Dlaczego Google nazywa Thunderbirda „mniej bezpiecznym”?

58

Jeszcze nigdy nie miałem problemów z używaniem Gmaila z Thunderbirdem, ale próbując użyć klienta darmowego oprogramowania dla Google Talk / Chat / Hangout , odkryłem, że zgodnie z dokumentem Google dotyczącym „mniej bezpiecznych aplikacji” :

Niektóre przykłady aplikacji, które nie obsługują najnowszych standardów bezpieczeństwa, obejmują [...] klientów pocztowych typu Desktop, takich jak Microsoft Outlook i Mozilla Thunderbird.

Następnie Google oferuje całkowicie lub całkowicie bezpieczną zmianę konta w stosunku do niezabezpieczonej („Zezwalaj na mniej bezpieczne aplikacje”).

Dlaczego Google twierdzi, że Thunderbird „nie obsługuje najnowszych standardów bezpieczeństwa”? Czy Google próbuje powiedzieć, że standardowe protokoły, takie jak IMAP, SMTP i POP3, są „mniej bezpiecznymi” sposobami dostępu do skrzynki pocztowej? Czy próbują powiedzieć, że korzystanie z tego oprogramowania przez użytkowników zagraża ich kontom? Albo co?

Raport o zagrożeniach Secunia : Mozilla Thunderbird 24.x (gdzie jest 31?) Mówi: „Niezałatane 11% (1 z 9 porad dotyczących Secunia) [...] Najpoważniejszy niezałatany poradnik Secunia dotyczący Mozilla Thunderbird 24.x, ze wszystkimi zastosowanymi łatami dostawcy , jest oceniany jako wysoce krytyczny », najwyraźniej SA59803 .

Aktualizacja 2 : od 2018 r. Google podwaja się, wysyłając wiadomości z zaproszeniem do wyłączania „mniej bezpiecznego” dostępu:

Powiadomienie Google

Aktualizacja : OAuth2 jest dostępny w Thunderbird 38, z dalszymi poprawkami w późniejszych wersjach, a błąd 849540 został zamknięty. Nadal nie mam jasności co do celów całego tego cyrku. Zrzut ekranu włoskiego serwera Thunderbird 38.1.0 SMTP

Nemo
źródło
2
Jeśli na koncie jest włączone uwierzytelnianie dwuskładnikowe, możesz wygenerować hasło aplikacji dla Thunderbirda.
Ry-
8
To naprawdę wymaga odpowiedzi „Ponieważ Google się myli”.
Joshua
4
Powiązane z Security.SE: Jakie są niebezpieczeństwa związane z zezwoleniem „mniej bezpiecznym aplikacjom” na dostęp do mojego konta Google? (Myślę, że praktyka polegająca na tym, że osoby trzecie widzą twoje dane uwierzytelniające, jest uczciwie nazywana „mniej bezpieczną”, ale nie jest dla mnie całkowicie jasne, jakie korzyści dla bezpieczeństwa daje Google, odmawiając uwierzytelnienia po tym, jak już podałeś swoje dane uwierzytelniające.)
apsillers,

Odpowiedzi:

51

To dlatego, że ci klienci (obecnie) nie obsługują OAuth 2.0 .

... od drugiej połowy 2014 r. zaczniemy stopniowo zwiększać kontrole bezpieczeństwa wykonywane po zalogowaniu się użytkowników do Google. Te dodatkowe kontrole zapewnią, że tylko zamierzony użytkownik będzie miał dostęp do swojego konta, czy to za pośrednictwem przeglądarki, urządzenia czy aplikacji. Zmiany te wpłyną na każdą aplikację, która wysyła nazwę użytkownika i / lub hasło do Google.

Aby lepiej chronić użytkowników, zalecamy uaktualnienie wszystkich aplikacji do OAuth 2.0. Jeśli zdecydujesz się tego nie robić, twoi użytkownicy będą musieli podjąć dodatkowe kroki, aby nadal uzyskiwać dostęp do twoich aplikacji.

...

Podsumowując, jeśli Twoja aplikacja używa obecnie zwykłych haseł do uwierzytelnienia w Google, zdecydowanie zalecamy zminimalizowanie zakłóceń użytkowników poprzez przejście na OAuth 2.0.

