Google थंडरबर्ड को "कम सुरक्षित" क्यों कहता है?

मुझे अभी तक थंडरबर्ड के साथ जीमेल का उपयोग करने में कोई समस्या नहीं हुई है, लेकिन मैंने Google टॉक / चैट / हैंगआउट के लिए एक मुफ्त सॉफ्टवेयर क्लाइंट का उपयोग करने की कोशिश करते हुए , जो मैंने "कम सुरक्षित ऐप्स" पर Google के दस्तावेज़ के अनुसार खोजा है :

नवीनतम सुरक्षा मानकों का समर्थन नहीं करने वाले ऐप्स के कुछ उदाहरणों में शामिल हैं [...] Microsoft Outlook और मोज़िला थंडरबर्ड जैसे डेस्कटॉप मेल क्लाइंट।

Google तब सभी या कुछ भी नहीं सुरक्षित बनाम गैर सुरक्षित खाता स्विच ("कम सुरक्षित ऐप्स की अनुमति दें") प्रदान करता है।

थंडरबर्ड को Google "नवीनतम सुरक्षा मानकों का समर्थन क्यों नहीं करता" कहता है? क्या Google यह कहने की कोशिश कर रहा है कि किसी मेलबॉक्स तक पहुँचने के लिए IMAP, SMTP और POP3 जैसे मानक प्रोटोकॉल "कम सुरक्षित" तरीके हैं? क्या वे यह कहने की कोशिश कर रहे हैं कि उपयोगकर्ता उस सॉफ़्टवेयर का उपयोग अपने खातों को खतरे में डालते हैं? और क्या?

सेक्युरिया की भेद्यता रिपोर्ट: मोज़िला थंडरबर्ड 24.x (जहां 31 है?) का कहना है कि «अप्रकाशित 11% (1 में से 9 सिक्युरिस एडवाइजरी) [...] मोज़िला थंडरबर्ड 24.x को प्रभावित करने वाला सबसे गंभीर अप्रकाशित सेक्युरिया सलाहकार, सभी विक्रेता पैच के साथ लागू होते हैं। , अत्यधिक आलोचनात्मक »मूल्यांकन किया गया है, जाहिरा तौर पर SA59803 ।

अपडेट 2 : 2018 तक, Google "कम सुरक्षित" पहुंच को अक्षम करने के लिए संदेश भेजकर दोगुना बढ़ा देता है:

अपडेट : OAuth2 थंडरबर्ड 38 में उपलब्ध है, बाद के रिलीज में और सुधार के साथ, और बग 849540 को बंद कर दिया गया है। मैं अभी भी इस सभी सर्कस के लक्ष्यों के बारे में स्पष्ट नहीं हूं।

— निमो
स्रोत

प्रासंगिक बुग्जिला मुद्दा।

— बॉब

यदि आपके पास खाते पर दो-कारक प्रमाणीकरण सक्षम है, तो आप थंडरबर्ड के लिए एक एप्लिकेशन-विशिष्ट पासवर्ड उत्पन्न कर सकते हैं।

— Ry-

यह वास्तव में जवाब के लिए कहता है "क्योंकि Google गलत है।"

— यहोशू

Security.SE से संबंधित: मेरे Google खाते तक पहुंचने के लिए "कम सुरक्षित ऐप्स" को अनुमति देने के खतरे क्या हैं? (मुझे लगता है कि तृतीय पक्षों को आपकी साख को देखने का अभ्यास काफी हद तक "कम सुरक्षित" कहा जाता है, लेकिन यह मेरे लिए पूरी तरह से अस्पष्ट है कि आपके द्वारा पहले ही अपनी साख को दे दिए जाने के बाद प्रमाणीकरण से इनकार करने से Google को क्या सुरक्षा लाभ मिलता है ।)

— apsillers

जवाबों:

ऐसा इसलिए है क्योंकि वे क्लाइंट (वर्तमान में) OAuth 2.0 का समर्थन नहीं करते हैं ।

... 2014 की दूसरी छमाही में, हम उपयोगकर्ताओं द्वारा Google में लॉग इन करने पर धीरे-धीरे सुरक्षा जांच बढ़ाना शुरू करेंगे। ये अतिरिक्त जांच यह सुनिश्चित करेगी कि केवल इच्छित उपयोगकर्ता के पास अपने खाते तक पहुंच है, चाहे वह ब्राउज़र, डिवाइस या एप्लिकेशन के माध्यम से हो। ये परिवर्तन Google को उपयोगकर्ता नाम और / या पासवर्ड भेजने वाले किसी भी अनुप्रयोग को प्रभावित करेंगे।

अपने उपयोगकर्ताओं की बेहतर सुरक्षा के लिए, हम आपको OAuth 2.0 में अपने सभी एप्लिकेशन अपग्रेड करने की सलाह देते हैं। यदि आप ऐसा नहीं करना चुनते हैं, तो आपके उपयोगकर्ताओं को आपके एप्लिकेशन एक्सेस करने के लिए अतिरिक्त कदम उठाने की आवश्यकता होगी।

...

