Manchmal, wenn Sie nach einer Antwort sucheneine Sache, Sie finden am Ende etwas anderes eher überraschend. Ein Beispiel dafür ist die Aussage von Google, dass Mozilla Thunderbird weniger sicher ist, aber warum sagen sie das? Der heutige SuperUser-Frage- und Antwortbeitrag enthält die Antwort auf die Frage eines verwirrten Lesers.
Die heutige Frage & Antwort-Sitzung wird von SuperUser bereitgestellt - einer Unterteilung von Stack Exchange, einer von der Community gesteuerten Gruppierung von Q & A-Websites.
Die Frage
SuperUser-Leser Nemo möchte wissen, warum Google Thunderbird für weniger sicher hält:
Ich hatte noch nie Probleme mit Google MailThunderbird, aber als ich versuchte, einen kostenlosen Software-Client für Google Talk / Chat / Hangout zu verwenden, entdeckte ich die folgende unerwartete Aussage. In Googles Dokument zu weniger sicheren Apps heißt es:
- Einige Beispiele für Apps, die nicht die neuesten Sicherheitsstandards unterstützen, sind […] Desktop-Mail-Clients wie Microsoft Outlook und Mozilla Thunderbird.
Google bietet dann einen sicheren oder nicht sicheren Kontowechsel an („Weniger sichere Apps zulassen “).
Warum sagt Google, dass Thunderbird nicht unterstütztdie neuesten Sicherheitsstandards? Versucht Google zu sagen, dass Standardprotokolle wie IMAP, SMTP und POP3 weniger sichere Möglichkeiten sind, auf ein Postfach zuzugreifen? Versuchen sie zu sagen, dass die Aktivitäten, die Benutzer mit der Software ausführen, ihre Konten gefährden, oder was?
Der Sicherheitslückenbericht von Secunia zu Mozilla Thunderbird 24.x lautet:
- 11 Prozent nicht gepatcht (1 von 9 Secunia-Hinweisen)[…] Die schwerwiegendste nicht gepatchte Secunia-Empfehlung, die Mozilla Thunderbird 24.x betrifft, wird mit allen angewendeten Hersteller-Patches als äußerst kritisch eingestuft (anscheinend SA59803).
Warum ist laut Google Mozilla Thunderbird weniger sicher?
Die Antwort
Der SuperUser-Mitwirkende Techie007 hat die Antwort für uns:
Dies liegt daran, dass diese Clients (derzeit) OAuth 2.0 nicht unterstützen. Laut Google:
- Ab der zweiten Jahreshälfte 2014 werden wirErhöhen Sie schrittweise die Sicherheitsüberprüfungen, die durchgeführt werden, wenn sich Benutzer bei Google anmelden. Diese zusätzlichen Überprüfungen stellen sicher, dass nur der vorgesehene Benutzer über einen Browser, ein Gerät oder eine Anwendung Zugriff auf sein Konto hat. Diese Änderungen wirken sich auf alle Anwendungen aus, die einen Benutzernamen und / oder ein Passwort an Google senden.
- Um Ihre Benutzer besser zu schützen, empfehlen wir IhnenAktualisieren Sie alle Ihre Anwendungen auf OAuth 2.0. Wenn Sie dies nicht tun, müssen Ihre Benutzer zusätzliche Schritte ausführen, um weiterhin auf Ihre Anwendungen zugreifen zu können.
- Wenn Ihre Anwendung derzeit nur Passwörter zur Authentifizierung bei Google verwendet, empfehlen wir Ihnen nachdrücklich, die Benutzerunterbrechung durch den Wechsel zu OAuth 2.0 zu minimieren.
Quelle: Neue Sicherheitsmaßnahmen wirken sich auf ältere (nicht von OAuth 2.0 stammende) Anwendungen aus (Google Online Security Blog)
Möchten Sie der Erklärung etwas hinzufügen? Ton aus in den Kommentaren. Möchten Sie weitere Antworten von technisch versierten Stack Exchange-Benutzern lesen? Den vollständigen Diskussionsthread finden Sie hier.
