LINUX.ORG.RU

С 15 февраля 2021 года будет отключена парольная аутентификация IMAP, CardDAV, CalDAV и Google Sync для пользователей G Suite

 , , , ,


2

1

Об этом сообщалось в письме, разосланном пользователям G Suite. Причиной заявлена высокая уязвимость к угону учётной записи при использовании однофакторной аутентификации по логину и паролю.

15 июня 2020 года будет отключена возможность парольной аутентификации для пользователей, которые пытаются осуществить её впервые, а 15 февраля 2021 года — для всех.

В качестве замены предлагается использовать OAuth. Из свободных клиентов для IMAP, CardDAV и CalDAV этот способ аутентификации поддерживают Thunderbird и KMail (но у пользователей KMail в последнее время отмечаются проблемы).

Парольная аутентификация для SMTP продолжит работать. О подобных изменениях для некорпоративных пользователей учётных записей Google пока не известно.

>>> Подробности



Проверено: leave ()
Ответ на: комментарий от mertvoprog

Гуглопед не должен решать, что делать на его платформе? Охренеть.

Да на любой платформе. Типа, если ты входишь к Толяну в ларёк за пивом, то должен 3 раза присесть и 20 раз отжаться, потому что это «его ларёк». Ну что за детский сад, ей богу.

Так надо 2FA делать не через тот телефон, на котором пароль от учётки хранится ;-) Иначе какая это 2FA?

И он должен быть оформлен на никому неизвестного бомжа и вообще. Я объясню на пальцах. Заходишь в citrix, набираешь телефон. Выбираешь владельца. Видишь все (!) его телефоны. Выбираешь нужный. Берёшь новую симку. Перебиваешь HLR. У тебя его симка. Настолько это просто.

А это плохо, ибо стимулирует пользователей окукливаться на минимальном количестве ресурсов, которые заменяют им весь Интернет.

Есть и обратная сторона. Больше ресурсов, больше соблаза использовать для всех один пароль. Мелкий ресурс, больше вероятности угона БД. Больше вероятности продажи БД владельцем. Больше вероятности ввести свой один пароль на фишинговом сайте.

Сраный OAuth никто не отменял. Регайся в одном месте. Используй везде.

Отсутствие ограничений не стимулирует выполнять пункт 2, увы.

Зато мне не нужно мой 27-символьный пароль урезать до 20-ти. Я это говорю, потому что в skype и paypayl ограничение в 20 символов. И прикол в том, что это разное количество символов.

Ну дак физиков они и не ограничивают (пока). Недавно проскакивала инфа, что там на 90% учёток 2FA не используется. Но бизнес — это совсем другое дело, там безопасность надо энфорсить, потому что один дятел, не следящий за безопасностью, может подставить всю компанию.

Ну так пусть это как услугу продают нерадивым бизнесменам, нанимающим дятлов и дающим им доступ к подставе всех.

И благополучно теряете доступ, когда теряете ключ, ага.

Теряете ключ от дел вселенской важности. Противоречие вижу я.

Щя бы в 2#20-м JS и Java путать.

Ну так и не путай. Контекст не я отменял.

Не хотите — не пользуйтесь. Вас кто-то заставляет? :3 По сравнению с каким-нибудь ваззапом, такие требования — это ещё цветочки.

А я не по своему выбору гугл-сервисами пользуюсь. Если что на устройствах ведроида они вообще вшиты. Такая свободная конкуренция, что только тебе наверное невдомёк.

Ви таки антиглобалист? А в Интернете что забыли? Валите в свою уютненьку локалочку.

Бред.

kostyarin_ ★★
()
Ответ на: комментарий от Croco

Ну, здесь мои сведения могли изрядно устареть – я LIR поднимал в 1997 году, а работал в той конторе до 1999го. Ага, таки это был блок /19 :-)
Но вообще несколько штучек /24 – это для провайдера связности, гм… у меня было ощущение, что при таком количестве клиентов это получится ниже уровня окупаемости. Видимо, неправильное ощущение.

