LINUX.ORG.RU

С 15 февраля 2021 года будет отключена парольная аутентификация IMAP, CardDAV, CalDAV и Google Sync для пользователей G Suite

 , , , ,


2

1

Об этом сообщалось в письме, разосланном пользователям G Suite. Причиной заявлена высокая уязвимость к угону учётной записи при использовании однофакторной аутентификации по логину и паролю.

15 июня 2020 года будет отключена возможность парольной аутентификации для пользователей, которые пытаются осуществить её впервые, а 15 февраля 2021 года — для всех.

В качестве замены предлагается использовать OAuth. Из свободных клиентов для IMAP, CardDAV и CalDAV этот способ аутентификации поддерживают Thunderbird и KMail (но у пользователей KMail в последнее время отмечаются проблемы).

Парольная аутентификация для SMTP продолжит работать. О подобных изменениях для некорпоративных пользователей учётных записей Google пока не известно.

>>> Подробности



Проверено: leave ()

Ответ на: комментарий от windows10

дядя директор а вот здесь начинается головная боль, и если бы все было так просто

Директор, он на то и директор, что понимает кому и сколько нужно заплатить, чтобы всё просто работало.
Всей инфраструктуре e-mail не один год, и не одна тысяча e-mail серверов у разных компаний работает. Реально нет проблемы запустить ещё один сервер.

anonymous ()
Ответ на: комментарий от balsoft

А проблема тут в том что нет ни времени ни сил на поддержку всего этого. Даже бизнес покупает готовое, что о простых людях-то говорить…

Ну и пользуясь вашей логикой - можно так начав с поднятия своего почтового сервсиса, дойти до написания своей ОС, а потом до разработки своего железа. Так как гайки постепенно закручиваются во всех этих областях.

DawnCaster ()
Ответ на: удаленный комментарий

Реально нет проблемы запустить ещё один сервер.

Может те кто говорит о сложностях просто цену себе набивают. Их можно понять.

anonymous ()
Ответ на: комментарий от DawnCaster

Проблема в том что голосовать ногами уже некуда

Есть. Поднять свой сервак. Других вариантов – да, нету.

Надо отказываться от электронной почты вообще, т.к данная система себя уже полностью изжила.

Проблема в том, что альтернатив нет. Вообще. Ни одной. Нигде. Коммуникационные среды, имеющие (как целое) владельца, можно не предлагать, ибо становиться заложником левой пятки очередного Дурова или Цукерберка подходит далеко не всем.

Croco ★★ ()
Ответ на: комментарий от windows10

как это не раз делал OVH

Ну ты побольше всяким мусором пользуйся. Я, например, SMTP с сеток OVH блокирую по мере их обнаружения (чёрт, кто этим моральным уродам дал СТОЛЬКО ip-пространства). Почему? Потому что источников спама у них как собак нерезаных, и ещё прибывают, а на abuse@ они не отвечали никогда, не отвечают и отвечать не будут. Это не сеть, это кусок дерьма.

Croco ★★ ()
Ответ на: комментарий от DawnCaster

Есть куча федеративных сетей. Начиная от мессенджеров вроде джаббера, заканчивая социальными сетями

Ага, ну успехов в нелёгком деле затаскивания людей в тот же джаббер. У меня там с полсотни активных контактов, но это лишь потому что (а) у меня принципиально отсутствуют вацапы, вайберы, телеги и прочее проприетарное дерьмище, и вообще я смартфонами не пользуюсь и (б) есть довольно много людей, которым поддержание социальных связей со мной важнее, чем мне с ними. Увы, это не у всех так. Примерно у половины моих контактов в джаббере я являюсь в нём единственным контактом.

При всём при этом в электронной почте у меня контактов раз в тридцать больше.

Croco ★★ ()
Ответ на: комментарий от Zombieff

Не обязательно, приложение может открыть ссылку в любом стороннем браузере (умеющем яваскрипт), браузер передаст токен авторизации обратно в приложение. Не помню, кто из популярных приложений это делал/делает вместо того, чтобы в себя ещё и браузер пихать.

