Czasami, gdy szukasz odpowiedzi napo pierwsze, w końcu znajdujesz coś raczej zaskakującego. W tym przypadku stwierdzenie Google, że Mozilla Thunderbird jest mniej bezpieczny, ale dlaczego tak mówią? Dzisiejszy post SuperUser zawiera pytania i odpowiedzi na zdezorientowane pytanie czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - podgrupy Stack Exchange, grupy stron z pytaniami i odpowiedziami kierowanych przez społeczność.
Pytanie
Czytelnik SuperUser, Nemo, chce wiedzieć, dlaczego Google uważa Thunderbirda za mniej bezpieczny:
Nigdy nie miałem problemów z używaniem GmailaThunderbird, ale próbując użyć klienta darmowego oprogramowania do Google Talk / Chat / Hangout, odkryłem następujące nieoczekiwane oświadczenie. Zgodnie z dokumentem Google dotyczącym mniej bezpiecznych aplikacji:
- Niektóre przykłady aplikacji, które nie obsługują najnowszych standardów bezpieczeństwa, obejmują […] klienty poczty stacjonarnej, takie jak Microsoft Outlook i Mozilla Thunderbird.
Następnie Google oferuje całkowicie bezpieczną lub niezabezpieczoną zmianę konta („Zezwalaj na mniej bezpieczne aplikacje ”).
Dlaczego Google twierdzi, że Thunderbird nie obsługujenajnowsze standardy bezpieczeństwa? Czy Google próbuje powiedzieć, że standardowe protokoły, takie jak IMAP, SMTP i POP3, są mniej bezpiecznymi sposobami dostępu do skrzynki pocztowej? Czy próbują powiedzieć, że działania, które użytkownicy wykonują przy użyciu oprogramowania, narażają ich konta na ryzyko?
Raport podatności Secunii na Mozilla Thunderbird 24.x mówi:
- Niezałatane 11 procent (1 z 9 porad dotyczących Secunia)[…] Najpoważniejszy niezałatany raport Secunia dotyczący Mozilli Thunderbird 24.x, ze wszystkimi zastosowanymi łatami dostawcy, został oceniony jako bardzo krytyczny (najwyraźniej SA59803).
Dlaczego Google twierdzi, że Mozilla Thunderbird jest mniej bezpieczny?
Odpowiedź
Współtwórca SuperUser Techie007 ma dla nas odpowiedź:
Jest tak, ponieważ ci klienci (obecnie) nie obsługują OAuth 2.0. Według Google:
- Począwszy od drugiej połowy 2014 roku będziemyzacznij stopniowo zwiększać kontrole bezpieczeństwa wykonywane, gdy użytkownicy logują się do Google. Te dodatkowe kontrole zapewnią, że tylko zamierzony użytkownik będzie miał dostęp do swojego konta, czy to za pośrednictwem przeglądarki, urządzenia lub aplikacji. Zmiany te wpłyną na każdą aplikację, która wysyła nazwę użytkownika i / lub hasło do Google.
- Aby lepiej chronić użytkowników, zalecamyuaktualnij wszystkie swoje aplikacje do OAuth 2.0. Jeśli zdecydujesz się tego nie robić, twoi użytkownicy będą musieli podjąć dodatkowe kroki, aby nadal uzyskiwać dostęp do twoich aplikacji.
- Podsumowując, jeśli Twoja aplikacja używa obecnie zwykłych haseł do uwierzytelnienia w Google, gorąco zachęcamy do zminimalizowania zakłóceń użytkowników poprzez przejście na OAuth 2.0.
Źródło: Nowe środki bezpieczeństwa będą miały wpływ na starsze (inne niż OAuth 2.0) aplikacje (Blog bezpieczeństwa online Google)
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych zaawansowanych użytkowników Stack Exchange? Sprawdź pełny wątek dyskusji tutaj.