Теже годы, вышестоящий пров просто отдавал C-ки бесплатно, а DNS запросы форвардились нам. Причем провом стали на самом деле случайно просто размещались в жилом доме и решили немного отбить бабла за инет предоставляя услуги и жителям, и емнип изначально была пара сетей /28 так вот и по этим адресам форвард шел к нам.

anc ★★★★★
()
Ответ на: комментарий от DawnCaster

Вроде-бы с почтового клиента K-9 Mail тоже всё работает пока нормально при сменах локаций.

Он коллектор, собирает почту на свой сервер а вам отдает с него, поэтому смена локации не играет роли.

anc ★★★★★
()
Ответ на: комментарий от anonymous

Я бы сказал чуть больше: нельзя ничего важного завязывать на /сторонние/ сервисы. Особенно бесплатные.

Штука в том, если ты хочешь завязать на свой сервис, то нужен домен, а чтобы купить домен нужно создать учётку у регистратора доменов, которая требует почты, без которой нельзя зарегистрироваться и купить домен, без которого ты не создашь свой сервис. Круг замкнулся.

Замечание интересное, но не более того. В современных условиях если нет другой почты, зарегайтесь хоть в том же gmail, а после регистрации домена и поднятия почты, поменяйте почту на свою и удалите бесплатный акк.

anc ★★★★★
()
Ответ на: комментарий от mertvoprog

Имеем ящики на куче почтовиков, никаких заморочек особых нет, ну разве что...IMAP нету

Вы это где такое Г мамонта находите?

anc ★★★★★
()
Ответ на: комментарий от DawnCaster

Гугол с этим справляется куда лучше меня. Настроить свою корпоративную почту, чтобы потом нормально слать письма клиентам на гуглопочту - тот ещё квест. И с каждым годом оно становится все сложнее и сложнее.

Я конечно не зарекаюсь, но пока, из работающих овер 12 лет (про старые не скажу там другие админы пришли), все робит и особо ничего чинить не надо, ЧЯДНТ?

anc ★★★★★
()
Ответ на: комментарий от mertvoprog

Ископаемые углеводороды скоро закончатся, так что преимущество ДВС над электродвигателями отпадёт само собой.

скоро это через сколько столетий? Тот-то так нефть падает.
И самолеты на электродвигателях летать начнут и суда на электродвигателях ходить начнут(хорошо не берем атомники, которых не так много, и стоят убер дофига) и ракеты в космос тоже на электродвигателях (интересно посмотреть).

anc ★★★★★
()
Ответ на: комментарий от anc

Блин, напугали вы меня. Только что проверил на одном своём аккаунте на mail.ru: проверка почты по IMAP и логин через веб интерфейс происходят с одного IP адреса.

В справке k9 тоже пишется что приложение проверяет почту напрямую.

Мы точно говорим про одно и тоже приложение для андроида: k-9 mail ?

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 1)
Ответ на: комментарий от mertvoprog

Позвольте-с, а кто будет обеспечивать работоспособность своих сервисов, если хозяин временно не может? С людьми, знаете ли, всякое случается — армия, больница, тюрьма… Можно на несколько лет пропасть, потом вернётесь к нормальной жизни — вся «собственная инфраструктура», сдохнет, а почта «у дяди» с высокой вероятностью останется живой, и даже пришедшая за это время почта никуда не пропадёт.

Вы будете перечитывать почту «за несколько лет» ? По меньшей мере это уже не актуально, скорее прочитаете последнии «пару» писем а потом все пометите-прочитанными/удалите.
Далее по вашим пунктам.
1. армия - ну вроде как мобильники не запрещены
2. больница - тут действительно если серьезно после выхода вам будет пофиг на почту. Сам такое проходил и какой там год, всего несколько недель, разгребал очень долго и неспешно.
3. тюрьма - мобильники запрещены, но пользуют, не голословно, друг детства сидит, и по словам общих друзей всякие соц сети пользует (меня в них нет а вот с теми кто пользует переписывается).

