Czasami, gdy szukasz odpowiedzi na jedną rzecz, w końcu znajdujesz coś innego, raczej zaskakującego. Przykładem może być stwierdzenie Google, że Mozilla Thunderbird jest mniej bezpieczna, ale dlaczego tak mówią? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedź na pytanie zagubionego czytelnika.
Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - części Stack Exchange, grupy witryn internetowych z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser Nemo chce wiedzieć, dlaczego Google uważa Thunderbirda za mniej bezpieczny:
Nigdy nie miałem problemów z używaniem Gmaila z Thunderbirdem, ale próbując użyć klienta bezpłatnego oprogramowania do Google Talk / czatu / Hangouta, odkryłem następujące nieoczekiwane stwierdzenie. Według Dokument Google dotyczący mniej bezpiecznych aplikacji :
- Niektóre przykłady aplikacji, które nie obsługują najnowszych standardów bezpieczeństwa, obejmują klienty pocztowe […] Desktop, takie jak Microsoft Outlook i Mozilla Thunderbird.
Google oferuje wtedy wszystko albo nic bezpieczna i niezabezpieczona zmiana konta (“ Zezwalaj na mniej bezpieczne aplikacje ” ).
Dlaczego Google twierdzi, że Thunderbird nie obsługuje najnowszych standardów bezpieczeństwa? Czy Google próbuje powiedzieć, że standardowe protokoły, takie jak IMAP, SMTP i POP3, są mniej bezpiecznymi sposobami dostępu do skrzynki pocztowej? Czy próbują powiedzieć, że czynności wykonywane przez użytkowników z oprogramowaniem narażają ich konta na ryzyko, czy co?
Raport podatności Secunia na Mozilla Thunderbird 24.x mówi:
- Niezałatane 11 procent (1 z 9 zaleceń Secunia) […] Najpoważniejsze niezałatane zalecenie Secunia dotyczące Mozilla Thunderbird 24.x, z zastosowanymi wszystkimi łatkami dostawców, jest oceniane jako wysoce krytyczne ( najwyraźniej SA59803 ).
Dlaczego Google twierdzi, że Mozilla Thunderbird jest mniej bezpieczna?
Odpowiedź
Pomocnik SuperUser Techie007 ma dla nas odpowiedź:
Dzieje się tak, ponieważ ci klienci (obecnie) nie obsługują OAuth 2.0 . Według Google:
- Od drugiej połowy 2014 r. Będziemy stopniowo zwiększać kontrolę bezpieczeństwa przeprowadzaną podczas logowania się użytkowników do Google. Te dodatkowe kontrole zapewniają, że tylko zamierzony użytkownik ma dostęp do swojego konta za pośrednictwem przeglądarki, urządzenia lub aplikacji. Te zmiany wpłyną na każdą aplikację, która wysyła nazwę użytkownika i / lub hasło do Google.
- Aby lepiej chronić swoich użytkowników, zalecamy uaktualnienie wszystkich aplikacji do protokołu OAuth 2.0. Jeśli zdecydujesz się tego nie robić, użytkownicy będą musieli podjąć dodatkowe kroki, aby nadal mieć dostęp do aplikacji.
- Podsumowując, jeśli Twoja aplikacja używa obecnie zwykłych haseł do uwierzytelniania w Google, zdecydowanie zachęcamy do zminimalizowania zakłóceń pracy użytkowników poprzez przejście na OAuth 2.0.
Źródło: Nowe środki bezpieczeństwa będą miały wpływ na starsze aplikacje (inne niż OAuth 2.0) (Blog Google na temat bezpieczeństwa w Internecie)
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych zaawansowanych technicznie użytkowników Stack Exchange? Sprawdź cały wątek dyskusji tutaj .
