Warum nennt Google Thunderbird "weniger sicher"?

Ich habe noch nie Probleme gehabt mit Google Mail mit Thunderbird noch nicht, aber beim Versuch , ein frei zu verwenden Software - Client für Google Talk / Chat / Hangout ich entdeckt habe , dass nach dem Google-Dokument auf „weniger sicheren Apps“ :

Einige Beispiele für Apps, die nicht die neuesten Sicherheitsstandards unterstützen, sind [...] Desktop-Mail-Clients wie Microsoft Outlook und Mozilla Thunderbird.

Google bietet dann einen sicheren oder nicht sicheren Kontowechsel an ("Weniger sichere Apps zulassen").

Warum sagt Google, dass Thunderbird die neuesten Sicherheitsstandards nicht unterstützt? Versucht Google zu sagen, dass Standardprotokolle wie IMAP, SMTP und POP3 "weniger sichere" Möglichkeiten sind, auf ein Postfach zuzugreifen? Versuchen sie zu sagen, dass die Verwendung dieser Software durch die Benutzer ihre Konten gefährdet? Oder was?

Secunias Vulnerability Report: Mozilla Thunderbird 24.x (wo ist 31?) Sagt: «Unpatched 11% (1 von 9 Secunia Advisories) , wird als sehr kritisch eingestuft », anscheinend SA59803 .

Update 2 : Ab 2018 führt Google eine Verdoppelung durch, indem Nachrichten gesendet werden, um den "weniger sicheren" Zugriff zu deaktivieren:

Update : OAuth2 ist in Thunderbird 38 verfügbar, mit weiteren Korrekturen in späteren Releases, und der Fehler 849540 wurde behoben . Die Ziele dieses ganzen Zirkus sind mir immer noch nicht klar.

— Nemo
quelle

Relevantes Bugzilla-Problem.

— Bob

Wenn Sie die Zwei-Faktor-Authentifizierung für das Konto aktiviert haben, können Sie ein anwendungsspezifisches Kennwort für Thunderbird generieren.

— Ry

Dies erfordert wirklich die Antwort "Weil Google falsch ist."

— Joshua

Related from Security.SE: Welche Gefahren birgt es, wenn "weniger sichere Apps" auf mein Google-Konto zugreifen? (Ich denke, die Praxis, Dritte Ihre Anmeldeinformationen einsehen zu lassen, wird als "weniger sicher" bezeichnet. Mir ist jedoch völlig unklar, welchen Sicherheitsvorteil Google bietet, wenn die Authentifizierung verweigert wird, nachdem Sie Ihre Anmeldeinformationen bereits weitergegeben haben.)

— apsillers

Antworten:

Dies liegt daran, dass diese Clients (derzeit) OAuth 2.0 nicht unterstützen .

... ab der zweiten Jahreshälfte 2014 werden wir schrittweise die Sicherheitsüberprüfungen erhöhen, die durchgeführt werden, wenn sich Nutzer bei Google anmelden. Diese zusätzlichen Überprüfungen stellen sicher, dass nur der vorgesehene Benutzer über einen Browser, ein Gerät oder eine Anwendung Zugriff auf sein Konto hat. Diese Änderungen wirken sich auf alle Anwendungen aus, die einen Nutzernamen und / oder ein Passwort an Google senden.

Um Ihre Benutzer besser zu schützen, empfehlen wir Ihnen, alle Ihre Anwendungen auf OAuth 2.0 zu aktualisieren. Wenn Sie dies nicht tun, müssen Ihre Benutzer zusätzliche Schritte ausführen, um weiterhin auf Ihre Anwendungen zugreifen zu können.

...

Wenn Ihre Anwendung derzeit nur Passwörter zur Authentifizierung bei Google verwendet, empfehlen wir Ihnen nachdrücklich, die Benutzerunterbrechung durch den Wechsel zu OAuth 2.0 zu minimieren.

