Google neden Thunderbird'ü “daha ​​az güvenli” olarak adlandırıyor?


58

Henüz Thunderbird ile Gmail'i kullanırken hiç sorun yaşamadım, ancak Google Talk / Chat / Hangout için ücretsiz bir yazılım istemcisi kullanmaya çalışırken , Google'ın "daha az güvenli uygulamalar" belgesine göre şunu keşfettim :

En son güvenlik standartlarını desteklemeyen bazı uygulama örnekleri [...] Microsoft Outlook ve Mozilla Thunderbird gibi masaüstü posta istemcileridir.

Google daha sonra güvenli ya da güvenli olmayan bir hesap geçişi ("Daha az güvenli uygulamalara izin ver") vs.

Google neden Thunderbird’ün "en son güvenlik standartlarını desteklemediğini" söylüyor? Google, IMAP, SMTP ve POP3 gibi standart protokollerin bir posta kutusuna erişmek için "daha az güvenli" yollar olduğunu söylemeye çalışıyor mu? Kullanıcıların bu yazılımı kullanmasının hesaplarını tehlikeye attığını söylemeye mi çalışıyorlar ? Ya da ne?

Secunia'nın Güvenlik Açığı Raporu: Mozilla Thunderbird 24.x (31 nerede?), «Yama% 11 (9 Secunia tavsiyesinin 1'i) (... , Kesinlikle kritik », görünüşte SA59803 olarak derecelendirildi .

Güncelleme 2 : 2018’den itibaren Google, "daha az güvenli" erişimi devre dışı bırakmaya davet etmek için ileti göndererek iki katına çıktı:

Google bildirimi

Güncelleme : OAuth2, Thunderbird 38'de mevcut olup daha sonraki sürümlerde daha fazla düzeltme yapılmıştır ve hata 849540 kapatılmıştır. Bütün bu sirklerin hedefleri hakkında hala net değilim. İtalyan Thunderbird 38.1.0 SMTP sunucusu ekran görüntüsü



2
Hesapta etkin iki faktörlü kimlik doğrulaması varsa, Thunderbird için uygulamaya özel bir şifre oluşturabilirsiniz.
Ry-

8
Bu gerçekten "Google yanlış olduğu için" cevabını çağırıyor.
Joshua,

4
Security.SE ile ilgili: S: "Daha az güvenli uygulamaların" Google hesabıma erişmesine izin vermenin tehlikeleri nelerdir? (Üçüncü tarafların kimlik bilgilerinizi görmelerine izin verme uygulamasına oldukça "daha az güvenli" denildiğini düşünüyorum, ancak kimlik bilgilerinizi zaten verdikten sonra Google'ın kimlik doğrulamasını reddederek sağladığı güvenlik avantajı bana tamamen açık değil .)
apsillers

Yanıtlar:


51

Çünkü bu istemciler (şu anda) OAuth 2.0'ı desteklemiyor .

... 2014’ün ikinci yarısından başlayarak, kullanıcılar Google’a giriş yaptıklarında yapılan güvenlik kontrollerini aşamalı olarak artırmaya başlayacağız. Bu ek kontroller, bir tarayıcı, cihaz veya uygulama aracılığıyla, yalnızca amaçlanan kullanıcının hesabına erişebilmesini sağlayacaktır. Bu değişiklikler Google’a bir kullanıcı adı ve / veya şifre gönderen herhangi bir uygulamayı etkileyecektir.

Kullanıcılarınızı daha iyi korumak için tüm uygulamalarınızı OAuth 2.0'a yükseltmenizi öneririz. Bunu yapmamayı seçerseniz, uygulamalarınıza erişmeye devam etmek için kullanıcılarınızın ek adımlar atmaları gerekecektir.

...

Özetle, uygulamanız Google’ın kimliğini doğrulamak için şu anda düz şifreler kullanıyorsa, OAuth 2.0’a geçerek kullanıcı kesintilerini en aza indirmenizi önemle tavsiye ederiz.

