Іноді, коли ти шукаєш відповіді на одне, ти в кінцевому підсумку знаходиш щось інше, досить дивовижне. Справа в тому, заява Google про те, що Mozilla Thunderbird менш безпечна, але чому вони так кажуть? Сьогоднішня публікація запитань та запитань SuperUser містить відповідь на запитання читача.
Сьогоднішня сесія запитань і відповідей надійшла до нас люб’язно від SuperUser - підрозділу Stack Exchange, угруповання веб-сайтів із питань та відповідей на основі спільноти.
Питання
Читач SuperUser Nemo хоче знати, чому Google вважає Thunderbird менш безпечним:
У мене ніколи не було проблем із використанням Gmail із Thunderbird, але під час спроби використовувати клієнт безкоштовного програмного забезпечення для Google Talk / Chat / Hangout я виявив наступне несподіване твердження. Відповідно до Документ Google про менш безпечні програми :
- Деякі приклади програм, які не підтримують найновіші стандарти безпеки, включають […] настільних поштових клієнтів, таких як Microsoft Outlook та Mozilla Thunderbird.
Тоді Google пропонує все або нічого перемикач між захищеним та незахищеним обліковим записом (“ Дозволити менш безпечні програми " ).
Чому Google каже, що Thunderbird не підтримує найновіші стандарти безпеки? Чи намагається Google сказати, що стандартні протоколи, такі як IMAP, SMTP та POP3, є менш безпечними способами доступу до поштової скриньки? Чи намагаються вони сказати, що діяльність, яку користувачі проводять із програмним забезпеченням, піддає їхні рахунки ризику чи що?
Звіт про вразливість Secunia на Mozilla Thunderbird 24.x каже:
- Невідпаковані 11 відсотків (1 з 9 рекомендацій щодо Secunia) […] Найсуворіший недопрацьований довідник щодо Secunia, що впливає на Mozilla Thunderbird 24.x, з усіма застосованими патчами постачальників, оцінюється як дуже критичний ( мабуть SA59803 ).
Чому Google каже, що Mozilla Thunderbird менш безпечна?
Відповідь
Співавтор SuperUser Techie007 має для нас відповідь:
Це тому, що ці клієнти (на даний момент) не підтримують OAuth 2.0 . За даними Google:
- Починаючи з другої половини 2014 року, ми почнемо поступово збільшувати перевірку безпеки, виконувану під час входу користувачів до Google. Ці додаткові перевірки гарантують, що лише призначений користувач має доступ до свого облікового запису через браузер, пристрій чи програму. Ці зміни вплинуть на будь-яку програму, яка надсилає ім’я користувача та / або пароль до Google.
- Щоб краще захистити своїх користувачів, ми рекомендуємо оновити всі ваші програми до OAuth 2.0. Якщо ви вирішите цього не робити, ваші користувачі повинні будуть вжити додаткових кроків, щоб продовжувати отримувати доступ до ваших програм.
- Підводячи підсумок, якщо у вашій програмі наразі використовуються звичайні паролі для автентифікації до Google, ми настійно рекомендуємо вам мінімізувати порушення роботи користувачів, переключившись на OAuth 2.0.
Джерело: Нові заходи безпеки вплинуть на попередні програми (не OAuth 2.0) (Блог Google Online Security)
Є що додати до пояснення? Звук у коментарях. Хочете прочитати більше відповідей від інших досвідчених користувачів Stack Exchange? Ознайомтесь із повним обговоренням тут .