anc ★★★★★
()
Ответ на: комментарий от DawnCaster

Может что и поменяли и он стал не коллектором. Тогда я не прав, простите. Но ещё несколько лет назад это было именно так. Мы правда говорим про «k-9 mail» для андроида. Однако реальности можно понять только на личном почтаре, из логов. Что там пишет mail.ru я не знаю, не исключено что и «фильтрует базар». Сам k9 у меня изначально «влетел» по причине «доступ с левых ip» коллега установил его. Позже из удобных и не коллекторов я нашел только aqua mail. На текущий момент, повторные тесты делать просто лениво ибо не нужно.

anc ★★★★★
()
Ответ на: комментарий от mertvoprog

А как Вы предлагаете их измерять?

fail засчитан, пальцегнутый ты наш.

Не «у нас», а «у Нас». Вы не отличаете множественное число от формального единственного?
Какое? Что не запрещено — то разрешено.

fail2, незнание русского и понты. перестань писать местоимения с большой буквы. неумно.

crypt ★★★★★
()
Ответ на: комментарий от Stanson

Я предпочту термоядерный реактор

Ну его вроде как не сделали, не берем экспериментальные в кач-ве учета.

anc ★★★★★
()
Ответ на: комментарий от mertvoprog

А почему Вы каждый раз рассылаете разному списку лиц? А согласен ли этот список на такие рассылки?

Простой пример. Много людей включенных в CC email переписку, переписка долгая, далее кто-то удаляется по собственной просьбе, ибо его уже это не интересует или наоборот кто-то бывает добавлен. Это нормальное явление. Теперь объясните мне например кто «в что случилось» может добавить нового пользователя в чат кроме как создателя этой группы?

anc ★★★★★
()
Ответ на: комментарий от mertvoprog

Ну катайтесь с целой печкой, не вопрос. Только не удивляйтесь, когда автомобили и мопеды в целом маргинализируются в пользу всяких гироскутеров и сегвеев, потому что электродвигатели могут быть компактными, а ДВС — нет.

man велик с ДВС ещё совейских времен, сюрпрайз?

anc ★★★★★
()
Ответ на: комментарий от anc

Ну его вроде как не сделали, не берем экспериментальные в кач-ве учета.

Да ничего толком не сделали. Fuel cells куда-то тихонько профукались, после стольких лет обещаний, гибриды не очень эффективны при генерации электричества, потому что ДВС гибрида больше заточены всё-же под езду а не генерацию, да и всё равно требуют аккумулятор. ГТД с прямым приводом на генератор хороши, но требуют колоссальной точности при изготовлении в габаритах пригодных для легковушки, а ГТД аналогичного размера от банальной ВСУ самолёта недостаточно эффективны, потому что при таком размере крутятся недостаточно быстро и зазоры там великоваты для хорошего КПД. У РИТЭГов соответствующего размера мощность маловата и выключить их проблематично, они всё время энергию дают, опять аккумулятор нужен. Ну и собственно всё - больше реальных вариантов нету.

Stanson ★★★★★
()
Ответ на: комментарий от anc

Нет, не путаю.

Я ж написал, что хотя РИТЭГ («атомный») уже давно существует, он малопригоден для электромобиля, потому что мощность маловата для прямого привода электродвигателя, и работает он постоянно, поэтому один хрен понадобится аккумулятор для автомобильного применения со всеми вытекающими. Да, розетка не понадобится, что уже неплохо, но перспектива посередине пути внезапно останавливаться и ждать много часов когда аккумулятор снова зарядится чтобы продолжить путь - вообще не вариант.

Stanson ★★★★★
()
Ответ на: комментарий от anc

Термоядерный был бы круче атомного - его и запускать-останавливать можно, и удельная мощность у него выше - возможно уже хватило бы чтобы обойтись без аккумулятора. Но раз несуществующие не считаются, то термояд вычёркиваем.

Stanson ★★★★★
()
Ответ на: комментарий от DawnCaster

Matrix, Tox, собственный домен и почта.. я себе поднял и счастлив

maxlinux
()
Ответ на: комментарий от mertvoprog

От банального кейлоггера не застрахованы никто.

