Dlaczego Google twierdzi, że program Thunderbird jest mniej bezpieczny?
Czasami, gdy szukasz odpowiedzi na jedno, kończysz na znalezieniu czegoś zupełnie zaskakującego. Na przykład, oświadczenie Google, że Mozilla Thunderbird jest mniej bezpieczna, ale dlaczego tak mówią? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedź na pytanie zagubionego czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser Nemo chce wiedzieć, dlaczego Google uważa Thunderbirda za mniej bezpieczny:
Nigdy nie miałem problemów z korzystaniem z Gmaila w Thunderbird, ale próbując użyć klienta wolnego oprogramowania do Google Talk / Chat / Hangout, odkryłem następujące nieoczekiwane stwierdzenie. Zgodnie z dokumentem Google dotyczącym mniej bezpiecznych aplikacji:
- Niektóre przykłady aplikacji, które nie obsługują najnowszych standardów bezpieczeństwa, to [...] Desktopowe klienty pocztowe, takie jak Microsoft Outlook i Mozilla Thunderbird.
Google następnie oferuje bezpieczny lub niezabezpieczony przełącznik "wszystko albo nic" ("Zezwalaj na mniej bezpieczne aplikacje ").
Dlaczego Google twierdzi, że Thunderbird nie obsługuje najnowszych standardów bezpieczeństwa? Czy Google stara się powiedzieć, że standardowe protokoły takie jak IMAP, SMTP i POP3 są mniej bezpiecznymi sposobami uzyskania dostępu do skrzynki pocztowej? Czy próbują powiedzieć, że działania użytkowników angażujące się w oprogramowanie narażają ich konta na ryzyko??
Raport podatności Secunia na Mozilla Thunderbird 24.x mówi:
- Niedopasowane 11 procent (1 z 9 porad Secunia) [...] Najostrzejsze niezałatane porady Secunia dotyczące Mozilli Thunderbird 24.x, ze wszystkimi zastosowanymi łatami dostawców, są oceniane jako bardzo krytyczne (podobno SA59803).
Dlaczego Google twierdzi, że Mozilla Thunderbird jest mniej bezpieczna??
Odpowiedź
Pomocnik SuperUser Techie007 ma odpowiedź dla nas:
Dzieje się tak dlatego, że ci klienci (obecnie) nie obsługują protokołu OAuth 2.0. Według Google:
- Począwszy od drugiej połowy 2014 r. Zaczniemy stopniowo zwiększać kontrole bezpieczeństwa przeprowadzane, gdy użytkownicy logują się do Google. Te dodatkowe kontrole zapewnią, że tylko zamierzony użytkownik ma dostęp do swojego konta, czy to przez przeglądarkę, urządzenie czy aplikację. Zmiany te będą miały wpływ na każdą aplikację, która prześle nazwę użytkownika i / lub hasło do Google.
- Aby lepiej chronić użytkowników, zalecamy uaktualnienie wszystkich aplikacji do OAuth 2.0. Jeśli zdecydujesz się tego nie robić, użytkownicy będą musieli podjąć dodatkowe kroki, aby zachować dostęp do swoich aplikacji.
- Podsumowując, jeśli aplikacja używa obecnie zwykłych haseł do uwierzytelniania w Google, stanowczo zachęcamy do zminimalizowania zakłóceń dla użytkowników poprzez przejście na OAuth 2.0.
Źródło: nowe środki bezpieczeństwa będą miały wpływ na starsze aplikacje (inne niż OAuth 2.0) (blog Google Online Security)
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.