ti-enxame.com

Por que o Google chama o Thunderbird de "menos seguro"?

Eu nunca tive problemas para usar o Gmail com o Thunderbird ainda, mas ao tentar usar um free cliente de software para o Google Talk/Chat/Hangout eu descobri que, de acordo com o documento do Google sobre "aplicativos menos seguros" :

Alguns exemplos de aplicativos que não suportam os mais recentes padrões de segurança incluem [...] clientes de e-mail do Google Desktop, como o Microsoft Outlook e o Mozilla Thunderbird.

O Google, então, oferece uma opção tudo-ou-nada seguro vs. não seguro ("Permitir aplicativos menos seguros").

Por que o Google diz que o Thunderbird "não suporta os mais recentes padrões de segurança"? O Google está tentando dizer que protocolos padrão como IMAP, SMTP e POP3 são formas "menos seguras" de acessar uma caixa de correio? Eles estão tentando dizer que o uso que os usuários fazem desse software coloca suas contas em risco? Ou o que?

Secunia --- Relatório de Vulnerabilidade: Mozilla Thunderbird 24.x (onde está 31?) Diz "Não corrigido 11% (1 de 9 avisos da Secunia) [...] O mais severo aviso secunia não corrigido que afeta o Mozilla Thunderbird 24. x, com todos os patches de fornecedor aplicados, é classificado como altamente crítico ", aparentemente SA598 .

Atualização 2 : a partir de 2018, o Google reduz o dobro enviando mensagens para convidar a desativar o acesso "menos seguro":

Google notification

Update : OAuth2 está disponível no Thunderbird 38, com novas correções em versões posteriores, e bug 84954 foi fechado. Ainda não estou claro sobre os objetivos de todo esse circo. Italian Thunderbird 38.1.0 SMTP server screenshot

58
Nemo

É porque esses clientes (atualmente) não suportam OAuth 2. .

... a partir do segundo semestre de 2014, começaremos a aumentar gradualmente as verificações de segurança realizadas quando os usuários fizerem login no Google. Essas verificações adicionais garantirão que apenas o usuário pretendido tenha acesso à conta, seja por meio de um navegador, dispositivo ou aplicativo. Essas alterações afetarão qualquer aplicativo que envie um nome de usuário e/ou senha ao Google.

Para proteger melhor seus usuários, recomendamos que você faça upgrade de todos os seus aplicativos para o OAuth 2.0. Se você optar por não fazê-lo, os usuários precisarão tomar medidas extras para continuar acessando seus aplicativos.

...

Em resumo, se seu aplicativo usa atualmente senhas simples para autenticação no Google, recomendamos que você minimize a interrupção do usuário alternando para o OAuth 2.0.

Fonte: "Novas medidas de segurança afetarão aplicativos mais antigos (não OAuth 2.0)" - Blog de segurança do Google Online

51
Ƭᴇcʜιᴇ007

Começando com o Thunderbird 38 OAuth 2.0 é suportado, veja https://support.mozilla.org/en-US/kb/Thunderbird-and-gmail e https: //support.mozilla .org/pt-BR/kb/Thunderbird-and-gmail

Nota : Se você possui uma conta do Gmail no Thunderbird, você deve alterar o método de autenticação nas configurações da sua conta:

Para IMAP nas configurações da Conta do GMail> Configurações do servidor> Método de autenticação: "OAuth2"

e para SMTP (envio) existe uma configuração separada, escolha o Gmail (smtp.googlemail.com)> Edite o método de autenticação novamente para OAuth2 .

(Bem, você também pode remover sua conta do Gmail e criar uma nova.)

4
Pedi T.