Кейлоггер - это уже куда более серьезная атака, нежели просто угаданный/подобранный/вставленный_с_другого_сайта пароль. Как минимум, это уже малварь на системе у жертвы. И подход к защите сервиса от такого вектора атак куда более серьезный, нежели 2 фактор аутентификации аппликухой на мобильном телефоне. Можете почитать про крипто-токены с дисплейчиком для проверки транзакции перед ее подтверждением.

Long story short: обязательную двухфакторку гугл вводит вовсе не из-за кейлоггеров, а тупо профуканых паролей.

Ну крупная контора не особо заинтересована в поддержке всякой маргинальщины, увы.

Буквально на днях сталкивался с примером обратного: крупная контора, которая как и гугл, может позволить себе диктовать другим свои условия, тем не менее, предлагала несколько опций для двухфакторной аутентификации: приложение под IOS/Android/WinPhone, СМС-ки и даже звонок на городской телефон!

Ну позвольте-с, а что делать в случае беды? Терять доступ к аккаунту навсегда, как люди вон криптокошельки теряют? Тоже надо риски учитывать.

Что-то делать надо. Но уж точно не обманывать пользователей, и себя заодно, введением «двухфакторной аутентификации», где один из этих факторов вам могут «простить», если слезно попросите.

Еще раз: двухфакторка пароль+телефон, при которой «забытый» пароль вам любезно высылают на телефон - это никакая не двухфакторка, это тупо аутентификация через телефон!

segfault ★★★★★
()
Ответ на: комментарий от mertvoprog

Ископаемые углеводороды скоро закончатся, так что преимущество ДВС над электродвигателями отпадёт само собой.

Во-первых, не скоро. Во-вторых, закончатся ископаемые - пойдут в ход синтетические. Пока не будет конкуррентоспособной альтернативы, эта тема не умрет.

segfault ★★★★★
()
Ответ на: комментарий от kostyarin_

если ты входишь к Толяну в ларёк за пивом

Именно так. Во многих местах висят таблички — с собаками не входить, с мороженным не входить, русским не входить, и так далее. Про такие вещи, как фейс-контроль и дресс-код, опять же — слышали? Если требования обоснованы, то рыночек порешает (или антимонопольщики, если ситуация запущенная), а если обоснованы — нечего жаловаться.

Заходишь в citrix

Вы о каком продукте? у них их много. Если о чём-то опсосовском, то как это поможет узнать номера у других опсосов?

Больше ресурсов, больше соблаза использовать для всех один пароль

Лучше пусть некоторые дятлы имеют для всего один пароль, чем все будут вынуждены авторизоваться одним паролем через единый сервис. Беда ведь не в том, что такую возможность дают, а в том, что на многих сайтах уже нет ничего кроме OAuth.

Зато мне не нужно мой 27-символьный пароль урезать до 20-ти

Если ограничения стимулируют делать пароль не более сложным, а менее сложным, то это баг и его надо репортить.

Ну так пусть это как услугу продают нерадивым бизнесменам

Так ведь сабж таковым и является. Вы даже заголовок не читали, а просто пришли посрать?

Теряете ключ от дел вселенской важности. Противоречие вижу я.

В чём? Дерьмо случается, независимо от важности.

Ну так и не путай. Контекст не я отменял

Контекст оправдывает называние Java и JavaScript одним словом? Придумайте другое, есть же жабаскрипт и жопоскрипт, например.

Если что на устройствах ведроида они вообще вшиты

Во-первых, далеко не на всех. Во-вторых, на ведроиде свет клином не сошёлся.

Бред.

Обоснуйте.

mertvoprog
() автор топика
Ответ на: комментарий от anc

скоро это через сколько столетий?

Да уже везде пик добычи должен был пройти к 2019-му году.

И самолеты на электродвигателях летать начнут и суда на электродвигателях ходить начнут

Не начнут — придётся жить без самолётов.

mertvoprog
() автор топика
Ответ на: комментарий от anc

Вы будете перечитывать почту «за несколько лет» ?