Ну так какая разница. Есть зависимость от тяжеловесной софтины. А значит OAuth априори – тяжёлая штука. И по сути применим только для авторизации на других сайтах. Сам представь – ставишь такой себе на консольный Linux какой-нибудь консольный IMAP-клиент и ничего. Привязка у Гую, привязка к тяжеловесному дерьму типа браузера. Привязка к жабаскрипт. Привязка от гугла. У гугловиков в голове просто дерьмо одно – веб и нода, больше они ничего осилить не могут.

kostyarin_ ()
Ответ на: комментарий от windows10

Да щас. PTR настраиваешь не ты, а как минимум твой провайдер, которому тебе еще предстоит обосновать, зачем оно тебе нужно.

С их стороны это нарушение полисей, сейчас соответствующий RIPE-nnn не найду, но точно помню, что он есть. Предоставление PTR – это обязанность LIR, вопросы такого рода задавать они не имеют права.

Если провайдер связности не в состоянии обеспечить PTR, с ним нельзя иметь дела – там за рулём обезьяна.

Croco ★★ ()
Ответ на: комментарий от balsoft

второе состоит из каши XEPов.

Кстати да, джаббер изнутри – зрелище печальное. Хоть он и открытый. Да вообще всё XML-нутое, включая наш дорогой Веб – похоже, просто обречено представлять собой печальное зрелище.

Тех, кто придумал SGML и всё что из него в итоге выросло, следовало пристрелить в раннем детстве, но кто ж знал-то.

Croco ★★ ()
Ответ на: комментарий от windows10

Почта по-прежнему остается самым популярным протоколом для переписки.

Алсо, у меня на настройку моего сервачка, с которого письма отлично ходят с/на gmail, ушло около часа суммарно (в основном на чтение доков и выбор правильных dnsbl серверов). Если не способен осилить документацию – используй gmail или mail.ru или что там сейчас используют.

balsoft ★★ ()
Ответ на: комментарий от DawnCaster

В идеале – да, неплохо бы и ОС свою, и железо. Но на это действительно времени человеческой жизни не хватит. А на почтовый сервер – хватит, а если не хватит, то заплати кому-нибудь, у кого хватает.

balsoft ★★ ()
Ответ на: комментарий от kostyarin_

веб и нода, больше они ничего осилить не могут.

Там всё хуже. Осилить они могут что угодно, но им надо совсем другое. А именно – присутствовать в каждом компе. Поголовно. Отсюда постоянное «совершенствование» их поганых веб-сервисов, ломающее совместимость с браузерами полугодовой давности (особенно впечатлила эта долбаная reCAPTCHA, в которой не изменилось ничего, но работать она в какой-то момент во всех моих браузерах перестала), отсюда финансирование разработки самих браузеров, отсюда предоставление как можно большего количества халявных веб-сервисов, влючая всякие google-analytics и прочее.

Лично для меня с неавних пор сотрудники гугла – лица нерукопожатные. Я даже с мелкомягкими готов общаться, но не с гуглоедами.

Croco ★★ ()
Ответ на: комментарий от balsoft

Почта по-прежнему остается самым популярным протоколом для переписки.

Я бы сказал больше: это единственный существующий протокол, пригодный для переписки. Остальные либо закрыты, либо чудовищно запутаны, а чаще и то и другое.

Croco ★★ ()
Ответ на: комментарий от balsoft

Алсо, у меня на настройку моего сервачка, с которого письма отлично ходят с/на gmail, ушло около часа суммарно

ЛПП. Как минимум ты должен был настроить все ДНС записи для своего домена, а чтобы записи спропагейтились по всему миру - там либо надо НСы переключать на что-то быстрое вроде Клаудфлара, либо ждать несколько часов.

