it-swarm.com.de

Warum nennt Google Thunderbird "weniger sicher"?

Ich hatte noch nie Probleme bei der Verwendung von Google Mail mit Thunderbird, habe jedoch festgestellt, dass ich einen kostenlosen Software-Client für Google Talk/Chat/Hangout verwendet habe dass laut Googles Dokument zu "weniger sicheren Apps" :

Einige Beispiele für Apps, die nicht die neuesten Sicherheitsstandards unterstützen, sind [...] Desktop-Mail-Clients wie Microsoft Outlook und Mozilla Thunderbird.

Google bietet dann einen "Alles oder Nichts" -Schalter für sichere und nicht sichere Konten an ("Weniger sichere Apps zulassen").

Warum sagt Google, dass Thunderbird die neuesten Sicherheitsstandards nicht unterstützt? Versucht Google zu sagen, dass Standardprotokolle wie IMAP, SMTP und POP3 "weniger sichere" Möglichkeiten sind, auf ein Postfach zuzugreifen? Versuchen sie zu sagen, dass der Gebrauch, den Benutzer von dieser Software machen , ihre Konten gefährdet? Oder was?

Sicherheitslückenbericht von Secunia : Mozilla Thunderbird 24.x (wo ist 31?) Sagt: "Ungepackt 11% (1 von 9 Secunia-Hinweisen) [...] Die schwerwiegendste nicht gepatchte Secunia-Empfehlung, die Mozilla Thunderbird 24.x mit allen angewendeten Hersteller-Patches betrifft, wird als hochkritisch eingestuft ", anscheinend SA59803 .

Update 2 : Ab 2018 führt Google eine Verdoppelung durch, indem Nachrichten gesendet werden, um den "weniger sicheren" Zugriff zu deaktivieren:

Google notification

Update : OAuth2 ist in Thunderbird 38 verfügbar, mit weiteren Korrekturen in späteren Releases, und Fehler 849540 hat wurde geschlossen. Die Ziele dieses ganzen Zirkus sind mir immer noch nicht klar. Italian Thunderbird 38.1.0 SMTP server screenshot

58
Nemo

Dies liegt daran, dass diese Clients (derzeit) OAuth 2.0 nicht unterstützen.

... ab der zweiten Jahreshälfte 2014 werden wir schrittweise die Sicherheitsprüfungen erhöhen, die durchgeführt werden, wenn sich Nutzer bei Google anmelden. Diese zusätzlichen Überprüfungen stellen sicher, dass nur der vorgesehene Benutzer über einen Browser, ein Gerät oder eine Anwendung Zugriff auf sein Konto hat. Diese Änderungen wirken sich auf alle Anwendungen aus, die einen Nutzernamen und/oder ein Passwort an Google senden.

Um Ihre Benutzer besser zu schützen, empfehlen wir Ihnen, alle Ihre Anwendungen auf OAuth 2.0 zu aktualisieren. Wenn Sie dies nicht tun, müssen Ihre Benutzer zusätzliche Schritte ausführen, um weiterhin auf Ihre Anwendungen zugreifen zu können.

...

Wenn Ihre Anwendung derzeit nur Passwörter zur Authentifizierung bei Google verwendet, empfehlen wir Ihnen nachdrücklich, die Unterbrechungen durch den Wechsel zu OAuth 2.0 so gering wie möglich zu halten.

Quelle: "Neue Sicherheitsmaßnahmen wirken sich auf ältere (nicht von OAuth 2.0 stammende) Anwendungen aus" - Google Online-Sicherheitsblog

51

Ab Thunderbird 38 wird OAuth 2.0 unterstützt, siehe https://support.mozilla.org/en-US/kb/Thunderbird-and-gmail und https://support.mozilla.org/en-US/kb/Thunderbird-and-gmail

Hinweis : Wenn Sie ein bestehendes Google Mail-Konto in Thunderbird haben, müssen Sie die Authentifizierungsmethode in Ihren Kontoeinstellungen ändern:

Für IMAP in den GMail-Kontoeinstellungen> Servereinstellungen> Authentifizierungsmethode: "OAuth2"

und für SMTP (Senden) gibt es eine separate Einstellung, wählen Sie Google Mail (smtp.googlemail.com)> Authentifizierungsmethode erneut bearbeiten zu OAuth2 .

(Nun, Sie können auch Ihr GMail-Konto entfernen und ein neues erstellen.)

4
Pedi T.