Mengapa Google menyebut Thunderbird "kurang aman"?

Saya belum pernah mengalami masalah menggunakan Gmail dengan Thunderbird, tetapi ketika mencoba menggunakan klien perangkat lunak gratis untuk Google Talk / Chat / Hangout saya telah menemukan itu, menurut dokumen Google tentang "aplikasi yang kurang aman" :

Beberapa contoh aplikasi yang tidak mendukung standar keamanan terbaru termasuk [...] Klien email desktop seperti Microsoft Outlook dan Mozilla Thunderbird.

Google kemudian menawarkan sakelar akun semua-atau-tidak- aman - aman vs. non-aman ("Izinkan aplikasi yang kurang aman").

Mengapa Google mengatakan Thunderbird "tidak mendukung standar keamanan terbaru"? Apakah Google mencoba mengatakan bahwa protokol standar seperti IMAP, SMTP dan POP3 adalah cara "kurang aman" untuk mengakses kotak surat? Apakah mereka mencoba mengatakan bahwa penggunaan yang dilakukan pengguna terhadap perangkat lunak itu membahayakan akun mereka? Atau apa?

Laporan Kerentanan Secunia : Mozilla Thunderbird 24.x (di mana 31?) Mengatakan «11% yang tidak ditambal (1 dari 9 penasihat Secunia) [...] Penasihat Secunia yang paling parah yang terkena dampak yang mempengaruhi Mozilla Thunderbird 24.x, dengan semua tambalan vendor diterapkan , diberi peringkat Sangat kritis », tampaknya SA59803 .

Pembaruan 2 : pada 2018, Google melakukan double down dengan mengirim pesan untuk mengundang penonaktifan akses "kurang aman":

Pembaruan : OAuth2 tersedia di Thunderbird 38, dengan perbaikan lebih lanjut di rilis berikutnya, dan bug 849540 telah ditutup. Saya masih belum jelas tentang tujuan semua sirkus ini.

— Nemo
sumber

Masalah Bugzilla yang relevan.

— Bob

Jika Anda mengaktifkan otentikasi dua faktor di akun, Anda dapat membuat kata sandi khusus aplikasi untuk Thunderbird.

— Ry-

Ini benar-benar menyerukan jawaban "Karena Google salah."

— Yosua

Terkait dari Security.SE: Bahaya apa yang memungkinkan “aplikasi kurang aman” mengakses akun Google saya? (Saya pikir praktik membiarkan pihak ketiga melihat kredensial Anda secara wajar disebut "kurang aman", tetapi sama sekali tidak jelas bagi saya apa manfaat keamanan yang Google berikan dengan menolak otentikasi setelah Anda menyerahkan kredensial Anda.)

— apsillers

Jawaban:

Itu karena klien tersebut (saat ini) tidak mendukung OAuth 2.0 .

... mulai paruh kedua tahun 2014, kami akan mulai secara bertahap meningkatkan pemeriksaan keamanan yang dilakukan saat pengguna masuk ke Google. Pemeriksaan tambahan ini akan memastikan bahwa hanya pengguna yang dituju yang memiliki akses ke akun mereka, baik melalui peramban, perangkat, atau aplikasi. Perubahan ini akan memengaruhi aplikasi apa pun yang mengirim nama pengguna dan / atau kata sandi ke Google.

Untuk melindungi pengguna Anda dengan lebih baik, kami sarankan Anda meningkatkan semua aplikasi Anda ke OAuth 2.0. Jika Anda memilih untuk tidak melakukannya, pengguna Anda akan diminta untuk mengambil langkah-langkah tambahan untuk tetap mengakses aplikasi Anda.

...

Singkatnya, jika aplikasi Anda saat ini menggunakan kata sandi polos untuk mengautentikasi ke Google, kami sangat menyarankan Anda untuk meminimalkan gangguan pengguna dengan beralih ke OAuth 2.0.