Kaynak: "Yeni Güvenlik Önlemleri Eski (OAuth 2.0 Olmayan) Uygulamaları Etkileyecek" - Google Online Güvenlik Blogu


14
Sorun gerçekten güvenlik değil, veri madenciliği için kalite kontrolü. Gerçek güvenlik, Google’ın kişisel verilerinizi incelemesini engelliyor olabilir.
fixer1234

19
@ fixer1234 Şahsen, Google’ın bir web tarayıcısını dahil etmeye zorlamak istediğini düşünüyorum (kimlik doğrulamasında 2. adım), sonunda yalnızca (Google’ın) web posta istemcisini kullanmaktan rahatsız olacağınızı umuyorum. ;)
Ƭᴇcʜιᴇ007

24
@Hayır "Düz şifreler", şifrelerin geçiş sırasında şifrelenip şifrelenmediğini değil, üçüncü taraf uygulamanın (bu durumda, Thunderbird) düz metin Google Hesabı şifrenize erişip erişmediğini ifade eder. OAuth ile değil. Üçüncü taraf uygulamasının ne kadar güvenli ve ne kadar güvenilir olduğuna bağlı olarak, düz metin şifrenizi saklayıp depolamaması kritik bir güvenlik sorunu olabilir.
Ajedi32

10
Ajedi32, ne anlama geldiklerini anlıyorum, ancak terminoloji açık değil. Bu cevapta, teknik olarak doğru, ancak IMHO tatmin edici değil. Gmail'e erişmek için "daha az güvenli uygulamalar" ilan etmenin anlamı, Thunderbird'ü içeriyor, ancak çoğu zaman şifreli olmayan, bazen şifreli bile olmayan web tarayıcıları?
Nemo

4
OAuth daha güvenlidir, çünkü posta aracısını yetkilendirirken yalnızca anahtarlığın (yani düz metindeki şifrelerin) şifresini çözmesi gerekir, kimlik doğrulamasını tarayıcıda veya posta yazılımı dahili OAuth'u destekliyorsa geçerlidir yetki. Posta yazılımı OAuth kullanmıyorsa, anahtarlığın her zaman pratik olarak kilidini açmanız gerekir; böylece şifreleme amacını ortadan kaldırırsınız (ayrıca, anahtarlığı açıkken bilgisayarı her askıya aldığınızda veya hazırda beklettiğinizde şifreniz de risk altındadır).
Yalan Ryan

4

Thunderbird 38 OAuth 2.0 ile başlayarak, https://support.mozilla.org/en-US/kb/thunderbird-and-gmail ve https://support.mozilla.org/en-US/kb/thunderbird- ve-gmail

Not : Thunderbird'de mevcut bir gmail hesabınız varsa, hesap ayarlarınızdaki kimlik doğrulama yöntemini değiştirmeniz gerekir:

GMail Hesabı ayarlarındaki IMAP için> Sunucu Ayarları> Kimlik doğrulama yöntemi: "OAuth2"

ve SMTP (gönderme) için ayrı bir ayar var, Google Mail'i (smtp.googlemail.com)> Kimlik Doğrulama yöntemini tekrar OAuth2 olarak seçin .

(GMail hesabınızı kaldırabilir ve yeni bir tane de oluşturabilirsiniz.)


Bu hala açık ve standart bir protokol mü? Kaç tane e-posta istemcisi destekliyor? Güvenlik yararları nelerdir? (Cevabınız iyi, ancak bu gibi hususlara değinilene kadar orjinal sorunun çözüldüğünü düşünmüyorum.)
Nemo

2
Kendimi ilgilenmeme rağmen, diğer kimlik doğrulama seçeneklerinin güvenlik sorunları hakkında hiçbir fikrim yok. Sadece GMail ile TB kullanmaya devam edebilmem ve bu uyarı mesajından kaçınmam için pratik bir çözüm arıyordum :-)
Pedi T.
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.