ทำไม Google จึงเรียก Thunderbird ว่า“ ปลอดภัยน้อยกว่า”

58

ฉันไม่เคยมีปัญหาในการใช้ Gmail กับ Thunderbird แต่ในขณะที่พยายามใช้ไคลเอ็นต์ซอฟต์แวร์ฟรีสำหรับ Google Talk / แชท / แฮงเอาท์ฉันพบว่าตามเอกสารของ Google ใน "แอปที่ปลอดภัยน้อย" :

ตัวอย่างของแอพที่ไม่รองรับมาตรฐานความปลอดภัยล่าสุด ได้แก่ [... ] โปรแกรมรับส่งเมลเดสก์ท็อปเช่น Microsoft Outlook และ Mozilla Thunderbird

Google เสนอสวิตช์บัญชีทั้งหมดที่ปลอดภัยหรือไม่ปลอดภัย ("อนุญาตแอปที่ปลอดภัยน้อย")

ทำไม Google ถึงพูดว่าธันเดอร์เบิร์ด "ไม่รองรับมาตรฐานความปลอดภัยล่าสุด" Google พยายามที่จะบอกว่าโปรโตคอลมาตรฐานเช่น IMAP, SMTP และ POP3 เป็น "วิธีที่ปลอดภัยน้อยกว่า" ในการเข้าถึงกล่องจดหมายหรือไม่? พวกเขากำลังพยายามจะบอกว่าการใช้งานของผู้ใช้ที่ทำจากซอฟต์แวร์ที่ทำให้บัญชีของพวกเขามีความเสี่ยง? หรืออะไร?

รายงานช่องโหว่ของ Secunia : Mozilla Thunderbird 24.x (อยู่ที่ 31?) กล่าวว่า« Unpatched 11% (1 จาก 9 คำแนะนำของ Secunia) [... ] คำแนะนำ Secunia ที่ไม่ได้แก้ไขที่ร้ายแรงที่สุดที่กระทบกับ Mozilla Thunderbird 24.x โดยมีการใช้แพตช์ของผู้ขายทั้งหมด ถูกจัดอันดับความสำคัญสูง»เห็นได้ชัด SA59803

อัปเดต 2 : ตั้งแต่ปีพ. ศ. 2561 เป็นต้นไป Google ดับเบิลดาวน์โดยการส่งข้อความเพื่อเชิญให้ปิดการเข้าถึง "น้อยปลอดภัย":

การแจ้งเตือนของ Google

อัปเดต : OAuth2 พร้อมใช้งานในธันเดอร์เบิร์ด 38 พร้อมการแก้ไขเพิ่มเติมในรุ่นต่อมาและข้อผิดพลาด 849540ได้ถูกปิด ฉันยังไม่ชัดเจนเกี่ยวกับเป้าหมายของคณะละครสัตว์ทั้งหมดนี้ ภาพหน้าจอเซิร์ฟเวอร์ SMTP ของ Windows Thunderbird 38.1.0

email  security  thunderbird  gmail  imap 
Nemo
แหล่งที่มา
7
Bob
2
หากคุณเปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยในบัญชีคุณสามารถสร้างรหัสผ่านเฉพาะแอปพลิเคชันสำหรับธันเดอร์เบิร์ด
Ry-
8
สิ่งนี้เรียกร้องให้มีคำตอบ "เพราะ Google ผิด"
Joshua
4
เกี่ยวข้องจาก Security.SE: อะไรคืออันตรายของการอนุญาตให้ "แอพที่ปลอดภัยน้อยกว่า" เข้าถึงบัญชี Google ของฉัน (ฉันคิดว่าการให้บุคคลที่สามมองเห็นข้อมูลรับรองของคุณเรียกว่า "ปลอดภัยน้อยกว่า" แต่ก็ไม่ชัดเจนสำหรับฉันเกี่ยวกับความปลอดภัยที่ Google มอบให้โดยการปฏิเสธการตรวจสอบสิทธิ์หลังจากที่คุณมอบข้อมูลรับรองของคุณไปแล้ว)
apsillers

คำตอบ:

51

มันเป็นเพราะลูกค้าเหล่านั้น (ปัจจุบัน) ไม่สนับสนุนOAuth 2.0

... เริ่มต้นในช่วงครึ่งหลังของปี 2014 เราจะเริ่มเพิ่มการตรวจสอบความปลอดภัยที่ดำเนินการเมื่อผู้ใช้ลงชื่อเข้าใช้ Google การตรวจสอบเพิ่มเติมเหล่านี้จะทำให้มั่นใจได้ว่าผู้ใช้ที่ตั้งใจไว้เท่านั้นที่สามารถเข้าถึงบัญชีของพวกเขาไม่ว่าจะผ่านเบราว์เซอร์อุปกรณ์หรือแอปพลิเคชัน การเปลี่ยนแปลงเหล่านี้จะมีผลกับแอปพลิเคชันใด ๆ ที่ส่งชื่อผู้ใช้และ / หรือรหัสผ่านไปยัง Google

เพื่อปกป้องผู้ใช้ของคุณดีขึ้นเราขอแนะนำให้คุณอัปเกรดแอปพลิเคชันทั้งหมดเป็น OAuth 2.0 หากคุณเลือกที่จะไม่ทำเช่นนั้นผู้ใช้ของคุณจะต้องทำตามขั้นตอนเพิ่มเติมเพื่อเข้าถึงแอปพลิเคชันของคุณต่อไป

...

