Perché Google chiama Thunderbird "meno sicuro"?

Non ho mai avuto problemi con Gmail con Thunderbird, ma durante il tentativo di utilizzare un client software gratuito per Google Talk / Chat / Hangout ho scoperto che, secondo il documento di Google "App meno sicure" :

Alcuni esempi di app che non supportano gli standard di sicurezza più recenti includono [...] client di posta desktop come Microsoft Outlook e Mozilla Thunderbird.

Google offre quindi un passaggio all'account sicuro o non sicuro ("Consenti app meno sicure").

Perché Google dice che Thunderbird "non supporta gli ultimi standard di sicurezza"? Google sta cercando di dire che protocolli standard come IMAP, SMTP e POP3 sono modi "meno sicuri" per accedere a una casella di posta? Stanno cercando di dire che l'uso che gli utenti fanno di quel software mette a rischio i loro account? O cosa?

Rapporto sulla vulnerabilità di Secunia : Mozilla Thunderbird 24.x (dove sono 31?) Dice «Unpatched 11% (1 of 9 Secunia advisories) [...] Il più severo avviso Secunia senza patch che interessa Mozilla Thunderbird 24.x, con tutte le patch del fornitore applicate , è valutato altamente critico », apparentemente SA59803 .

Aggiornamento 2 : a partire dal 2018, Google raddoppia inviando messaggi per invitare a disabilitare l'accesso "meno sicuro":

Aggiornamento : OAuth2 è disponibile in Thunderbird 38, con ulteriori correzioni nelle versioni successive e il bug 849540 è stato chiuso. Non sono ancora chiaro sugli obiettivi di tutto questo circo.

— Nemo
fonte

Problema relativo a Bugzilla.

— Bob,

Se hai abilitato l'autenticazione a due fattori sull'account, puoi generare una password specifica per l'applicazione per Thunderbird.

— Ry,

Questo richiede davvero la risposta "Perché Google ha torto".

— Giosuè, il

Correlati da Security.SE: quali sono i pericoli di consentire alle "app meno sicure" di accedere al mio account Google? (Penso che la pratica di consentire a terzi di vedere le tue credenziali sia abbastanza definita "meno sicura", ma per me non è del tutto chiaro quali vantaggi per la sicurezza Google offre negando l'autenticazione dopo aver già ceduto le tue credenziali.)

— apsillers

Risposte:

È perché quei client (attualmente) non supportano OAuth 2.0 .

... a partire dalla seconda metà del 2014, inizieremo gradualmente ad aumentare i controlli di sicurezza eseguiti quando gli utenti accedono a Google. Questi controlli aggiuntivi garantiranno che solo l'utente previsto abbia accesso al proprio account, sia attraverso un browser, dispositivo o applicazione. Queste modifiche interesseranno qualsiasi applicazione che invia un nome utente e / o una password a Google.

Per proteggere meglio i tuoi utenti, ti consigliamo di aggiornare tutte le tue applicazioni a OAuth 2.0. Se scegli di non farlo, ai tuoi utenti sarà richiesto di fare ulteriori passi per continuare ad accedere alle tue applicazioni.

...

In breve, se la tua applicazione utilizza attualmente semplici password per autenticarti su Google, ti consigliamo vivamente di ridurre al minimo l'interruzione dell'utente passando a OAuth 2.0.

Fonte: "Le nuove misure di sicurezza interesseranno le applicazioni precedenti (non OAuth 2.0)" - Blog sulla sicurezza online di Google

— Ƭᴇcʜιᴇ007
fonte

Il problema non è proprio la sicurezza, è il controllo di qualità per il data mining. Una vera sicurezza impedirebbe a Google di estrarre i tuoi dati personali.

— fixer1234

@ fixer1234 Personalmente penso che si tratti più di Google che vogliono forzare il coinvolgimento di un browser Web (2 ° passaggio nell'autenticazione), con la speranza che alla fine sarai infastidito dall'utilizzare solo il client di posta web (di Google). ;)

— Ƭᴇcʜιᴇ007,

@Nemo "Password semplici" non indica se le password sono crittografate in transito, ma se l'applicazione di terze parti (in questo caso, Thunderbird) ha accesso alla password del tuo account Google in testo normale. Con OAuth no. A seconda di quanto sia sicura e affidabile l'app di terze parti, se memorizza o meno la tua password in testo normale potrebbe essere un problema di sicurezza fondamentale.

— Ajedi32

Ajedi32, capisco cosa significano, ma la terminologia non è chiara. Su questa risposta, è tecnicamente corretto, ma IMHO non è soddisfacente. Che senso ha dichiarare che "app meno sicure" per accedere a Gmail includono Thunderbird, ma non i browser Web che il più delle volte memorizzano password, a volte nemmeno criptate?

— Nemo,

OAuth è più sicuro perché deve solo decrittografare il keyring (ovvero le password in testo normale) per la brevissima durata mentre si autorizza l'agente di posta, questo è vero se si esegue l'autenticazione nel browser o se il software di posta stesso supporta OAuth integrato autorizzazione. Se il software di posta non utilizza OAuth, avrai bisogno del keyring sbloccato praticamente tutto il tempo, vanificando così lo scopo della crittografia (anche la tua password è a rischio ogni volta che sospendi o iberna il computer con il keyring sbloccato).

— Lie Ryan,

A partire da Thunderbird 38 è supportato OAuth 2.0, vedere https://support.mozilla.org/en-US/kb/thunderbird-and-gmail e https://support.mozilla.org/en-US/kb/thunderbird- e-gmail

Nota : se si dispone di un account Gmail esistente in Thunderbird, è necessario modificare il metodo di autenticazione nelle impostazioni dell'account:

Per IMAP in Impostazioni account GMail> Impostazioni server> Metodo di autenticazione: "OAuth2"

e per SMTP (invio) esiste un'impostazione separata, scegli Google Mail (smtp.googlemail.com)> Modifica di nuovo il metodo di autenticazione su OAuth2 .

(Bene, puoi anche rimuovere il tuo account GMail e crearne uno nuovo.)

— Pedi T.
fonte

È ancora un protocollo aperto e standard? Quanti client di posta elettronica lo supportano? Quali sono i suoi vantaggi in termini di sicurezza? (La tua risposta è buona, ma fino a quando vedrò questi punti affrontati non considero risolta la domanda originale.)

— Nemo

Bene, non ho idea di quali siano i problemi di sicurezza delle altre opzioni di autenticazione, anche se mi interessa. Stavo solo cercando una soluzione pratica su come continuare a usare TB con GMail ed evitare questo messaggio di avvertimento :-)

— Pedi T.