Pull to refresh

Comments 30

Тем не менее, большинству из нас регулярно приходится сообщать пароль сторонним сервисам


А можно поподробнее? Не могу припомнить, чтобы я или кто-то из моих знакомых сообщал свой пароль сторонним сервисам.
Пользователи сообщают пароли почтовым программам или другим почтовым сервисам при настройке сбора почты.
Мы хотим прекратить эту практику, для этого сделали шаг со своей стороны.
Программа — это не сервис, это продукт. Сервис — то, что предоставляет услуги.
Автомобиль — продукт, такси — сервис.
А как же такие феномены как SaaS?
А вы часто предоставляете saas'ам пароль от основной почты?
От моего ответа зависит станет ли программа продуктом или сервисом?
А почтовые клиенты, вроде Thunderbird, умеют OAuth?
Единственный кейс, которыя я вижу при котором нужен пароль — это гипер-удобные SaaS почтовые клиенты, которые пользователь предпочтет стандартным, однако я таких не знаю, поэтому буду рад ссылочке, если такие существуют.
К сожалению, тут есть проблемы, но они потенциально решаемые.

В настоящее время стандартом де-факто Oauth 2.0 в IMAP и SMTP является расширение SASL XOAUTH2 предложенное Google. Это расширение во-первых не стандартизовано, во-вторых не позволяет полноценного получения токена и не отвечает на вопрос где и как его получать. Т.е. Почтовая программа должна как-то самостоятельно определять где и как получать токен по HTTP. С версии 38.0.1 в Thunderbird вшита поддержка Oauth но только для серверов GMail. Как будет обстоять поддержка с OAuth других почтовых служб (Outlook.com, mail.ru) пока не ясно.

Имеется черновой стандарт draft-ietf-kitten-sasl-oauth продвигаемый Microsoft, над которым в настоящее время идет работа. Этот стандарт хорош тем, что не зависит от почтовой службы, клиентскому приложению достаточно будет реализовать его. Когда стандарт более-менее устаканится, можно будет реализовывать его поддержку как со стороны серверов, так и со стороны клиентов. Пока он не реализован даже самим Microsoft.
Сотрудница по ошибке ввела логин и пароль от почты на Яндексе (собственный домен) в интерфейсе Mail.ru. На что Mail.ru ответил «введите имя и фамилию». После чего стал показывать почту с чужого почтового ящика с другого почтового сервиса. В приличном обществе это называется фишинг и является уголовным преступлением.
Интересно, а если бы она ввела логин-пароль в Thunderbird — это тоже фишинг? А если вместо Thunderbird был бы некий сайт, который ведет себя так же как он?
Thunderbird — программа почтовый клиент. Mail.ru — почтовый сервис. Не надо делать вид, что между ними нет разницы. Почему-то другие почтовые сервисы сообщают, что введенный неправильно почтовый ящик у них не зарегистрирован.

PS. Если вы сотрудник Mail.ru, значит точно не идиот, а самый настоящий вредитель и преступник.
Я думаю ваш сотрудник не знал терминов «почтовый клиент» и «почтовый сервис». Он не делал вид, что между ними нет разницы, возможно потому что он просто не видит разницы.
Я конечно всячески приветствую просвещение масс, но вы должны знать: пользователя это все не волнует. У него свои проблемы, свои термины, о которых мы с вами не знаем и не хотим знать. А он просто хочет прочитать почту.
Другой пример: возможно, вы бы хотели воспользоваться другим сотовым оператором, не меняя номера телефона. В этом случае вас бы сильно волновало почему DEF-префикс не позволяет вам так вот просто это сделать?
Можно сколько угодно валять дурака, и делать вид, что это нормально. Но все прекрасно понимают разницу между программой для доступа к произвольному почтовому сервису (которая еще и спрашивает имя сервера для получения и отправки сообщений) и сайтом почтового сервиса. Вы просто самые настоящие воры. Можете минусовать сколько угодно, ворьем вы быть не перестанете.
Воу воу, полегче. Мы же начинали беседу с того, что происходит «в приличном обществе».
Тем не менее, большинству из нас регулярно приходится сообщать пароль сторонним сервисам.

Нет.
Зачем нужны эти все глючащие сборщики почты, если можно просто настроить пересылку (какие-то странные сервисы её ограничивают, но на этот случай спасает фильтр вида «Если тема не содержит dfssghdfsghdflk5$67%s пересылать по адресу») и не следить за актуальностью паролей и т.д? Да и работает пересылка быстрее сборщиков
Пересылка может быть несовместима с некоторыми стандартами, например с SPF аутентификацией в DMARC, из-за чего возрастает вероятность, что пересланное письмо попадет под спам-фильтр + пересылка хороша в том случае, если адрес с которого она установлена не используется. OAuth позволяет производить аутентификацию не только получения, но и отправку почты от имени пользователя, не нарушая SPF/DKIM/DMARC. Cборщик почты в таком случае работает как полноценный почтовый клиент.
Более того, при настройке пересылки по IMAP/POP3 требуется авторизация.
UFO just landed and posted this here
да, если при его составлении используется криптографически стойкий генератор псевдослучайных чисел
UFO just landed and posted this here
т.о. исключается риск компроментации токена через браузер пользователя(история браузера, referer заголовки и т.д. и т.п.)
UFO just landed and posted this here
код обменивается на токен серверсайд запросом и токен выдается в обмен на code+redirect_uri+client_id+client_secret
т.е. есть еще аутентификация клиента(client_secret знает только клиент), которая дополнительно защищает код от компроментации
UFO just landed and posted this here
А как POST защитит запрос от CSRF?
В нормальных фреймворках все POST запросы требуют токен. Это де факто стандарт проектировки
Sign up to leave a comment.