Да.

не актуально

Почему?

вроде как мобильники не запрещены

Запрещены, но многие ухитряются проносить на свой страх и риск, постоянно пряча и нося с собой. В принципе, как в тюрьме.

вам будет пофиг на почту

А на что не пофиг?

всякие соц сети пользует

Тащемта, взлёт популярности соцсетей в конце 00-х обусловлен тем, что они отлично работали в Opera Mini, в то время из мессенджеров разве что аська и жаббер со скрипом работали, постоянно отваливаясь и теряя сообщения из-за неадаптированности к мобильному интернету. Twitter тоже обрёл популярность благодаря SMS-гейту (от которого и происходит странное ограничение на длину сообщений). Потом пошла волна мобильных мессенджеров, адаптированных под новые условия, и мессенджеры как класс вновь начали отстаивать свои позиции, заимствовав, впрочем, многую функциональность у соцсетевых чатиков, да и сами соцсети выделили свои чатики в отдельные продукты.

mertvoprog
() автор топика
Ответ на: комментарий от crypt

fail засчитан

Это ещё почему? Вы утверждаете, что спам тысячами писем валит — Вы и доказывайте. Мы этого не видим и верить Вашему пустозвонству не обязаны.

перестань писать местоимения с большой буквы. неумно.

Вы-то и вовсе заглавных букв не употребляете, даже в начале предложений — покажите правило, которое это допускает ;-)

mertvoprog
() автор топика
Ответ на: комментарий от anc

удаляется по собственной просьбе

В мессенджерах для этого вообще не нужно никаких просьб и бюрократии, просто берёте и выходите из чата.

«в что случилось»

Это что такое? Вы про WhatsApp, что ли? Ну значит, он дрянь; в приличных мессенджерах есть публичные чаты, в который зайти по имени или ссылке может зайти кто угодно; в некоторых также есть инвайт-ссылки на приватные групповые чаты.

mertvoprog
() автор топика
Ответ на: комментарий от mertvoprog

Оффтоп. Ты один из чуваков, к которым я прислушиваюсь. Подскажи, где на винде личные файлы хранить? Вижу два варианта: либо отдельная партиция (D) либо отдельная папка в корневом каталоге диска С. Как думаешь, что лучше?

Надо чтоб а) винда ниче не удалила, не засрала сама, б) чтоб ничего не похерилось при переустановках.

anonymous
()
Ответ на: комментарий от anonymous

и вообще не похерилось, короче

anonymous
()
Ответ на: комментарий от anonymous

Модераторам: имейте совесть, не удаляйте.

anonymous
()
Ответ на: комментарий от anonymous

Мы используем отдельный раздел, в целом никто его не трогает, но винда и некоторый софт всё равно умудряются насрать (Config.Msi, resC.txt/resD.txt какие-то, Nokia и Office насрали своими папками). Переустановками винды не страдаем, поэтому ничего посоветовать тут не можем. В принципе, с отдельным разделом ничего случиться не должно, похерить его можно только высоким уровнем рукожопия при выборе раздела для установки.

mertvoprog
() автор топика
Ответ на: комментарий от segfault

крупная контора, которая как и гугл, может позволить себе диктовать другим свои условия, тем не менее, предлагала несколько опций для двухфакторной аутентификации: приложение под IOS/Android/WinPhone, СМС-ки и даже звонок на городской телефон!

Ну молодцы. А куча европейских банков уже и SMS поотключали, требуют только приложение.

если слезно попросите

Ну дык «попросить» — уже затруднение для злоумышленника.

это тупо аутентификация через телефон!

