilla.org/en-US/kb/thunderbird-and-gmail та https://support.mozilla.org/en-US/kb/thunderbird- і-gmail

Примітка . Якщо у Thunderbird у вас є обліковий запис gmail, вам потрібно змінити метод аутентифікації у налаштуваннях вашого облікового запису:

Для IMAP в налаштуваннях облікового запису GMail> Налаштування сервера> Метод аутентифікації: "OAuth2"

а для SMTP (надсилання) є окремий параметр, виберіть Google Mail (smtp.googlemail.com)> Редагувати метод автентифікації знову на OAuth2 .

(Ну, ви також можете видалити свій обліковий запис GMail та створити новий.)

— Педі Т.
джерело

Це все ще відкритий і стандартний протокол? Скільки клієнтів електронної пошти підтримують його? Які його переваги для безпеки? (Ваша відповідь хороша, але, поки я не побачу таких питань, я не вважаю вирішене питання оригіналу.)

— Немо,

Ну, я не маю уявлення, які питання безпеки мають інші параметри аутентифікації, хоча я сам зацікавлений. Я шукав лише практичне рішення, як я можу продовжувати використовувати туберкульоз із GMail та уникати цього попереджувального повідомлення :-)

— Педі Т.