Źródło: „Nowe środki bezpieczeństwa będą miały wpływ na starsze aplikacje (inne niż OAuth 2.0)” - Blog bezpieczeństwa online Google

Ƭᴇcʜιᴇ007
źródło
14
Problemem nie jest tak naprawdę bezpieczeństwo, ale kontrola jakości eksploracji danych. Rzeczywiste bezpieczeństwo uniemożliwiłoby Google wydobycie twoich danych osobowych.
fixer1234
19
@ fixer1234 Osobiście uważam, że bardziej chodzi o to, że Google chce zmusić przeglądarkę internetową do włączenia (drugi etap uwierzytelniania), z nadzieją, że w końcu zirytujesz się używaniem tylko klienta poczty internetowej (Google). ;)
ᴇcʜιᴇ007
24
@Nemo „Zwykłe hasła” nie odnosi się do tego, czy hasła są szyfrowane podczas transportu, ale do tego, czy aplikacja innej firmy (w tym przypadku Thunderbird) ma dostęp do hasła do zwykłego tekstu konta Google. Z OAuth tak nie jest. W zależności od tego, jak bezpieczna i wiarygodna jest aplikacja innej firmy, to czy przechowuje ona twoje hasło w postaci zwykłego tekstu, może być krytycznym problemem bezpieczeństwa.
Ajedi32,
10
Ajedi32, rozumiem, co one oznaczają, ale terminologia nie jest jasna. Przy tej odpowiedzi jest to technicznie poprawne, ale IMHO nie jest zadowalające. Jaki sens ma deklarowanie, że „mniej bezpieczne aplikacje” do uzyskiwania dostępu do Gmaila obejmują Thunderbirda, ale nie przeglądarki internetowe, które najczęściej przechowują hasła, czasem nawet nieszyfrowane?
Nemo,
4
Protokół OAuth jest bezpieczniejszy, ponieważ musi jedynie odszyfrować klucz (tj. Hasła w postaci zwykłego tekstu) przez bardzo krótki czas podczas autoryzacji agenta poczty, jest to prawdą niezależnie od tego, czy przeprowadzasz uwierzytelnianie w przeglądarce, czy też samo oprogramowanie poczty obsługuje wbudowany protokół OAuth upoważnienie. Jeśli oprogramowanie pocztowe nie korzysta z OAuth, będziesz musiał praktycznie cały czas odblokowywać klucz, co uniemożliwi cel szyfrowania (również Twoje hasło jest zagrożone za każdym razem, gdy zawieszasz lub hibernujesz komputer z odblokowanym kluczem).
Lie Ryan,
4

Począwszy od Thunderbirda 38 OAuth 2.0 jest obsługiwany, patrz https://support.mozilla.org/en-US/kb/thunderbird-and-gmail i https://support.mozilla.org/en-US/kb/thunderbird- i-gmail

Uwaga : jeśli masz już konto Gmail w Thunderbird, musisz zmienić metodę uwierzytelniania w ustawieniach konta:

W przypadku protokołu IMAP w ustawieniach konta Gmail> Ustawienia serwera> Metoda uwierzytelniania: „OAuth2”

a dla SMTP (wysyłanie) istnieje osobne ustawienie, wybierz Google Mail (smtp.googlemail.com)> Edytuj ponownie metodę uwierzytelniania w OAuth2 .

(Cóż, możesz także usunąć swoje konto Gmail i utworzyć nowe).

Pedi T.
źródło
Czy to wciąż otwarty i standardowy protokół? Ilu klientów e-mail obsługuje to? Jakie są korzyści z bezpieczeństwa? (Twoja odpowiedź jest dobra, ale dopóki nie zobaczę takich punktów, nie uważam, że pierwotne pytanie zostało rozwiązane.)
Nemo
2
Cóż, nie mam pojęcia, jakie problemy związane z bezpieczeństwem mają inne opcje uwierzytelniania, chociaż jestem zainteresowany. Szukałem tylko praktycznego rozwiązania, w jaki sposób mogę nadal używać TB z Gmailem i unikać tego komunikatu ostrzegawczego :-)
Pedi T.