Quelle: "Neue Sicherheitsmaßnahmen wirken sich auf ältere (nicht von OAuth 2.0 stammende) Anwendungen aus" - Google Online Security Blog

— ƬᴇcƬᴇιʜ007
quelle

Das Problem ist nicht wirklich die Sicherheit, sondern die Qualitätskontrolle für Data Mining. Echte Sicherheit würde Google daran hindern, Ihre persönlichen Daten abzubauen.

— Fixer1234

@ fixer1234 Ich persönlich denke, es geht eher darum, dass Google einen Webbrowser erzwingen möchte (zweiter Schritt bei der Authentifizierung), mit der Hoffnung, dass Sie sich irgendwann darüber ärgern, nur den Webmail-Client von Google zu verwenden. ;)

— ƬᴇcƬᴇι at007

@Nemo "Einfache Kennwörter" bezieht sich nicht darauf, ob die Kennwörter während der Übertragung verschlüsselt werden, sondern darauf, ob die Drittanbieteranwendung (in diesem Fall Thunderbird) Zugriff auf Ihr Google-Konto-Kennwort im Nur-Text-Format hat. Bei OAuth ist dies nicht der Fall. Je nachdem, wie sicher und vertrauenswürdig die Drittanbieter-App ist, kann die Speicherung Ihres Nur-Text-Passworts ein kritisches Sicherheitsproblem darstellen.

— Ajedi32

Ajedi32, ich verstehe, was sie bedeuten, aber die Terminologie ist nicht klar. Auf diese Antwort ist es technisch korrekt, aber meiner Meinung nach nicht zufriedenstellend. Welchen Sinn macht es, zu deklarieren, dass "weniger sichere Apps" für den Zugriff auf Google Mail Thunderbird, aber keine Webbrowser sind, in denen die meisten Passwörter gespeichert sind, manchmal sogar nicht verschlüsselt?

— Nemo

OAuth ist sicherer, da der Schlüsselbund (dh Kennwörter im Nur-Text-Format) nur für eine sehr kurze Zeit entschlüsselt werden muss, während Sie den E-Mail-Agenten autorisieren. Dies gilt unabhängig davon, ob Sie die Authentifizierung im Browser durchführen oder ob die E-Mail-Software selbst integriertes OAuth unterstützt Genehmigung. Wenn die E-Mail-Software OAuth nicht verwendet, muss der Schlüsselbund praktisch immer entsperrt werden, wodurch der Zweck der Verschlüsselung zunichte gemacht wird (auch Ihr Kennwort ist jedes Mal gefährdet, wenn Sie den Computer mit entsperrtem Schlüsselbund anhalten oder in den Ruhezustand versetzen).

— Lie Ryan

Ab Thunderbird 38 wird OAuth 2.0 unterstützt, siehe https://support.mozilla.org/en-US/kb/thunderbird-and-gmail und https://support.mozilla.org/en-US/kb/thunderbird- and-gmail

Hinweis : Wenn Sie ein bestehendes Google Mail-Konto in Thunderbird haben, müssen Sie die Authentifizierungsmethode in Ihren Kontoeinstellungen ändern:

Für IMAP in den GMail- Kontoeinstellungen > Servereinstellungen > Authentifizierungsmethode: "OAuth2"

und für SMTP (Senden) eine separate Einstellung ist, wählen Sie Google Mail (smtp.googlemail.com)> Bearbeiten Authentifizierungsmethode wieder OAuth2 .

(Nun, Sie können auch Ihr GMail-Konto entfernen und ein neues erstellen.)

— Pedi T.
quelle

Ist das noch ein offenes und Standardprotokoll? Wie viele E-Mail-Clients unterstützen es? Was sind die Sicherheitsvorteile? (Ihre Antwort ist gut, aber bis ich solche Punkte angesprochen sehe, halte ich die ursprüngliche Frage nicht für gelöst.)

— Nemo

Nun, ich habe keine Ahnung, welche Sicherheitsprobleme die anderen Authentifizierungsoptionen haben, obwohl ich selbst interessiert bin. Ich habe nur nach einer praktischen Lösung gesucht, wie ich TB mit GMail weiter nutzen und diese Warnmeldung vermeiden kann :-)

— Pedi T.