Nogle gange når du leder efter et svar påen ting, du ender med at finde noget andet temmelig overraskende. I givet fald er Googles erklæring om, at Mozilla Thunderbird er mindre sikker, men hvorfor siger de det? Dagens SuperUser Q & A-indlæg har svaret på et forvirret læsers spørgsmål.
Dagens spørgsmål & svar-session kommer til os med tilladelse fra SuperUser - en underafdeling af Stack Exchange, en samfundsdrevet gruppe af spørgsmål og svar på websteder.
Spørgsmålet
SuperUser-læser Nemo vil vide, hvorfor Google betragter Thunderbird som mindre sikker:
Jeg har aldrig haft problemer med at bruge Gmail medThunderbird, men mens jeg prøvede at bruge en gratis softwareklient til Google Talk / Chat / Hangout, opdagede jeg følgende uventede udsagn. I henhold til Googles dokument om Mindre sikre apps:
- Nogle eksempler på apps, der ikke understøtter de nyeste sikkerhedsstandarder, inkluderer […] Desktop-mail-klienter som Microsoft Outlook og Mozilla Thunderbird.
Google tilbyder derefter en alt-eller-intet sikkert kontra ikke sikkert kontoskift (“Tillad mindre sikre apps ”).
Hvorfor siger Google, at Thunderbird ikke understøtterde nyeste sikkerhedsstandarder? Forsøger Google at sige, at standardprotokoller som IMAP, SMTP og POP3 er mindre sikre måder at få adgang til en postkasse? Forsøger de at sige, at de aktiviteter, som brugerne bruger med softwaren, bringer deres konti i fare, eller hvad?
Secunia's sårbarhedsrapport om Mozilla Thunderbird 24.x siger:
- Udelagt 11 procent (1 ud af 9 Secunia-rådgivere)[…] Den mest alvorlige unpatchede Secunia-rådgivning, der påvirker Mozilla Thunderbird 24.x, med alle sælgerlapper anvendt, er bedømt som meget kritisk (tilsyneladende SA59803).
Hvorfor siger Google, Mozilla Thunderbird er mindre sikker?
Svaret
SuperUser-bidragyder Techie007 har svaret til os:
Det skyldes, at disse klienter (i øjeblikket) ikke understøtter OAuth 2.0. Ifølge Google:
- Fra og med anden halvdel af 2014 vil vi gøre detstart gradvist med at øge sikkerhedskontrollen, der udføres, når brugerne logger på Google. Disse yderligere kontroller vil sikre, at kun den tilsigtede bruger har adgang til deres konto, hvad enten det er gennem en browser, enhed eller et program. Disse ændringer påvirker ethvert program, der sender et brugernavn og / eller adgangskode til Google.
- For bedre at beskytte dine brugere anbefaler vi digopgrader alle dine applikationer til OAuth 2.0. Hvis du vælger ikke at gøre det, bliver dine brugere forpligtet til at tage ekstra skridt for at fortsætte med at få adgang til dine applikationer.
- Kort sagt, hvis din ansøgning i øjeblikket bruger almindelige adgangskoder til at autentificere til Google, opfordrer vi dig kraftigt til at minimere brugerforstyrrelser ved at skifte til OAuth 2.0.
Kilde: Nye sikkerhedsforanstaltninger påvirker ældre (ikke-OAuth 2.0) applikationer (Google Online sikkerhedsblog)
Har du noget at tilføje til forklaringen? Lyd fra i kommentarerne. Vil du læse flere svar fra andre teknisk-erfarne Stack Exchange-brugere? Se den fulde diskussionstråd her.