Почта - это не только SMTP-сервер, а работающая почта - это тогда когда твою почту могут получать ВСЕ, и отправлять тебе могут тоже ВСЕ. И при этом оно попадает не в спам, а во входящие.

windows10 ()
Ответ на: комментарий от DawnCaster

А телефон к почте привязан ? А то яндекс точно так-же блокирует учётки при малейших изменениях в окружении пользователя, когда к нему не подключен телефон.

Если честно - не помню. Вроде когда-то какая-то смс приходила, но очень давно.

sena ()
Ответ на: комментарий от balsoft

второе состоит из каши XEPов.

Это мне чем-то напоминает экосистему линукса, где на форк на фотке в перемешку с мешаниной дублирующих функции друг друга пакетов при чем с кучей версий ломающих зависимости более чем полностью, и всё это дело изрядно приправлено костылями. И ничего, народ ставит и все хвалят.

anonymous ()
Ответ на: комментарий от windows10

Как минимум ты должен был настроить все ДНС записи для своего домена, а чтобы записи спропагейтились по всему миру - там либо надо НСы переключать на что-то быстрое вроде Клаудфлара, либо ждать несколько часов.

Ты гонишь страшным гоном. Кеши в DNSе существуют, но чтобы в них что-то попало, нужно сделать запрос по соответствующему ключу. Поэтому изменение существующей записи иногда действительно занимает заметное время. Внесение новой записи имеет мгновенный эффект для всего мира, если только ты не сделал запрос до того, как внёс запись. Впрочем, «отрицательное» кеширование тоже живёт очень недолго, конкретики не помню, но там счёт никак не на часы. И это только для тех серверов, через которые прошёл зафейлившийся запрос.

НСы переключать на что-то быстрое вроде Клаудфлара,

А, ну это я даже обсуждать не хочу. Разумеется, DNS-сервера должны быть свои. Например, primary на той же машине, где почта, а secondary у приятеля, который не побрезгует на свой сервак рута дать или хотя бы при наступлении крайней необходимости по явно высказанной просьбе сделать там rndc reload. Лучше, конечно, и то и другое своё, всё равно резервный сервер нужен на случай, если с основным хрень стрясётся – быстренько на него переползти.

Пользуешься сервисом чужого дяди (ещё и бесплатным небось) – кушай, что дают.

Croco ★★ ()
Ответ на: комментарий от Croco

Вот видишь. Теперь оказывается что для работы своей почты, нужно еще и два НСа в разных местах поднимать. Как-то не вписывается в утверждение «легкой настройки».

windows10 ()
Ответ на: комментарий от windows10

для работы своей почты, нужно еще и два НСа в разных местах поднимать

… или подождать пару минут. У меня НС прям от регистратора домена и все записи запропогейтились почти мгновенно.

balsoft ★★ ()
Ответ на: комментарий от windows10

Теперь оказывается что для работы своей почты, нужно еще и два НСа в разных местах поднимать.

Это не для «работы своей почты». Это вообще «для работы». Работать без этого нельзя, почта тут так, мелочь.

Далее, bind в настройках раз в пятьдесят проще, чем почтовик. То есть если уж мы решили, что почту надо поднимать, то DNS – это вообще ни о чём. Фиксированный ip-адрес для почты нужен без вариантов, и если у нас он уже есть, то в упор не вижу, почему на нём не поднять ещё и DNS.

А если нет на примете ни одного коллеги-админа с DNS-сервером, то большинство доменных регистраторов этот secondary предоставляют бездвоздмездно то есть даром (tm), в рамках услуги регистрации/поддержания домена. Но вообще это скорее повод обзавестись профессиональными связями. Коллега тоже, скорее всего, окажется заинтересован в обмене секондарями.

Croco ★★ ()
Ответ на: комментарий от windows10

Если ты не осилил поднять сервер, не значит, что почта – говно, или что её нужно выкидывать на помойку. Не можешь осилить поднять свой сервер – плати, либо деньгами, либо своими данными.

balsoft ★★ ()
Ответ на: комментарий от balsoft

все записи запропогейтились почти мгновенно.

