Por que o Google chama o Thunderbird de "menos seguro"?

Eu nunca tive problemas com o Gmail com o Thunderbird, mas ao tentar usar um cliente de software gratuito para o Google Talk / Chat / Hangout , descobri isso, de acordo com o documento do Google sobre "aplicativos menos seguros" :

Alguns exemplos de aplicativos que não oferecem suporte aos mais recentes padrões de segurança incluem [...] clientes de correio de mesa, como o Microsoft Outlook e o Mozilla Thunderbird.

O Google oferece uma opção de conta tudo ou nada, segura ou não segura ("Permitir aplicativos menos seguros").

Por que o Google diz que o Thunderbird "não suporta os mais recentes padrões de segurança"? O Google está tentando dizer que protocolos padrão como IMAP, SMTP e POP3 são formas "menos seguras" de acessar uma caixa de correio? Eles estão tentando dizer que o uso que os usuários fazem desse software coloca suas contas em risco? Ou o que?

O Relatório de Vulnerabilidade da Secunia : Mozilla Thunderbird 24.x (onde está 31?) Diz «11% sem patch (1 de 9 avisos da Secunia) [...] O mais severo aviso de Secunia sem patch que afeta o Mozilla Thunderbird 24.x, com todos os patches de fornecedores aplicados , é classificado como altamente crítico », aparentemente SA59803 .

Atualização 2 : a partir de 2018, o Google duplicará enviando mensagens para convidar para desativar o acesso "menos seguro":

Atualização : O OAuth2 está disponível no Thunderbird 38, com outras correções em versões posteriores, e o bug 849540 foi fechado. Ainda não estou claro sobre os objetivos de todo esse circo.

— Nemo
fonte

Problema relevante com o Bugzilla.

— 23414 Bob

Se você tiver a autenticação de dois fatores ativada na conta, poderá gerar uma senha específica do aplicativo para o Thunderbird.

— Ry-

Isso realmente exige a resposta "Porque o Google está errado".

— 23714 Joshua

Relacionados com Security.SE: Quais são os perigos de permitir que "aplicativos menos seguros" acessem minha conta do Google? (Acho que a prática de permitir que terceiros vejam suas credenciais é bastante chamada de "menos segura", mas não está totalmente claro para mim qual é o benefício de segurança que o Google oferece ao negar a autenticação depois que você já cedeu suas credenciais.)

— apsillers

Respostas:

É porque esses clientes (atualmente) não oferecem suporte ao OAuth 2.0 .

... a partir do segundo semestre de 2014, começaremos a aumentar gradualmente as verificações de segurança realizadas quando os usuários fizerem login no Google. Essas verificações adicionais garantirão que apenas o usuário pretendido tenha acesso à sua conta, seja por meio de um navegador, dispositivo ou aplicativo. Essas alterações afetarão qualquer aplicativo que envie um nome de usuário e / ou senha ao Google.

Para proteger melhor seus usuários, recomendamos que você atualize todos os seus aplicativos para o OAuth 2.0. Se você optar por não fazer isso, será necessário que seus usuários tomem etapas extras para continuar acessando seus aplicativos.

...

Em resumo, se o seu aplicativo atualmente usa senhas simples para autenticação no Google, recomendamos que você minimize a interrupção do usuário ao mudar para o OAuth 2.0.

Fonte: "Novas medidas de segurança afetarão aplicativos mais antigos (que não são do OAuth 2.0)" - Blog de segurança do Google Online

— Ƭᴇcʜιᴇ007
fonte

O problema não é realmente segurança, é controle de qualidade para mineração de dados. A segurança real impediria o Google de extrair seus dados pessoais.

— fixer1234

@ fixer1234 Pessoalmente, acho que é mais sobre o Google querer forçar o envolvimento de um navegador da web (segunda etapa na autenticação), com a esperança de que você acabe incomodado em usar apenas o cliente de e-mail da web (do Google). ;)

— Ƭᴇcʜιᴇ007

@Nemo "Senhas simples" não se refere ao fato de as senhas serem criptografadas em trânsito, mas se o aplicativo de terceiros (neste caso, o Thunderbird) tem acesso à sua senha da Conta do Google em texto sem formatação. Com o OAuth, isso não acontece. Dependendo da segurança e da confiabilidade do aplicativo de terceiros, o fato de armazenar ou não sua senha em texto sem formatação pode ser um problema crítico de segurança.

— Ajedi32

Ajedi32, eu entendo o que eles significam, mas a terminologia não é clara. Nesta resposta, é tecnicamente correto, mas IMHO não é satisfatório. Qual o sentido de declarar que "aplicativos menos seguros" para acessar o gmail incluem o Thunderbird, mas não os navegadores da Web que na maioria das vezes armazenam senhas, às vezes nem mesmo criptografados?

— Nemo

O OAuth é mais seguro porque ele só precisa descriptografar o chaveiro (por exemplo, senhas em texto sem formatação) por um período muito curto enquanto você autoriza o agente de correio, isso é verdade se você faz a autenticação no navegador ou se o próprio software de correio suporta OAuth incorporado autorização. Se o software de correio não usar o OAuth, você precisará desbloquear praticamente o chaveiro praticamente o tempo todo, derrotando o objetivo da criptografia (sua senha também estará em risco toda vez que você suspender ou hibernar o computador com o chaveiro desbloqueado).

— Lie Ryan

A partir do Thunderbird 38 OAuth 2.0 é suportado, consulte https://support.mozilla.org/en-US/kb/thunderbird-and-gmail e https://support.mozilla.org/en-US/kb/thunderbird- e-gmail

Nota : Se você já possui uma conta do Gmail no Thunderbird, é necessário alterar o método de autenticação nas configurações da sua conta:

Para IMAP nas configurações da conta GMail> Configurações do servidor> Método de autenticação: "OAuth2"

e para SMTP (envio), há uma configuração separada, escolha Google Mail (smtp.googlemail.com)> Editar método de autenticação novamente para OAuth2 .

(Bem, você também pode remover sua conta do GMail e criar uma nova.)

— Pedi T.
fonte

Ainda é um protocolo aberto e padrão? Quantos clientes de email o suportam? Quais são seus benefícios de segurança? (Sua resposta é boa, mas até que eu veja esses pontos abordados, não considero a pergunta original resolvida.)

— Nemo

Bem, não tenho idéia de quais problemas de segurança as outras opções de autenticação têm, embora eu esteja interessado. Eu só estava procurando uma solução prática como posso continuar usando TB com GMail e evitar essa mensagem de aviso :-)

— Pedi T.