บางครั้งเมื่อคุณกำลังมองหาคำตอบสำหรับสิ่งหนึ่งคุณจะพบสิ่งอื่นที่ค่อนข้างน่าประหลาดใจ ในกรณีที่ Google บอกว่า Mozilla Thunderbird มีความปลอดภัยน้อยกว่า แต่ทำไมพวกเขาถึงพูดอย่างนั้น? โพสต์ถาม & ตอบ SuperUser วันนี้มีคำตอบสำหรับคำถามของผู้อ่านที่สับสน
เซสชันคำถามและคำตอบของวันนี้มาถึงเราโดยได้รับความอนุเคราะห์จาก SuperUser ซึ่งเป็นแผนกย่อยของ Stack Exchange ซึ่งเป็นการรวมกลุ่มเว็บไซต์ถาม & ตอบโดยชุมชน
คำถาม
ผู้อ่าน SuperUser Nemo ต้องการทราบว่าเหตุใด Google จึงพิจารณาว่า Thunderbird มีความปลอดภัยน้อยกว่า:
ฉันไม่เคยมีปัญหาในการใช้ Gmail กับ Thunderbird แต่ในขณะที่พยายามใช้ไคลเอนต์ซอฟต์แวร์ฟรีสำหรับ Google Talk / Chat / Hangout ฉันพบข้อความที่ไม่คาดคิดดังต่อไปนี้ ตาม เอกสารของ Google เกี่ยวกับแอปที่มีความปลอดภัยน้อย :
- ตัวอย่างบางส่วนของแอปที่ไม่รองรับมาตรฐานความปลอดภัยล่าสุด ได้แก่ ไคลเอนต์เมลบนเดสก์ท็อป […] เช่น Microsoft Outlook และ Mozilla Thunderbird
จากนั้น Google ให้บริการทั้งหมดหรือไม่มีเลย การสลับบัญชีที่ปลอดภัยและไม่ปลอดภัย (“ อนุญาตแอปที่มีความปลอดภัยน้อย” ).
เหตุใด Google จึงบอกว่า Thunderbird ไม่รองรับมาตรฐานความปลอดภัยล่าสุด Google พยายามบอกว่าโปรโตคอลมาตรฐานเช่น IMAP, SMTP และ POP3 เป็นวิธีที่ปลอดภัยน้อยกว่าในการเข้าถึงกล่องจดหมายใช่หรือไม่ พวกเขาพยายามบอกว่ากิจกรรมที่ผู้ใช้มีส่วนร่วมกับซอฟต์แวร์ทำให้บัญชีของพวกเขาตกอยู่ในความเสี่ยงหรืออะไร?
รายงานช่องโหว่ของ Secunia เมื่อวันที่ Mozilla Thunderbird 24.x พูดว่า:
- ไม่ได้แพตช์ 11 เปอร์เซ็นต์ (1 ใน 9 คำแนะนำของ Secunia) […] คำแนะนำ Secunia ที่ยังไม่ได้แพตช์ที่รุนแรงที่สุดที่ส่งผลกระทบต่อ Mozilla Thunderbird 24.x โดยใช้แพตช์ของผู้จำหน่ายทั้งหมดได้รับการจัดอันดับที่สำคัญมาก ( เห็นได้ชัดว่า SA59803 ).
เหตุใด Google จึงกล่าวว่า Mozilla Thunderbird มีความปลอดภัยน้อยกว่า
คำตอบ
ผู้สนับสนุน SuperUser Techie007 มีคำตอบให้เรา:
เป็นเพราะไคลเอนต์เหล่านั้น (ในปัจจุบัน) ไม่รองรับ OAuth 2.0 . อ้างอิงจาก Google:
- ในช่วงครึ่งหลังของปี 2014 เราจะค่อยๆเพิ่มการตรวจสอบความปลอดภัยเมื่อผู้ใช้เข้าสู่ระบบ Google การตรวจสอบเพิ่มเติมเหล่านี้จะช่วยให้มั่นใจได้ว่ามีเพียงผู้ใช้ที่ต้องการเข้าถึงบัญชีของตนไม่ว่าจะผ่านเบราว์เซอร์อุปกรณ์หรือแอปพลิเคชัน การเปลี่ยนแปลงเหล่านี้จะส่งผลกระทบต่อแอปพลิเคชันที่ส่งชื่อผู้ใช้และ / หรือรหัสผ่านไปยัง Google
- เพื่อปกป้องผู้ใช้ของคุณให้ดีขึ้นเราขอแนะนำให้คุณอัปเกรดแอปพลิเคชันทั้งหมดของคุณเป็น OAuth 2.0 หากคุณเลือกที่จะไม่ทำเช่นนั้นผู้ใช้ของคุณจะต้องดำเนินการเพิ่มเติมเพื่อที่จะเข้าถึงแอปพลิเคชันของคุณต่อไป
- โดยสรุปหากปัจจุบันแอปพลิเคชันของคุณใช้รหัสผ่านธรรมดาในการตรวจสอบสิทธิ์ Google เราขอแนะนำให้คุณลดการหยุดชะงักของผู้ใช้โดยเปลี่ยนไปใช้ OAuth 2.0
ที่มา: มาตรการรักษาความปลอดภัยใหม่จะส่งผลต่อแอปพลิเคชันรุ่นเก่า (ที่ไม่ใช่ OAuth 2.0) (บล็อกความปลอดภัยออนไลน์ของ Google)
มีสิ่งที่จะเพิ่มคำอธิบาย? ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange ที่เชี่ยวชาญด้านเทคโนโลยีคนอื่น ๆ หรือไม่? ดูกระทู้สนทนาฉบับเต็มได้ที่นี่ .