संक्षेप में, यदि आपका एप्लिकेशन वर्तमान में Google को प्रमाणित करने के लिए सादे पासवर्ड का उपयोग करता है, तो हम आपको Outh 2.0 पर स्विच करके उपयोगकर्ता के व्यवधान को कम करने के लिए दृढ़ता से प्रोत्साहित करते हैं।

स्रोत: "नए सुरक्षा उपाय पुराने को प्रभावित करेंगे (गैर- OAuth 2.0) अनुप्रयोग" - Google ऑनलाइन सुरक्षा ब्लॉग

— Ƭᴇcʜιᴇ007
स्रोत

समस्या वास्तव में सुरक्षा नहीं है, यह डेटा खनन के लिए गुणवत्ता नियंत्रण है। वास्तविक सुरक्षा Google को आपके व्यक्तिगत डेटा को खनन करने से रोक रही होगी।

— फिक्सर 1234

@ fixer1234 व्यक्तिगत रूप से मुझे लगता है कि यह Google के लिए एक वेब ब्राउज़र को शामिल करने के लिए मजबूर करना चाहता है (प्रमाणीकरण में दूसरा चरण), इस आशा के साथ कि आप अंततः केवल (Google के) वेब मेल क्लाइंट का उपयोग करने से नाराज होंगे। ;)

— ᴇcʜιᴇ007

@ नीमो "प्लेन पासवर्ड" यह संदर्भित नहीं करता है कि पासवर्ड एन्क्रिप्ट किए गए ट्रांज़िट में हैं, लेकिन क्या थर्ड-पार्टी एप्लिकेशन (इस मामले में, थंडरबर्ड) का उपयोग आपके सादे पाठ Google खाता पासवर्ड तक है। OAuth के साथ, यह नहीं है। तीसरे पक्ष के ऐप कितना सुरक्षित है, और कितना विश्वसनीय है, इस पर निर्भर करता है कि वह आपके सादे टेक्स्ट पासवर्ड को स्टोर करता है या नहीं, यह एक महत्वपूर्ण सुरक्षा मुद्दा हो सकता है।

— Ajedi32

Ajedi32, मैं समझता हूं कि उनका क्या मतलब है, लेकिन शब्दावली स्पष्ट नहीं है। इस उत्तर पर, यह तकनीकी रूप से सही है, लेकिन IMHO संतोषजनक नहीं है। जीमेल को एक्सेस करने के लिए "कम सिक्योर ऐप्स" घोषित करने में क्या समझदारी है, इसमें थंडरबर्ड भी शामिल है, लेकिन वेब ब्राउजर जो ज्यादातर बार पासवर्ड स्टोर करते हैं, कभी-कभी एन्क्रिप्ट भी नहीं होते हैं?

— निमो

OAuth अधिक सुरक्षित है क्योंकि इसे केवल मेल एजेंट को अधिकृत करते समय बहुत ही कम समय के लिए कीरिंग (सादे पाठ में पासवर्ड) को डिक्रिप्ट करने की आवश्यकता होती है, यह सच है कि क्या आप ब्राउज़र में प्रमाणीकरण करते हैं या यदि मेल सॉफ़्टवेयर इनबिल्ट ऑउथ का समर्थन करता है प्राधिकरण। यदि मेल सॉफ़्टवेयर OAuth का उपयोग नहीं करता है, तो आपको हर समय कीरिंग को व्यावहारिक रूप से अनलॉक करने की आवश्यकता होगी, इस प्रकार एन्क्रिप्शन के उद्देश्य को हराना (यह भी कि आपका पासवर्ड हर बार आपके द्वारा निलंबित किए जाने वाले कंप्यूटर को हाइबरनेट करता है या कीरिंग अनलॉक किए हुए है)।

— रयान

थंडरबर्ड 38 OAuth 2.0 के साथ शुरू करना समर्थित है, https://support.mozilla.org/en-US/kb/thunderbird-and-gmail और https://support.mozilla.org/en-US/kb/thunderbird- देखें और-gmail

ध्यान दें : यदि आपके पास थंडरबर्ड में एक मौजूदा जीमेल खाता है, तो आपको खाता सेटिंग्स में प्रमाणीकरण विधि को बदलना होगा:

GMail खाता सेटिंग्स में IMAP के लिए> सर्वर सेटिंग्स> प्रमाणीकरण विधि: "OAuth2"

और SMTP (भेजने) के लिए एक अलग सेटिंग है, Google Mail (smtp.googlemail.com)> ऑथेंटिकेशन विधि को फिर से OAuth2 पर चुनें ।

(खैर, आप अपना GMail खाता भी निकाल सकते हैं और एक नया बना सकते हैं।)

— पेड़ी टी।
स्रोत

क्या यह अभी भी एक खुला और मानक प्रोटोकॉल है? कितने ईमेल क्लाइंट इसका समर्थन करते हैं? इसके सुरक्षा लाभ क्या हैं? (आपका उत्तर अच्छा है, लेकिन जब तक मैं इस तरह के बिंदुओं को नहीं देख

— निमो

खैर, मुझे नहीं पता कि अन्य प्रमाणीकरण विकल्पों में सुरक्षा क्या समस्या है, हालांकि मैं खुद दिलचस्पी रखता हूं। मैं केवल एक व्यावहारिक समाधान की तलाश में था कि मैं GMail के साथ टीबी का उपयोग कैसे जारी रख सकता हूं और इस चेतावनी संदेश से बच सकता हूं :-)

— Pedi T.