Я тебе один умный вещь скажу, только ты не обижайся. Они вообще не пропагейтятся. Если какая-то задержка есть – то она между веб-мордой, через которую записи вбиваются, и боевым DNS-сервером (не перезагружать же его каждый раз, когда очередной юзер нажал кнопку submit).

Croco ★★ ()
Ответ на: комментарий от Croco

Я тебе один умный вещь скажу, только ты не обижайся. Они вообще не пропагейтятся. Если какая-то задержка есть – то она между веб-мордой, через которую записи вбиваются, и боевым DNS-сервером (не перезагружать же его каждый раз, когда очередной юзер нажал кнопку submit).

Вещь не очень умный. ДНСы пропагейтятся, еще и как. Особенно хорошо это заметно если ты занимаешься миграциями. После переключения ДНСов домена, половина планеты видит сайт со старого сервера, половина уже с нового, догадайся почему так. Если не догадаешься - whatsmydns.net тебе в помощь.

windows10 ()
Ответ на: комментарий от balsoft

Если ты не осилил поднять сервер, не значит, что почта – говно, или что её нужно выкидывать на помойку. Не можешь осилить поднять свой сервер – плати, либо деньгами, либо своими данными.

Какой именно сервер? В процессе общения мы пришли к выводу, что их надо несколько.

windows10 ()
Ответ на: комментарий от Croco

долбаная reCAPTCHA, в которой не изменилось ничего, но работать она в какой-то момент во всех моих браузерах перестала

да, в основанных на движке файрфокса такое замечал

Лично для меня с неавних пор сотрудники гугла – лица нерукопожатные.

ни в коем случае нельзя ничего важного завязывать на гугловские сервисы, иначе будет плохо, особенно, когда санкции распространят на остальную территорию рф https://news.ycombinator.com/item?id=8977177

anonymous ()
Ответ на: комментарий от windows10

ДНСы пропагейтятся, еще и как.

Чувак, прости за нескромный вопрос, тебе сколько лет? Что-то у меня всё больше и больше крепнет ощущение, что я DNSы администрил примерно тогда, когда тебя ещё не было. Ну то есть не факт, конечно, что это так, но ты для формирования такого ощущения ну прямо всё возможное делаешь.

А тот эффект, про который ты говоришь – это не propagation, это вымывание старых записей из кешей. Между делом, если чуть заранее (например, за сутки до миграции) придавить TTL в главной зоне, всё будет намного легче. Только потом не забыть обратно поднять, а то некуртуазно получится.

Propagation в DNS бывает только между primary и secondary, но в современных условиях занимает несколько секунд – primary при изменении зоны всем своим slave’ам рассылает пакет, по получении которого они тут же делают axfr и старую версию зоны забывают. Не, ну это, конечно, если в самой зоне NSы корректно прописаны, если все secondary нормально настроены, а не через одно место, и всё такое. Замечу, для этого они и должны быть свои, а не дядины.

Croco ★★ ()
Ответ на: комментарий от Croco

Предоставление PTR – это обязанность LIR

Угу. Только в случае мелкого провайдера(который не является LIR по причине своей мелкости), это как минимум обязанность LIR в отношении того, кому он арендует адресное пространство. То есть именно в отношении этого самого провайдера, а никак ни конечного пользователя услуг этого самого провайдера.

А вот провайдер должен конечному пользователю только то, что прописано в договоре с ним.

Такие дела.

Ситуация когда сам LIR оказывает услуги конечному лицу в данном случае более интересная, но, сколько LIR-ов в РФ работающих с физлицами ты готов назвать? :-)

Юрлицам то PTR дадут и техподдержка сразу круглые глаза перестанет делать(потому что это будет другая техподдержка, а не девочка на телефоне просящая перезагрузить роутер)

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 2)
Ответ на: комментарий от windows10

Юзкейс почты - принять сообщение, отправить ответ.

