Иногда, когда вы ищете ответ на один вопрос, вы в конечном итоге обнаруживаете что-то довольно удивительное. В качестве примера можно привести заявление Google о том, что Mozilla Thunderbird менее безопасен, но почему они так говорят? В сегодняшнем посте SuperUser Q&A есть ответ на вопрос сбитого с толку читателя.
Сегодняшняя сессия вопросов и ответов проходит благодаря SuperUser - подразделению Stack Exchange, группы веб-сайтов вопросов и ответов, управляемой сообществом.
Вопрос
Читатель SuperUser Немо хочет знать, почему Google считает Thunderbird менее безопасным:
У меня никогда не было проблем с использованием Gmail с Thunderbird, но при попытке использовать бесплатный программный клиент для Google Talk / Chat / Hangout я обнаружил следующее неожиданное утверждение. Согласно с Документ Google о менее безопасных приложениях :
- Некоторые примеры приложений, не поддерживающих последние стандарты безопасности, включают почтовые клиенты […] для настольных ПК, такие как Microsoft Outlook и Mozilla Thunderbird.
Затем Google предлагает принцип "все или ничего" переключение между безопасным и небезопасным аккаунтом (“ Разрешить менее безопасные приложения » ).
Почему Google говорит, что Thunderbird не поддерживает последние стандарты безопасности? Пытается ли Google сказать, что стандартные протоколы, такие как IMAP, SMTP и POP3, менее безопасны для доступа к почтовому ящику? Они пытаются сказать, что действия, которые пользователи совершают с помощью программного обеспечения, подвергают риску их учетные записи или что?
Отчет Secunia об уязвимостях Mozilla Thunderbird 24.x говорит:
- Не исправлено 11 процентов (1 из 9 рекомендаций Secunia) […] Наиболее серьезное сообщение Secunia без исправлений, затрагивающее Mozilla Thunderbird 24.x, со всеми установленными исправлениями поставщика, оценивается как очень критическое ( очевидно SA59803 ).
Почему Google утверждает, что Mozilla Thunderbird менее безопасен?
Ответ
У участника SuperUser Techie007 есть для нас ответ:
Это потому, что эти клиенты (в настоящее время) не поддерживают OAuth 2.0 . Согласно Google:
- Начиная со второй половины 2014 года мы начнем постепенно увеличивать количество проверок безопасности, выполняемых при входе пользователей в Google. Эти дополнительные проверки гарантируют, что только предполагаемый пользователь будет иметь доступ к своей учетной записи через браузер, устройство или приложение. Эти изменения повлияют на любое приложение, которое отправляет в Google имя пользователя и / или пароль.
- Чтобы лучше защитить ваших пользователей, мы рекомендуем вам обновить все свои приложения до OAuth 2.0. Если вы решите не делать этого, ваши пользователи должны будут предпринять дополнительные шаги, чтобы продолжить доступ к вашим приложениям.
- Таким образом, если ваше приложение в настоящее время использует простые пароли для аутентификации в Google, мы настоятельно рекомендуем вам свести к минимуму неудобства пользователей, переключившись на OAuth 2.0.
Источник: Новые меры безопасности повлияют на старые (не OAuth 2.0) приложения (Блог Google Online Security)
Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь .
