LINUX.ORG.RU

С 15 февраля 2021 года будет отключена парольная аутентификация IMAP, CardDAV, CalDAV и Google Sync для пользователей G Suite

 , , , ,


2

1

Об этом сообщалось в письме, разосланном пользователям G Suite. Причиной заявлена высокая уязвимость к угону учётной записи при использовании однофакторной аутентификации по логину и паролю.

15 июня 2020 года будет отключена возможность парольной аутентификации для пользователей, которые пытаются осуществить её впервые, а 15 февраля 2021 года — для всех.

В качестве замены предлагается использовать OAuth. Из свободных клиентов для IMAP, CardDAV и CalDAV этот способ аутентификации поддерживают Thunderbird и KMail (но у пользователей KMail в последнее время отмечаются проблемы).

Парольная аутентификация для SMTP продолжит работать. О подобных изменениях для некорпоративных пользователей учётных записей Google пока не известно.

>>> Подробности



Проверено: leave ()
Ответ на: комментарий от Zombieff

Не обязательно, приложение может открыть ссылку в любом стороннем браузере (умеющем яваскрипт), браузер передаст токен авторизации обратно в приложение. Не помню, кто из популярных приложений это делал/делает вместо того, чтобы в себя ещё и браузер пихать.

Ну так какая разница. Есть зависимость от тяжеловесной софтины. А значит OAuth априори – тяжёлая штука. И по сути применим только для авторизации на других сайтах. Сам представь – ставишь такой себе на консольный Linux какой-нибудь консольный IMAP-клиент и ничего. Привязка у Гую, привязка к тяжеловесному дерьму типа браузера. Привязка к жабаскрипт. Привязка от гугла. У гугловиков в голове просто дерьмо одно – веб и нода, больше они ничего осилить не могут.

kostyarin_ ★★
()
Ответ на: комментарий от kostyarin_

веб и нода, больше они ничего осилить не могут.

Там всё хуже. Осилить они могут что угодно, но им надо совсем другое. А именно – присутствовать в каждом компе. Поголовно. Отсюда постоянное «совершенствование» их поганых веб-сервисов, ломающее совместимость с браузерами полугодовой давности (особенно впечатлила эта долбаная reCAPTCHA, в которой не изменилось ничего, но работать она в какой-то момент во всех моих браузерах перестала), отсюда финансирование разработки самих браузеров, отсюда предоставление как можно большего количества халявных веб-сервисов, влючая всякие google-analytics и прочее.

Лично для меня с неавних пор сотрудники гугла – лица нерукопожатные. Я даже с мелкомягкими готов общаться, но не с гуглоедами.

Croco ★★★
()
Ответ на: комментарий от Croco

долбаная reCAPTCHA, в которой не изменилось ничего, но работать она в какой-то момент во всех моих браузерах перестала

да, в основанных на движке файрфокса такое замечал

Лично для меня с неавних пор сотрудники гугла – лица нерукопожатные.

ни в коем случае нельзя ничего важного завязывать на гугловские сервисы, иначе будет плохо, особенно, когда санкции распространят на остальную территорию рф https://news.ycombinator.com/item?id=8977177

anonymous
()
Ответ на: комментарий от anonymous

ни в коем случае нельзя ничего важного завязывать на гугловские сервисы,

Я бы сказал чуть больше: нельзя ничего важного завязывать на /сторонние/ сервисы. Особенно бесплатные.

Croco ★★★
()
Ответ на: комментарий от Croco

Я бы сказал чуть больше: нельзя ничего важного завязывать на /сторонние/ сервисы. Особенно бесплатные.

Штука в том, если ты хочешь завязать на свой сервис, то нужен домен, а чтобы купить домен нужно создать учётку у регистратора доменов, которая требует почты, без которой нельзя зарегистрироваться и купить домен, без которого ты не создашь свой сервис. Круг замкнулся.

anonymous
()
Ответ на: комментарий от anonymous

Есть куча анонимных throw-away ящиков, на которые можно заргать некий bootstrap-домен, и потом сменить email на свой, пока никто не заметил.

balsoft ★★
()
Ответ на: комментарий от Croco

Позвольте-с, а кто будет обеспечивать работоспособность своих сервисов, если хозяин временно не может? С людьми, знаете ли, всякое случается — армия, больница, тюрьма… Можно на несколько лет пропасть, потом вернётесь к нормальной жизни — вся «собственная инфраструктура», сдохнет, а почта «у дяди» с высокой вероятностью останется живой, и даже пришедшая за это время почта никуда не пропадёт.

mertvoprog
() автор топика
Ответ на: комментарий от anonymous

Круг замкнулся.

Сам не проверял, но допускаю, что все еще существуют регистраторы, которые допускают использование легаси-бюрократических процедур регистрации, путем пересылки бумажных писем с подписью и печатью.

Khnazile ★★★★★
()
Ответ на: комментарий от anonymous

Я бы сказал чуть больше: нельзя ничего важного завязывать на /сторонние/ сервисы. Особенно бесплатные.

Штука в том, если ты хочешь завязать на свой сервис, то нужен домен, а чтобы купить домен нужно создать учётку у регистратора доменов, которая требует почты, без которой нельзя зарегистрироваться и купить домен, без которого ты не создашь свой сервис. Круг замкнулся.

Замечание интересное, но не более того. В современных условиях если нет другой почты, зарегайтесь хоть в том же gmail, а после регистрации домена и поднятия почты, поменяйте почту на свою и удалите бесплатный акк.

anc ★★★★★
()
Ответ на: комментарий от mertvoprog

Позвольте-с, а кто будет обеспечивать работоспособность своих сервисов, если хозяин временно не может? С людьми, знаете ли, всякое случается — армия, больница, тюрьма… Можно на несколько лет пропасть, потом вернётесь к нормальной жизни — вся «собственная инфраструктура», сдохнет, а почта «у дяди» с высокой вероятностью останется живой, и даже пришедшая за это время почта никуда не пропадёт.

Вы будете перечитывать почту «за несколько лет» ? По меньшей мере это уже не актуально, скорее прочитаете последнии «пару» писем а потом все пометите-прочитанными/удалите.
Далее по вашим пунктам.
1. армия - ну вроде как мобильники не запрещены
2. больница - тут действительно если серьезно после выхода вам будет пофиг на почту. Сам такое проходил и какой там год, всего несколько недель, разгребал очень долго и неспешно.
3. тюрьма - мобильники запрещены, но пользуют, не голословно, друг детства сидит, и по словам общих друзей всякие соц сети пользует (меня в них нет а вот с теми кто пользует переписывается).

anc ★★★★★
()
Ответ на: комментарий от anc

Вы будете перечитывать почту «за несколько лет» ?

Да.

не актуально

Почему?

вроде как мобильники не запрещены

Запрещены, но многие ухитряются проносить на свой страх и риск, постоянно пряча и нося с собой. В принципе, как в тюрьме.

вам будет пофиг на почту

А на что не пофиг?

всякие соц сети пользует

Тащемта, взлёт популярности соцсетей в конце 00-х обусловлен тем, что они отлично работали в Opera Mini, в то время из мессенджеров разве что аська и жаббер со скрипом работали, постоянно отваливаясь и теряя сообщения из-за неадаптированности к мобильному интернету. Twitter тоже обрёл популярность благодаря SMS-гейту (от которого и происходит странное ограничение на длину сообщений). Потом пошла волна мобильных мессенджеров, адаптированных под новые условия, и мессенджеры как класс вновь начали отстаивать свои позиции, заимствовав, впрочем, многую функциональность у соцсетевых чатиков, да и сами соцсети выделили свои чатики в отдельные продукты.

mertvoprog
() автор топика
Ответ на: комментарий от kostyarin_

Ну так какая разница. Есть зависимость от тяжеловесной софтины. А значит OAuth априори – тяжёлая штука.

по oauth можно авторизоваться без браузера. Гугл в помощь.

gorilych ★★
()
Ответ на: комментарий от gorilych

Без браузера можно подсунуть токен. А вот получать его в любом случае придётся под каким-то браузерным движком.

mertvoprog
() автор топика
Ответ на: комментарий от gorilych

https://developers.google.com/gdata/articles/using_cURL

Ну это частный случай, когда Google (вынуденно) предоставляет такую возможность. В общем и целом, требуется WebView да ежё и с ЖабаСкриптом. Потому как каждый сервис ещё и запрашивает у пользователя список разрешений и так далее. И каждый делает это по своему. По сути браузер становится ограничивающим фактором в наборе возможности свистопляски этой катавасии.

kostyarin_ ★★
()
Ответ на: комментарий от kostyarin_

посмотрите как gcloud работает. В нём нет никакого встроенного браузера.

Причина использования OAuth проста. Гугловый аккаунт используется в куче сервисов (не только самого гугла, а многих других) и передавать стороннему почтовому приложению пароль просто-напросто небезопасно. Хотите авторизацию по паролю - не используйте gmail.

gorilych ★★
()
Последнее исправление: gorilych (всего исправлений: 1)
Ответ на: комментарий от gorilych

Гугловый аккаунт используется в куче сервисов (не только самого гугла, а многих других) и передавать стороннему почтовому приложению пароль просто-напросто небезопасно

Дело вовсе не в пароле. Сервис может запросить что угодно. В том то и дело, что OAuth просто делегирует всё это дело, и стандартизирует только какой-то маленький кусок. Вполне релаьно даже использовать для своего сервиса сканер отпечатков ног, чтобы авторизовать по OAuth. Или сигну в вебке. По итогу упирается всё в «квадратное среднее» по целевой аудитории. И нахер мне какой-то сраный гугловый сервис, которым я никогда не пользуюсь. Как будто это имеет какое-то вообще значение.

kostyarin_ ★★
()
Ответ на: комментарий от kostyarin_

Сервис может запросить что угодно

Запрашиваемый уровень доступа покажут перед выдачей токена пользователю.

Стоит помнить, что авторизацию по паролю отрубили для корпоративных пользователей, где обычно на гугловый аккаунт завязана не только почта. Обычных пользователей это не касается.

А если это сделают для обычных пользователей, то это только плюс. Странно отдавать почтовику пароль аккаунта, с которым можно не только почту прочитать, но и зайти в другие сервисы, которые используют гугл для аутентификации.

И нахер мне какой-то сраный гугловый сервис

Тогда я не понимаю ваших страданий и возмущений, ограничения вас не коснутся.

gorilych ★★
()
Ответ на: комментарий от mertvoprog

да, это действительно так. Тем не менее, консольные приложения без встроенного браузера есть и работают.

gorilych ★★
()
Ответ на: комментарий от gorilych

Тогда я не понимаю ваших страданий и возмущений, ограничения вас не коснутся.

С чего бы это они меня не коснуться, если OAuth повсюду. И собсвенно разговор был про OAuth, и Гугл только как рассадник этого дерьма. Включая его повсеместных хомяков, готовых отставить любое его нововедение как что-то соврешенное.

kostyarin_ ★★
()
Последнее исправление: kostyarin_ (всего исправлений: 1)
Ответ на: комментарий от kostyarin_

в каком месте OAuth вас ущемляет, что за бред? Это механизм отделения аутентификации от авторизации, он не может быть плохим сам по себе. Плохим может быть его неуместное использование.

gorilych ★★
()
Ответ на: комментарий от gorilych

Странно отдавать почтовику пароль аккаунта, с которым можно не только почту прочитать, но и зайти в другие сервисы, которые используют гугл для аутентификации

Так у гугла давно поддерживаются генерируемые пароли для отдельных приложений. Так что причина не в этом.

mertvoprog
() автор топика
Ответ на: комментарий от gorilych

Пока работают. Сабж ведь тоже не сегодня и не завтра случится, он запланирован на будущее. Также в 2015-м отключили старый API YouTube, поломав этим кучу старых клиентов, в особенности на SmartTV. Вполне следует ожидать, что этот кусок легаси ждёт та же участь через несколько лет. Так что завязываться на него сейчас — не стоит.

mertvoprog
() автор топика
Ответ на: комментарий от gorilych

Ущемляет не сам OAuth, а растущее число сервисов, которые отказываются от регистрации через почту, OpenID, телефон и прочие независимые методы в пользу OAuth через ограниченный (исходя из сути OAuth) перечень OAuth-провайдеров.

mertvoprog
() автор топика
Ответ на: комментарий от gorilych

в каком месте OAuth вас ущемляет, что за бред? Это механизм отделения аутентификации от авторизации, он не может быть плохим сам по себе. Плохим может быть его неуместное использование.

С чего бы это механизм аутентификации не может быть плохим, это во первых? Во-вторых, OAuth требует WebView и JavaScript де факто.

kostyarin_ ★★
()
Ответ на: комментарий от kostyarin_

oauth не требует webview, учите матчасть. Во-первых, возможна полностью автоматическая аутентификация по паролю через password grant (у гугла правда нет такого, но OAuth тут причём?). Во-вторых, есть чисто консольные приложения без встроенного браузера, например gcloud.

gorilych ★★
()
Ответ на: комментарий от mertvoprog

число сервисов растёт, потому что это кому-то удобно. В том числе и пользователям, затрахавшимся регистрироваться на каждом сайте от авито до местечкового форума. Если вам это не удобно, сделайте свой интернет.

gorilych ★★
()
Ответ на: комментарий от gorilych

oauth не требует webview

Де-факто.

учите матчасть

Выходи на улицу. В сепке тебе не опишут реальное положение дел.

Во-первых, возможна полностью автоматическая аутентификация по паролю через password grant.

В скольких случаях из всех? Двух? Очень интересно.

Во-вторых, есть чисто консольные приложения без встроенного браузера, например gcloud.

Ну да ,самое время начать пользоваться ненужным мне дерьмом, чтобы просто OAuth без WebView и прочее, бла-бла.

kostyarin_ ★★
()
Ответ на: комментарий от kostyarin_

разъясняю для тех кто в танке и в последний раз (потому что аргументации почему кому-то вредит oauth я всё равно не вижу).

oauth создан для того, чтобы приложение не имело доступа к кредам. Это имеет смысл, в случаях когда

  • креды дают более широкий доступ, чем нужно приложению (случай почтовика, которому нужен доступ до gmail, и гуглового аккаунта, у которого есть доступ ко всему гугловым проектам в облаке и биллингу, гуглодиску, гуглпей)

  • креды управляются сторонним сервисом который не управляется ( например lingvolive который даёт авторизоваться с гуглом и фейсбуком)

При этом, приложению чтобы использовать oauth не обязательно встраивать в себя браузер (можно спрашивать токен перед запуском) или быть интерактивным (можно использовать сервисные аккаунты) - и это реально используется. Gcloud это пример утилиты, использующей такой подход, это не средство избавления от webview в oauth, как вы подумали.

Oauth никогда не вытеснит приложения с авторизацией по паролю, хотя бы потому, что для реализации oauth всё-таки надо в каком-то месте вводить пароль.

Существует много вариантов аутентификации, они не исключают друг друга.

gorilych ★★
()
Ответ на: комментарий от gorilych

разъясняю для тех кто в танке и в последний раз (потому что аргументации почему кому-то вредит oauth я всё равно не вижу).

В слепоте своей не видишь.

kostyarin_ ★★
()
Ответ на: комментарий от gorilych

Кстати, сегодня наблюдал ещё одно уродство связанное с твоим любимым Гуглом и OAuth. Они изменили что-то там и всем нужно подстраиваться. Учитывая как часто гугл вносит изменения, и насколько они тупые (в том смысле, что ничего не меняют, но всё ломают), то OAuth ещё более мерзкий протокол, т.к. позволяет вытворять и такое. А всё для чего? Для, ск, авторизации. Такое говно только школьники и хомяки гугла сожрут с удовольствием.

kostyarin_ ★★
()
Ответ на: комментарий от gorilych

сделайте свой интернет

Бесполезно, быдло и туда набежит и всё испортит. Надо не бегать от проблемы, а бороться с ней.

mertvoprog
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.