Tại sao Google gọi Thunderbird thì kém an toàn hơn?

Tôi chưa bao giờ gặp sự cố khi sử dụng Gmail với Thunderbird, nhưng trong khi thử sử dụng ứng dụng khách phần mềm miễn phí cho Google Talk / Trò chuyện / Hangout, tôi đã phát hiện ra điều đó, theo tài liệu của Google về "ứng dụng kém an toàn" :

Một số ví dụ về các ứng dụng không hỗ trợ các tiêu chuẩn bảo mật mới nhất bao gồm [...] Ứng dụng thư khách trên máy tính để bàn như Microsoft Outlook và Mozilla Thunderbird.

Google sau đó cung cấp một chuyển đổi tài khoản an toàn hoặc không có gì an toàn so với chuyển đổi tài khoản không an toàn ("Cho phép các ứng dụng kém an toàn hơn").

Tại sao Google nói Thunderbird "không hỗ trợ các tiêu chuẩn bảo mật mới nhất"? Có phải Google đang cố gắng nói rằng các giao thức tiêu chuẩn như IMAP, SMTP và POP3 là những cách "kém an toàn" hơn để truy cập hộp thư? Có phải họ đang cố gắng nói rằng việc người dùng sử dụng phần mềm đó khiến tài khoản của họ gặp rủi ro? Hay cái gì?

Báo cáo về tính dễ bị tổn thương của Secunia : Mozilla Thunderbird 24.x (ở đâu là 31?) Cho biết «Chưa hoàn thành 11% (1 trong 9 lời khuyên của Secunia) [...] Tư vấn Secunia chưa được chỉnh sửa nghiêm trọng nhất ảnh hưởng đến Mozilla Thunderbird 24.x, với tất cả các bản vá nhà cung cấp được áp dụng , được đánh giá Rất quan trọng », rõ ràng là SA59804 .

Cập nhật 2 : kể từ năm 2018, Google tăng gấp đôi bằng cách gửi tin nhắn để mời vô hiệu hóa quyền truy cập "kém an toàn":

Cập nhật : OAuth2 có sẵn trong Thunderbird 38, với các bản sửa lỗi tiếp theo trong các bản phát hành sau và lỗi 849540 đã bị đóng. Tôi vẫn chưa rõ về mục tiêu của tất cả rạp xiếc này.

— Nemo
nguồn

Vấn đề Bugzilla có liên quan.

— Bob

Nếu bạn đã bật xác thực hai yếu tố trên tài khoản, bạn có thể tạo mật khẩu dành riêng cho ứng dụng cho Thunderbird.

— Ry- 23/12/14

Điều này thực sự kêu gọi câu trả lời "Bởi vì Google sai."

— Joshua

Liên quan đến Bảo mật.SE: Những mối nguy hiểm của việc cho phép các ứng dụng kém an toàn hơn thế nào là Truy cập vào tài khoản Google của tôi? (Tôi nghĩ rằng việc thực hành cho các bên thứ ba nhìn thấy thông tin của bạn được khá được gọi là "kém an toàn", nhưng nó hoàn toàn không rõ ràng cho tôi những gì lợi ích an ninh của Google cho phép bằng cách từ chối xác thực sau khi bạn đã cho đi thông tin của bạn.)

— apsillers

Câu trả lời:

Đó là vì những khách hàng đó (hiện tại) không hỗ trợ OAuth 2.0 .

... bắt đầu từ nửa cuối năm 2014, chúng tôi sẽ bắt đầu tăng dần các kiểm tra bảo mật được thực hiện khi người dùng đăng nhập vào Google. Các kiểm tra bổ sung này sẽ đảm bảo rằng chỉ người dùng dự định mới có quyền truy cập vào tài khoản của họ, cho dù thông qua trình duyệt, thiết bị hoặc ứng dụng. Những thay đổi này sẽ ảnh hưởng đến bất kỳ ứng dụng nào gửi tên người dùng và / hoặc mật khẩu cho Google.

Để bảo vệ người dùng của bạn tốt hơn, chúng tôi khuyên bạn nên nâng cấp tất cả các ứng dụng của mình lên OAuth 2.0. Nếu bạn chọn không làm như vậy, người dùng của bạn sẽ được yêu cầu thực hiện các bước bổ sung để tiếp tục truy cập ứng dụng của bạn.

...

