Czasami, gdy szukasz odpowiedzi na jedno, kończysz na znalezieniu czegoś zupełnie zaskakującego. Przykładowo, oświadczenie Google, że Mozilla Thunderbird jest mniej bezpieczna, ale dlaczego tak mówią? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedź na pytanie zagubionego czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, społecznościowego forum z pytaniami i odpowiedziami.
Czytnik SuperUser Nemo chce wiedzieć, dlaczego Google uważa Thunderbirda za mniej bezpieczny:
Nigdy nie miałem problemów z korzystaniem z Gmaila w Thunderbirdzie, ale próbując użyć klienta wolnego oprogramowania do Google Talk / Chat / Hangout, odkryłem następujące nieoczekiwane stwierdzenie. Zgodnie z dokumentem Google dotyczącym mniej bezpiecznych aplikacji:
- Niektóre przykłady aplikacji, które nie obsługują najnowszych standardów bezpieczeństwa to [...] Desktopowe klienty pocztowe, takie jak Microsoft Outlook i Mozilla Thunderbird.
Google następnie oferuje bezpieczny lub niezabezpieczony przełącznik "wszystko albo nic" ("Zezwalaj na mniej bezpieczne aplikacje ").
Dlaczego Google twierdzi, że Thunderbird nie obsługuje najnowszych standardów bezpieczeństwa? Czy Google stara się powiedzieć, że standardowe protokoły takie jak IMAP, SMTP i POP3 są mniej bezpiecznymi sposobami uzyskania dostępu do skrzynki pocztowej? Czy próbują powiedzieć, że działania użytkowników angażujące się w oprogramowanie narażają ich konta na ryzyko?
Raport podatności Secunia na Mozilla Thunderbird 24.x mówi:
- Niedopasowane 11 procent (1 z 9 porad Secunia) [...] Najsurowsze niezarejestrowane porady Secunia dotyczące Mozilli Thunderbird 24.x, ze wszystkimi zastosowanymi łatami dostawców, są oceniane jako wysoce krytyczne (najwyraźniej SA59803).
Dlaczego Google twierdzi, że Mozilla Thunderbird jest mniej bezpieczna?
Pomocnik SuperUser Techie007 ma odpowiedź dla nas:
Dzieje się tak dlatego, że ci klienci (obecnie) nie obsługują OAuth 2.0. Według Google:
- Począwszy od drugiej połowy 2014 r. Zaczniemy stopniowo zwiększać kontrole bezpieczeństwa przeprowadzane, gdy użytkownicy logują się do Google. Te dodatkowe kontrole zapewnią, że tylko zamierzony użytkownik ma dostęp do swojego konta, czy to przez przeglądarkę, urządzenie czy aplikację. Zmiany te będą miały wpływ na każdą aplikację, która prześle nazwę użytkownika i / lub hasło do Google.
- Aby lepiej chronić użytkowników, zalecamy uaktualnienie wszystkich aplikacji do OAuth 2.0. Jeśli nie zdecydujesz się na to, twoi użytkownicy będą musieli podjąć dodatkowe kroki, aby nadal mieć dostęp do twoich aplikacji.
- Podsumowując, jeśli aplikacja używa obecnie zwykłych haseł do uwierzytelnienia w Google, stanowczo zachęcamy do zminimalizowania zakłóceń dla użytkowników poprzez przejście na OAuth 2.0.
Źródło: nowe środki bezpieczeństwa będą miały wpływ na starsze aplikacje (inne niż OAuth 2.0) (blog Google Online Security)
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.