โดยสรุปหากแอปพลิเคชันของคุณใช้รหัสผ่านธรรมดาเพื่อตรวจสอบสิทธิ์กับ Google เราขอแนะนำให้คุณลดการหยุดชะงักของผู้ใช้โดยการเปลี่ยนเป็น OAuth 2.0

ที่มา: "มาตรการรักษาความปลอดภัยใหม่จะมีผลต่อแอปพลิเคชันรุ่นเก่า (ไม่ใช่ OAuth 2.0)" - บล็อกความปลอดภัยออนไลน์ของ Google

Ƭᴇcʜιᴇ007
แหล่งที่มา
14
ปัญหาไม่ปลอดภัยจริง ๆ แต่เป็นการควบคุมคุณภาพสำหรับการขุดข้อมูล การรักษาความปลอดภัยที่แท้จริงจะป้องกัน Google จากการขุดข้อมูลส่วนตัวของคุณ
fixer1234
19
@ fixer1234 โดยส่วนตัวแล้วฉันคิดว่ามันเป็นเรื่องเกี่ยวกับ Google ที่ต้องการบังคับให้เว็บเบราว์เซอร์เข้ามามีส่วนร่วม (ขั้นตอนที่สองในการรับรองความถูกต้อง) โดยหวังว่าในที่สุดคุณจะได้รับความรำคาญ ;)
Ƭᴇcʜιᴇ007
24
@Nemo "รหัสผ่านธรรมดา" ไม่ได้อ้างถึงว่ารหัสผ่านถูกเข้ารหัสระหว่างทางหรือไม่ว่าแอปพลิเคชันของบุคคลที่สาม (ในกรณีนี้คือธันเดอร์เบิร์ด) สามารถเข้าถึงรหัสผ่านบัญชี Google แบบข้อความธรรมดาของคุณได้หรือไม่ ด้วย OAuth มันทำไม่ได้ ขึ้นอยู่กับความปลอดภัยและความน่าเชื่อถือของแอปของบุคคลที่สามว่าการจัดเก็บรหัสผ่านข้อความธรรมดาของคุณหรือไม่นั้นอาจเป็นปัญหาด้านความปลอดภัยที่สำคัญ
Ajedi32
10
Ajedi32 ฉันเข้าใจสิ่งที่พวกเขาหมายถึง แต่คำศัพท์ไม่ชัดเจน ในคำตอบนี้มันถูกต้องทางเทคนิค แต่ IMHO ไม่พอใจ การประกาศ "แอปที่ปลอดภัยน้อยกว่า" ในการเข้าถึง gmail นั้นรวมถึง Thunderbird แล้ว แต่ไม่ใช่เว็บเบราว์เซอร์ซึ่งส่วนใหญ่เก็บรหัสผ่านเป็นบางครั้งบางครั้งก็ไม่ได้เข้ารหัส
Nemo
4
OAuth มีความปลอดภัยมากกว่าเนื่องจากต้องการถอดรหัส keyring (เช่นรหัสผ่านในข้อความล้วน) ในช่วงเวลาสั้น ๆ ในขณะที่คุณอนุญาตตัวแทนเมลนี่เป็นความจริงไม่ว่าคุณจะทำการพิสูจน์ตัวตนในเบราว์เซอร์หรือถ้าซอฟต์แวร์อีเมลรองรับ OAuth ภายในตัว การอนุญาต หากซอฟต์แวร์จดหมายไม่ได้ใช้ OAuth คุณจะต้องใช้กุญแจไขเพื่อปลดล็อคตลอดเวลาดังนั้นการเอาชนะจุดประสงค์ของการเข้ารหัส (เช่นรหัสผ่านของคุณมีความเสี่ยงทุกครั้งที่คุณระงับหรือไฮเบอร์เนตคอมพิวเตอร์ด้วยการปลดล็อคพวงกุญแจ)
Lie Ryan
4

เริ่มต้นด้วย Thunderbird 38 OAuth 2.0 รองรับดูhttps://support.mozilla.org/en-US/kb/thunderbird-and-gmail และhttps://support.mozilla.org/en-US/kb/thunderbird- และ Gmail

หมายเหตุ : หากคุณมีบัญชี gmail อยู่ใน Thunderbird คุณจะต้องเปลี่ยนวิธีการตรวจสอบสิทธิ์ในการตั้งค่าบัญชีของคุณ:

สำหรับ IMAP ในการตั้งค่าบัญชี GMail> การตั้งค่าเซิร์ฟเวอร์> วิธีการรับรองความถูกต้อง: "OAuth2"

และสำหรับ SMTP (ส่ง) มีการตั้งค่าที่แยกจากกันเลือก Google Mail (smtp.googlemail.com)> วิธีการแก้ไขรับรองความถูกต้องอีกครั้งเพื่อOAuth2

(คุณสามารถลบบัญชี GMail ของคุณและสร้างบัญชีใหม่ได้)

Pedi T.
แหล่งที่มา
นี่ยังเป็นโปรโตคอลเปิดและมาตรฐานหรือไม่ ไคลเอนต์อีเมลมีกี่รองรับ ประโยชน์ด้านความปลอดภัยคืออะไร (คำตอบของคุณเป็นสิ่งที่ดี แต่จนกว่าฉันจะเห็นประเด็นต่าง ๆ ดังกล่าวฉันจะไม่พิจารณาคำถามเดิมที่ได้รับการแก้ไข)
Nemo
2
ฉันไม่ทราบว่ามีตัวเลือกการตรวจสอบความปลอดภัยอื่น ๆ อีกหรือไม่แม้ว่าฉันจะสนใจตัวเองก็ตาม ฉันแค่มองหาวิธีแก้ปัญหาที่ใช้งานได้จริง ๆ ว่าฉันจะใช้ TB กับ GMail ต่อไปได้อย่างไรและหลีกเลี่ยงข้อความเตือนนี้ :-)
Pedi T.
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.