לפעמים כשאתה מחפש תשובה לדבר אחד, בסופו של דבר אתה מוצא משהו אחר די מפתיע. לדוגמה, ההצהרה של גוגל כי Mozilla Thunderbird פחות מאובטחת, אבל למה הם אומרים את זה? בפוסט שאלות ותשובות של SuperUser של היום יש את התשובה לשאלת הקורא המבולבלת.
מושב השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה של Stack Exchange, קיבוץ מונחה קהילה של אתרי שאלות ותשובות.
השאלה
קורא ה- SuperUser נמו רוצה לדעת מדוע גוגל רואה את Thunderbird פחות מאובטחת:
מעולם לא נתקלתי בבעיות בשימוש ב- Gmail עם Thunderbird, אך תוך כדי ניסיון להשתמש בלקוח תוכנה חינמי עבור Google Talk / Chat / Hangout גיליתי את ההצהרה הבלתי צפויה הבאה. לפי המסמך של גוגל על אפליקציות פחות מאובטחות :
- כמה דוגמאות לאפליקציות שאינן תומכות בתקני האבטחה העדכניים ביותר כוללות […] לקוחות דואר שולחניים כמו Microsoft Outlook ו- Mozilla Thunderbird.
לאחר מכן גוגל מציעה הכל או כלום מעבר מאובטח לעומת לא מאובטח (“ אפשר לאפליקציות פחות מאובטחות " ).
מדוע גוגל אומרת ש- Thunderbird אינו תומך בתקני האבטחה העדכניים ביותר? האם גוגל מנסה לומר שפרוטוקולים סטנדרטיים כמו IMAP, SMTP ו- POP3 הם דרכים פחות מאובטחות לגשת לתיבת דואר? האם הם מנסים לומר שהפעילויות שמשתמשים עוסקים בתוכנה מסכנות את חשבונותיהם או מה?
דוח הפגיעות של Secunia על Mozilla Thunderbird 24.x אומר:
- 11 אחוזים שלא הותאמו (1 מתוך 9 ייעוצים של Secunia) […] הייעוץ החמור ביותר ללא תיקון של Secunia המשפיע על Mozilla Thunderbird 24.x, עם כל תיקוני הספקים, זוכה לדירוג קריטי ביותר ( ככל הנראה SA59803 ).
מדוע גוגל אומרת כי Mozilla Thunderbird פחות מאובטח?
התשובה
לתורם SuperUser Techie007 יש את התשובה בשבילנו:
הסיבה לכך היא שלקוחות אלה (כרגע) אינם תומכים OAuth 2.0 . על פי גוגל:
- החל מהמחצית השנייה של 2014, נתחיל להגדיל בהדרגה את בדיקות האבטחה שבוצעו כאשר משתמשים נכנסים לגוגל. בדיקות נוספות אלה יבטיחו כי רק למשתמש המיועד תהיה גישה לחשבונו, בין אם באמצעות דפדפן, מכשיר או יישום. שינויים אלה ישפיעו על כל יישום ששולח שם משתמש ו / או סיסמה לגוגל.
- כדי להגן טוב יותר על המשתמשים שלך, אנו ממליצים לך לשדרג את כל היישומים שלך ל- OAuth 2.0. אם תבחר שלא לעשות זאת, המשתמשים שלך יידרשו לנקוט בצעדים נוספים בכדי לשמור על הגישה ליישומים שלך.
- לסיכום, אם היישום שלך משתמש כרגע בסיסמאות פשוטות כדי לאמת את גוגל, אנו ממליצים לך למזער שיבוש משתמשים על ידי מעבר ל- OAuth 2.0.
מָקוֹר: אמצעי אבטחה חדשים ישפיעו על יישומים ישנים יותר (שאינם OAuth 2.0) (בלוג האבטחה המקוון של Google)
יש לך מה להוסיף להסבר? נשמע בתגובות. רוצה לקרוא תשובות נוספות ממשתמשי Stack Exchange אחרים המתמצאים בטכנולוגיה? עיין כאן בשרשור הדיון המלא .
