GoogleがThunderbirdを「安全性が低い」と呼ぶのはなぜですか?


58

私はまだサンダーバードでGmailを使用して問題がなかったが、フリー使用しようとしながら、決してましGoogleトーク/チャット/ハングアウト用のソフトウェアクライアントを私は、ことを発見した「安全性の低いアプリの」上のGoogleのドキュメントによると

最新のセキュリティ標準をサポートしないアプリの例には、[...] Microsoft OutlookやMozilla Thunderbirdなどのデスクトップメールクライアントが含まれます。

次に、Googleは、オールオアナッシングのセキュアアカウントと非セキュアアカウントの切り替えを提供します(「安全性の低いアプリを許可する」)。

GoogleがThunderbirdが「最新のセキュリティ標準をサポートしていない」と言うのはなぜですか?Googleは、IMAP、SMTP、POP3などの標準プロトコルがメールボックスにアクセスするための「安全性が低い」方法だと言おうとしていますか?ユーザーがそのソフトウェアを使用することでアカウントが危険にさらされると言っているのでしょうか?または何?

Secuniaの脆弱性レポート:Mozilla Thunderbird 24.x(31はどこですか?)は次のように述べています。 、非常に重要です»、明らかにSA59803と評価されてい ます。

更新2:2018年の時点で、Googleは「安全性の低い」アクセスを無効にするよう招待するメッセージを送信することにより、2倍になりました。

Google通知

更新:OAuth2はThunderbird 38で利用でき、今後のリリースでさらに修正され、バグ849540はクローズされました。このサーカスの目標についてはまだはっきりしていません。 イタリア語Thunderbird 38.1.0 SMTPサーバーのスクリーンショット



2
アカウントで2要素認証を有効にしている場合、Thunderbirdのアプリケーション固有のパスワードを生成できます。
Ry- 14

8
これには、「Googleが間違っているから」という答えが必要です。
ジョシュア14

4
Security.SEに関連する:安全性の低いアプリ」がGoogleアカウントにアクセスできるようにすることの危険性は何ですか?(第三者にあなたの資格情報を見せることはかなり「安全性が低い」と言われていますが、資格情報を既に渡した後に Googleが認証拒否することでどのようなセキュリティ上の利点があるかはまったく
わかり

回答:


51

これは、これらのクライアントが(現在)OAuth 2.0をサポートしていないためです。

... 2014年の後半から、ユーザーがGoogleにログインするときに実行されるセキュリティチェックを徐々に増やしていきます。これらの追加のチェックにより、ブラウザ、デバイス、またはアプリケーションのいずれを介しても、意図したユーザーのみがアカウントにアクセスできるようになります。これらの変更は、ユーザー名やパスワードをGoogleに送信するアプリケーションに影響します。

ユーザーをより保護するために、すべてのアプリケーションをOAuth 2.0にアップグレードすることをお勧めします。そうしないことを選択した場合、ユーザーはアプリケーションにアクセスし続けるために追加の手順を実行する必要があります。

...

要約すると、アプリケーションが現在Googleの認証にプレーンパスワードを使用している場合、OAuth 2.0に切り替えることでユーザーの混乱を最小限に抑えることを強くお勧めします。

出典:「新しいセキュリティ対策は古い(非OAuth 2.0)アプリケーションに影響します」-Googleオンラインセキュリティブログ


14
問題は本当にセキュリティではなく、データマイニングの品質管理です。本当のセキュリティは、Googleがあなたの個人データをマイニングすることを妨げるでしょう。
fixer1234 14

19
@ fixer1234個人的には、GoogleがWebブラウザを強制的に関与させたい(認証の2番目のステップ)ことであり、最終的に(Googleの)Webメールクライアントのみを使用することにうんざりすることを願っています。;)
Ƭᴇcʜιᴇ00714

24
@Nemo "Plain passwords"は、転送中にパスワードが暗号化されるかどうかではなく、サードパーティアプリケーション(この場合はThunderbird)がプレーンテキストのGoogleアカウントパスワードにアクセスできるかどうかを指します。OAuthでは、そうではありません。サードパーティアプリの安全性と信頼性に応じて、プレーンテキストパスワードを保存するかどうかは、重大なセキュリティ上の問題になる可能性があります。
Ajedi32 14

10
Ajedi32、私はそれらの意味を理解していますが、用語は明確ではありません。この答えでは、技術的には正しいのですが、私見では満足できません。Gmailにアクセスするための「安全性の低いアプリ」を宣言するのはどのような意味がありますか。Thunderbirdは含まれますが、ほとんどの場合パスワードを保存するWebブラウザーは含まれません。
ニモ14

4
OAuthは、メールエージェントを認証する間、キーリング(プレーンテキストのパスワード)を解読するだけでよいため、より安全です。これは、ブラウザで認証を行う場合でも、メールソフトウェア自体が組み込みOAuthをサポートする場合でも、認可。メールソフトウェアがOAuthを使用しない場合、キーリングは実質的に常にロック解除されている必要があり、暗号化の目的を無効にします(キーリングがロック解除されているコンピューターをサスペンドまたは休止状態にするたびにパスワードが危険にさらされます)。
ライライアン14

4

Thunderbird 38以降、OAuth 2.0がサポートされています。https://support.mozilla.org/en-US/kb/thunderbird-and-gmail およびhttps://support.mozilla.org/en-US/kb/thunderbird-をご覧ください。 and-gmail

:Thunderbirdに既存のGmailアカウントがある場合は、アカウント設定で認証方法を変更する必要があります。

IMail for GMail Account settings> Server Settings> Authentication method:"OAuth2"

および SMTP(送信)のために別々の設定があり、再びGoogleのメール(smtp.googlemail.com)> [認証の編集方法を選択するのOAuth2

(まあ、GMailアカウントを削除して新しいアカウントを作成することもできます。)


これはまだオープンで標準的なプロトコルですか?いくつのメールクライアントがサポートしていますか?セキュリティ上の利点は何ですか?(あなたの答えは良いですが、そのような点に対処するまで、元の質問は解決されたとは思わない。)
ニモ

2
興味はありますが、他の認証オプションにどのようなセキュリティ上の問題があるのか​​わかりません。私は、GMailでTBを使用し続け、この警告メッセージを回避する方法を実用的なソリューションのみを探していました:-)
Pedi T.
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.