Tóm lại, nếu ứng dụng của bạn hiện đang sử dụng mật khẩu đơn giản để xác thực với Google, chúng tôi khuyến khích bạn giảm thiểu sự gián đoạn của người dùng bằng cách chuyển sang OAuth 2.0.

Nguồn: "Các biện pháp bảo mật mới sẽ ảnh hưởng đến các ứng dụng cũ hơn (không phải OAuth 2.0)" - Blog bảo mật trực tuyến của Google

— Ƭᴇcʜιᴇ007
nguồn

Vấn đề không thực sự bảo mật, đó là kiểm soát chất lượng để khai thác dữ liệu. Bảo mật thực sự sẽ ngăn Google khai thác dữ liệu cá nhân của bạn.

— fixer1234

@ fixer1234 Cá nhân tôi nghĩ rằng Google muốn buộc một trình duyệt web phải tham gia (bước thứ 2 trong xác thực), với hy vọng rằng cuối cùng bạn sẽ khó chịu khi chỉ sử dụng ứng dụng thư khách trên web (của Google). ;)

— Ƭᴇcʜιᴇ007

@Nemo "Mật khẩu đơn giản" không đề cập đến việc mật khẩu có được mã hóa quá cảnh hay không, nhưng liệu ứng dụng của bên thứ ba (trong trường hợp này là Thunderbird) có quyền truy cập vào mật khẩu Tài khoản Google văn bản đơn giản của bạn hay không. Với OAuth thì không. Tùy thuộc vào mức độ an toàn và mức độ tin cậy của ứng dụng bên thứ ba, việc nó có lưu mật khẩu văn bản đơn giản của bạn hay không có thể là một vấn đề bảo mật quan trọng.

— Ajedi32

Ajedi32, tôi hiểu ý của họ, nhưng thuật ngữ không rõ ràng. Về câu trả lời này, nó đúng về mặt kỹ thuật, nhưng IMHO không thỏa đáng. Có ý nghĩa gì khi tuyên bố "ứng dụng kém an toàn" để truy cập gmail bao gồm Thunderbird, nhưng không phải trình duyệt web mà hầu hết các lần lưu trữ mật khẩu, đôi khi thậm chí không được mã hóa?

— Nemo

OAuth an toàn hơn vì chỉ cần giải mã khóa (tức là mật khẩu bằng văn bản thuần túy) trong thời gian rất ngắn trong khi bạn ủy quyền cho tác nhân thư, điều này đúng cho dù bạn thực hiện xác thực trong trình duyệt hay nếu chính phần mềm thư hỗ trợ OAuth. ủy quyền. Nếu phần mềm thư không sử dụng OAuth, bạn sẽ cần mở khóa thực tế mọi lúc, do đó sẽ đánh bại mục đích mã hóa (mật khẩu của bạn cũng có nguy cơ mỗi khi bạn tạm dừng hoặc ngủ đông máy tính khi mở khóa).

— Lie Ryan

Bắt đầu với Thunderbird 38 OAuth 2.0 được hỗ trợ, hãy xem https://support.mozilla.org/en-US/kb/thunderbird-and-gmail và https://support.mozilla.org/en-US/kb/thunderbird- và gmail

Lưu ý : Nếu bạn có tài khoản gmail hiện có trong Thunderbird, bạn phải thay đổi phương thức xác thực trong cài đặt tài khoản của mình:

Đối với IMAP trong cài đặt Tài khoản GMail> Cài đặt máy chủ> Phương thức xác thực: "OAuth2"

và đối với SMTP (gửi) có một cài đặt riêng, chọn Google Mail (smtp.googlemail.com)> Chỉnh sửa lại phương thức Xác thực thành OAuth2 .

(Chà, bạn cũng có thể xóa tài khoản Gmail của mình và tạo tài khoản mới.)

— Pedi T
nguồn

Đây vẫn là một giao thức mở và tiêu chuẩn? Có bao nhiêu khách hàng email hỗ trợ nó? Lợi ích bảo mật của nó là gì? (Câu trả lời của bạn là tốt nhưng cho đến khi tôi thấy những điểm như vậy được giải quyết, tôi không xem xét câu hỏi ban đầu được giải quyết.)

— Nemo

Chà, tôi không biết vấn đề bảo mật nào mà các tùy chọn xác thực khác gặp phải, mặc dù bản thân tôi rất quan tâm. Tôi chỉ tìm kiếm một giải pháp thực tế để có thể tiếp tục sử dụng TB với GMail và tránh thông báo cảnh báo này :-)

— Pedi T.