Sumber: "Tindakan Keamanan Baru Akan Mempengaruhi Aplikasi yang Lebih Tua (non-OAuth 2.0)" - Google Online Security Blog

— Ƭᴇcʜιᴇ007
sumber

Masalahnya bukan keamanan, melainkan kontrol kualitas untuk penambangan data. Keamanan nyata akan mencegah Google dari menambang data pribadi Anda.

— fixer1234

@ fixer1234 Secara pribadi saya pikir ini lebih tentang Google yang ingin memaksa browser web untuk terlibat (langkah ke-2 dalam otentikasi), dengan harapan bahwa Anda pada akhirnya akan terganggu dengan hanya menggunakan klien email web (Google). ;)

— Ƭᴇcʜιᴇ007

@Nemo "Kata sandi polos" tidak merujuk pada apakah kata sandi dienkripsi dalam perjalanan, tetapi apakah aplikasi pihak ketiga (dalam hal ini, Thunderbird) memiliki akses ke kata sandi kata sandi Akun Google teks biasa Anda. Dengan OAuth, tidak. Tergantung pada seberapa aman, dan seberapa tepercaya aplikasi pihak ketiga itu, apakah itu menyimpan kata sandi teks biasa atau tidak Anda bisa menjadi masalah keamanan yang kritis.

— Ajedi32

Ajedi32, saya mengerti apa artinya, tetapi terminologinya tidak jelas. Pada jawaban ini, secara teknis sudah benar, tetapi IMHO tidak memuaskan. Apa artinya menyatakan "aplikasi kurang aman" untuk mengakses gmail termasuk Thunderbird, tetapi tidak browser web yang sebagian besar menyimpan kata sandi, kadang-kadang bahkan tidak dienkripsi?

— Nemo

OAuth lebih aman karena hanya perlu mendekripsi keyring (yaitu kata sandi dalam teks biasa) untuk durasi yang sangat singkat saat Anda mengotorisasi agen surat, ini benar apakah Anda melakukan otentikasi di browser atau jika perangkat lunak surat itu sendiri mendukung OAuth inbuilt otorisasi. Jika peranti lunak surat tidak menggunakan OAuth, Anda akan memerlukan kunci kunci tidak terkunci sepanjang waktu, sehingga mengalahkan tujuan enkripsi (juga kata sandi Anda berisiko setiap kali Anda menangguhkan atau hibernasi komputer dengan kunci kunci tidak terkunci).

— Lie Ryan

Dimulai dengan Thunderbird 38 OAuth 2.0 didukung, lihat https://support.mozilla.org/en-US/kb/thunderbird-and-gmail dan https://support.mozilla.org/en-US/kb/thunderbird- dan-gmail

Catatan : Jika Anda memiliki akun gmail yang ada di Thunderbird, Anda harus mengubah metode otentikasi di pengaturan akun Anda:

Untuk IMAP di pengaturan Akun GMail> Pengaturan Server> Metode otentikasi: "OAuth2"

dan untuk SMTP (pengiriman) ada pengaturan terpisah, pilih Google Mail (smtp.googlemail.com)> Edit metode Otentikasi lagi ke OAuth2 .

(Ya, Anda juga bisa menghapus akun GMail Anda dan membuat yang baru.)

— Pedi T.
sumber

Apakah ini masih merupakan protokol terbuka dan standar? Berapa banyak klien email yang mendukungnya? Apa manfaat keamanannya? (Jawaban Anda bagus tetapi sampai saya melihat poin-poin seperti itu diatasi, saya tidak menganggap pertanyaan awal terselesaikan.)

— Nemo

Yah, saya tidak tahu masalah keamanan apa yang dimiliki opsi otentikasi lain, meskipun saya tertarik sendiri. Saya hanya mencari solusi praktis bagaimana saya dapat terus menggunakan TB dengan GMail dan menghindari pesan peringatan ini :-)

— Pedi T.