Ну смотрите, от какого вектора это страхует: мошенники нередко успешно выманивают у недалёких пользователей код из SMS, для этого не нужно упереть мобилу (что вообще нетривиально сделать таргетированно). Какой-то непонятный код выманить обманным путём проще, чем пароль.

mertvoprog
() автор топика
Ответ на: комментарий от segfault

пойдут в ход синтетические

А толку с синтетических, кроме как для совместимости? Есть технология запасания энергии путём синтеза углеводородов без огромных потерь?

mertvoprog
() автор топика
Ответ на: комментарий от mertvoprog

Я и сам так раньше делел. Просто задался вопросом, а не лучше ли во всех смыслах - именно директория? Как-то оно проще, а зачем усложнять без необходимости?

anonymous
()

Почта гугла для уведомлений вообще перестала работать, настраивал на принтере и сервере, чтобы приходили письма о неполадках, а приходят вопли от гугла, что типа аккаунт пытаются взломать. Так и не смог победить этот маразм, поменял на Fastmail, где все отлично работает. Теперь гуглозонд только рабочий.

Lordwind ★★★★★
()
Ответ на: комментарий от Lordwind

Хехе, а ведь в сабжевом письме прямо упомянули, что SMTP оставляют для всяких принтеров… Но может, там просто TLS нету/протух?

mertvoprog
() автор топика
Ответ на: комментарий от mertvoprog
  • Не надо думать сколько места отдать на каждый раздел.

  • Разбивка диска на партиции, как говорят в интернетах, это не очень хорошо для надежности.

anonymous
()
Ответ на: комментарий от mertvoprog

TLS есть, проверял. Гугл много чего обещал. А по факту бесплатный сыр везде одинаковый.

Lordwind ★★★★★
()
Ответ на: комментарий от segfault

Про аутентификацию через телефон. Всё-таки сотовый телефон — это не только ценный мех производная от government-issued ID, но и доступная аппаратная смарткарта! Без её похищения… ну или перевыпуска представиться её обладателем всё же довольно затруднительно. А есть ли вообще хоть какая-нибудь ещё возможность а) легко приобрести универсальную смарткарту и б) с её помощью в каком-нибудь приличном месте зарегистрироваться и авторизоваться? Вот чтоб без всяких там логинов, паролей и почт, не говоря уже о более тяжёлых случаях вымогательства совершенно посторонней информации. Да ладно смарткарта, хотя бы по обычному публичному ключу регистрация и авторизация хоть на каком-нибудь сайте или сервисе реализована? Нет же! Ну, не считая SSH и кое-чего в P2P. И вот на фоне этого гугл и прочие с лёгкостью идут на то, что пользователь будет аутентифицироваться фактически через третью сторону. Лишь бы только пароль не забыл. Ну а с кого им тогда собирать данные, если вдруг забудет?

toyo-chi
()
Последнее исправление: toyo-chi (всего исправлений: 1)
Ответ на: комментарий от kostyarin_

Ну так какая разница. Есть зависимость от тяжеловесной софтины. А значит OAuth априори – тяжёлая штука.

по oauth можно авторизоваться без браузера. Гугл в помощь.

gorilych ★★
()
Ответ на: комментарий от toyo-chi

хотя бы по обычному публичному ключу регистрация и авторизация хоть на каком-нибудь сайте или сервисе реализована?

Ну на некоторых госсервисах есть такое.

с лёгкостью идут на то, что пользователь будет аутентифицироваться фактически через третью сторону.

При этом сами охотно выступают в роли этой третьей стороны. Много ходов очка анонимного прокси кавказской национальности!

mertvoprog
() автор топика
Ответ на: комментарий от gorilych

Без браузера можно подсунуть токен. А вот получать его в любом случае придётся под каким-то браузерным движком.

mertvoprog
() автор топика
Ответ на: комментарий от mertvoprog

«Денискины рассказы» Мы тоже читали, и что? Там бензина на сколько минут хватит?

За вас тоже гуглить? Ну хорошо из вики В-901

Расход бензина-1-1,2 литра на 100 км
Емкость бака-2,25 л
Скорость -до 35 км / ч

Ну и где здесь минуты? И как вам писали выше, «зарядка» этой штуки занимает минуту, в отличии от всяких электродвижков.
И что вы будете делать когда аккум сдохнет на вашем «гироскутере»? Правильно переть на себе, «сначала мы на нем ездили теперь он на нас» в то время как на велике можно педалями покрутить до ближайшей заправки.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 2)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.