Почему Google называет Thunderbird «менее безопасным»?

58

У меня никогда не было проблем с использованием Gmail с Thunderbird, но, пытаясь использовать бесплатный программный клиент для Google Talk / Chat / Hangout, я обнаружил, что, согласно документу Google о «менее безопасных приложениях» :

Некоторые примеры приложений, которые не поддерживают новейшие стандарты безопасности, включают [...] почтовые клиенты для настольных компьютеров, такие как Microsoft Outlook и Mozilla Thunderbird.

Затем Google предлагает безопасный или небезопасный переключатель учетных записей « все или ничего» («Разрешить менее безопасные приложения»).

Почему Google говорит, что Thunderbird «не поддерживает последние стандарты безопасности»? Google пытается сказать, что стандартные протоколы, такие как IMAP, SMTP и POP3, являются «менее безопасными» способами доступа к почтовому ящику? Они пытаются сказать, что использование пользователями этого программного обеспечения подвергает риску их учетные записи? Или что?

В отчете об уязвимости Secunia : Mozilla Thunderbird 24.x (где 31?) Говорится: «Не исправлено 11% (1 из 9 рекомендаций Secunia) [...] Самый серьезный не исправленный совет Secunia, затрагивающий Mozilla Thunderbird 24.x, со всеми примененными исправлениями поставщиков , оценивается как крайне критичный », по-видимому, SA59803 .

Обновление 2 : с 2018 года Google удваивается, отправляя сообщения с просьбой отключить «менее безопасный» доступ:

Уведомление Google

Обновление : OAuth2 доступен в Thunderbird 38 с дальнейшими исправлениями в более поздних выпусках, и ошибка 849540 была закрыта. Мне до сих пор не ясно о целях всего этого цирка. Скриншот итальянского сервера Thunderbird 38.1.0 SMTP

Nemo
источник
2
Если в учетной записи включена двухфакторная аутентификация, вы можете сгенерировать специфичный для приложения пароль для Thunderbird.
Ry-
8
Это действительно требует ответа «Потому что Google не прав».
Джошуа
4
Связано с Security.SE: Какова опасность предоставления «менее безопасным приложениям» доступа к моей учетной записи Google? (Я думаю, что практика предоставления третьим сторонам
доступа к вашим учетным

Ответы:

51

Это потому, что эти клиенты (в настоящее время) не поддерживают OAuth 2.0 .

... начиная со второй половины 2014 года мы начнем постепенно увеличивать количество проверок безопасности, выполняемых при входе пользователей в Google. Эти дополнительные проверки гарантируют, что только предполагаемый пользователь имеет доступ к своей учетной записи, будь то через браузер, устройство или приложение. Эти изменения коснутся любого приложения, которое отправляет имя пользователя и / или пароль в Google.

Чтобы лучше защитить своих пользователей, мы рекомендуем вам обновить все ваши приложения до OAuth 2.0. Если вы решите не делать этого, ваши пользователи должны будут предпринять дополнительные шаги для продолжения доступа к вашим приложениям.

...

Таким образом, если ваше приложение в настоящее время использует простые пароли для аутентификации в Google, мы настоятельно рекомендуем вам свести к минимуму нарушение работы пользователей, перейдя на OAuth 2.0.

Источник: «Новые меры безопасности будут влиять на старые приложения (не OAuth 2.0)» - Блог о безопасности в Интернете, Google

Ƭᴇcʜιᴇ007
источник
14
На самом деле проблема не в безопасности, а в контроле качества добычи данных. Реальная безопасность будет препятствовать Google майнить ваши личные данные.
fixer1234
19
@ fixer1234 Лично я думаю, что больше о том, что Google хочет заставить подключиться веб-браузер (2-й шаг в аутентификации), в надежде, что в конечном итоге вы будете раздражены использованием только (почтового клиента) Google. ;)
Ƭᴇcʜιᴇ007
24
@Nemo «Простые пароли» относится не к тому, шифруются ли пароли при передаче, а к тому, имеет ли стороннее приложение (в данном случае Thunderbird) доступ к вашему обычному текстовому паролю учетной записи Google. С OAuth это не так. В зависимости от того, насколько безопасно и надежно стороннее приложение, хранит ли оно ваш простой текстовый пароль или нет, это может быть критической проблемой безопасности.
Ajedi32
10
Ajedi32, я понимаю, что они имеют в виду, но терминология не ясна. На этот ответ это технически правильно, но ИМХО не удовлетворительно. Какой смысл объявлять «менее безопасные приложения» для доступа к gmail, включая Thunderbird, но не веб-браузеры, которые в большинстве случаев хранят пароли, иногда даже не зашифрованные?
Немо
4
OAuth более безопасен, потому что ему нужно только очень короткое время дешифровать набор ключей (т. Е. Пароли в виде простого текста), пока вы авторизуете почтовый агент, это верно, независимо от того, выполняете ли вы аутентификацию в браузере или если само почтовое программное обеспечение поддерживает встроенный OAuth авторизации. Если почтовое программное обеспечение не использует OAuth, вам понадобится разблокировать брелок практически все время, тем самым отказавшись от цели шифрования (также ваш пароль подвергается риску каждый раз, когда вы приостанавливаете или переводите компьютер в спящий режим с разблокированным брелоком).
Ли Райан
4

Начиная с Thunderbird 38 поддерживается OAuth 2.0, см. Https://support.mozilla.org/en-US/kb/thunderbird-and-gmail и https://support.mozilla.org/en-US/kb/thunderbird-. и в Gmail

Примечание . Если у вас есть учетная запись Gmail в Thunderbird, вам нужно изменить метод аутентификации в настройках вашей учетной записи:

Для IMAP в настройках учетной записи GMail> Настройки сервера> Метод аутентификации: «OAuth2»

а для SMTP (отправка) существует отдельная настройка, выберите Google Mail (smtp.googlemail.com)> снова измените метод аутентификации на OAuth2 .

(Ну, вы также можете удалить свою учетную запись GMail и создать новую.)

Педи Т.
источник
Это все еще открытый и стандартный протокол? Сколько почтовых клиентов поддерживают это? Каковы его преимущества безопасности? (Ваш ответ хороший, но пока я не увижу такие вопросы, я не считаю, что первоначальный вопрос решен.)
Nemo
2
Ну, я понятия не имею, какие проблемы с безопасностью имеют другие параметры аутентификации, хотя мне самому интересно. Я искал только практическое решение, как я могу продолжать использовать туберкулез с GMail и избежать этого предупреждающего сообщения :-)
Педи Т.