Чому Google каже, що Mozilla Thunderbird менш захищена?

Іноді, коли ви шукаєте відповідь на одне, в кінцевому підсумку ви знайдете щось інше досить дивно. Справа в тому, заява Google про те, що Mozilla Thunderbird менш безпечна, але чому вони це кажуть? Сьогоднішня посада із запитами та відповідями SuperUser має відповідь на плутане запитання читача.

Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно SuperUser - підрозділ Stack Exchange, групування веб-сайтів із запитаннями та відповідями на рівні спільноти..

Питання

Читач SuperUser Немо хоче знати, чому Google вважає Thunderbird менш безпечним:

Я ніколи не мав проблем з використанням Gmail з Thunderbird, але, намагаючись скористатися клієнтом вільного програмного забезпечення для Google Talk / Chat / Hangout, я виявив наступну несподівану заяву. Відповідно до документа Google про менш безпечні програми:

• Деякі приклади додатків, які не підтримують останні стандарти безпеки, включають [...] поштові клієнти на робочому столі, такі як Microsoft Outlook і Mozilla Thunderbird.

Потім Google пропонує перемикання захищеного або не захищеного облікового запису "все або нічого" (“Дозволити менш захищені програми ").

Чому Google каже, що Thunderbird не підтримує останні стандарти безпеки? Чи намагається Google сказати, що стандартні протоколи, такі як IMAP, SMTP і POP3, є менш безпечними способами доступу до поштової скриньки? Чи намагаються вони сказати, що діяльність користувачів, що беруть участь у програмному забезпеченні, піддає ризику свої рахунки або що?

Звіт про вразливість Secunia у Mozilla Thunderbird 24.x говорить:

• Непідписані 11 відсотків (1 з 9 рекомендацій Secunia) […] Найбільш сувора довідка Secunia, що впливає на Mozilla Thunderbird 24.x, з усіма застосованими виправленнями постачальників, оцінюється дуже критично (очевидно, SA59803).

Чому Google каже, що Mozilla Thunderbird менш безпечна?

Відповідь

Співробітник SuperUser Techie007 має відповідь для нас:

Це відбувається тому, що ці клієнти (наразі) не підтримують OAuth 2.0. Відповідно до Google:

• Починаючи з другої половини 2014 року, ми почнемо поступово збільшувати перевірки безпеки, що виконуються, коли користувачі входять до Google. Ці додаткові перевірки гарантують, що тільки призначений користувач має доступ до свого облікового запису, через браузер, пристрій або програму. Ці зміни вплинуть на будь-яку програму, яка надсилає ім'я користувача та / або пароль до Google.
• Щоб краще захистити користувачів, радимо оновити всі програми до OAuth 2.0. Якщо ви вирішите не робити цього, вашим користувачам потрібно буде зробити додаткові кроки, щоб продовжити доступ до ваших програм.
• Таким чином, якщо ваша програма наразі використовує звичайні паролі для автентифікації в Google, ми настійно рекомендуємо вам звести до мінімуму зриви користувачів, перейшовши на OAuth 2.0..

Джерело: нові заходи безпеки вплинуть на старі (не OAuth 2.0) додатки (блог Google Online Security)

Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.