Вот уж точно нет. Точнее, если у тебя для неё такой юзкейс и больше никакого, то ты ею не умеешь пользоваться. Это, впрочем, дело твоё.

Croco ★★ ()
Ответ на: комментарий от Pinkbyte

сколько LIR-ов в РФ работающих с физлицами ты готов назвать? :-)

Знаешь, я противоположного случая не готов назвать ни одного. Все операторы связности и хостинга (в смысле, имеющие свою серверную), которые мне приходят на ум, являются LIRами. Ну то есть я не дам голову на отсечение, что иного не бывает, просто я таких не-LIR’ов не знаю.

Croco ★★ ()
Ответ на: комментарий от windows10

Какой именно сервер? В процессе общения мы пришли к выводу, что их надо несколько.

Брррр…. у тебя локальные сетки тоже без DNS живут? Что-то мне уже страшненько.

Croco ★★ ()
Ответ на: комментарий от Croco

Знаешь, я противоположного случая не готов назвать ни одного

Ну тогда приятно познакомиться, я в таком работаю.

Вкратце всё очень просто: если тебе нужна своя AS, несколько блоков IPv4 размера /24, торговать адресами ты не планируешь - абсолютно никаких причин нет становится LIR-ом. Членские взносы будут тупо дороже, а выгоды - реально никакой.

С другой стороны раньше, если тебе нужна была какая-нибудь IPv4-подсеть эдак /19(щаз столько просто в RIPE не дадут, только шерстить вторичные рынки), то проще было стать LIR-ом. Во-первых, дадут быстрее и с меньшим количеством вопросом, во-вторых это будет тупо дешевле. Причем ощутимо.

Резюмирую: если ты провайдер и у тебя число клиентов не исчисляется хотя бы десяткой тысяч - быть LIR-ом тебе не надо. Ты просто столько адресов не потребишь - не солить же их :-)

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от anonymous

ни в коем случае нельзя ничего важного завязывать на гугловские сервисы,

Я бы сказал чуть больше: нельзя ничего важного завязывать на /сторонние/ сервисы. Особенно бесплатные.

Croco ★★ ()
Ответ на: комментарий от windows10

Форвардинг - это сугубо почтовый велосипед, не нужный нигде кроме почты.

Да неужели. Отфорварди мне в вацапе каком тред сообщений из группы, если вообще сможешь там тред найти.

CC и рассылки - это всего лишь группы в случае с IM.

Нет, это вообще ни разу не группы. CC - вообще аналогов нету, а группа это недорассылка без квотинга - говнище в общем.

Да.

Нет.

Чудесный уровень аргументации, да. :) Когда изобретут батарейку, которой хватит на 1000км, при весе в 80кг и временем полной зарядки меньше минуты - тогда приходи со своими смешными хипстерскими сказками про электромобили.

Stanson ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Ну тогда приятно познакомиться, я в таком работаю.

Ну, здесь мои сведения могли изрядно устареть – я LIR поднимал в 1997 году, а работал в той конторе до 1999го. Ага, таки это был блок /19 :-)

Но вообще несколько штучек /24 – это для провайдера связности, гм… у меня было ощущение, что при таком количестве клиентов это получится ниже уровня окупаемости. Видимо, неправильное ощущение.

Croco ★★ ()
Ответ на: комментарий от sena

Блин, всё это довольно погано тогда выходит. Получается что почтой со смартфона вообще нормально не попользоваться, кроме их идиотской программы для ведроида завязанной на гуглосервисы…

А то у меня такая-же фигня была пока-что только в пределах города, при входе в почту с нового провайдера. Помогло добавление номера телефона, после чего он только стал алярмы высылать по почте, о входе в почту с новых локаций. Вроде-бы с почтового клиента K-9 Mail тоже всё работает пока нормально при сменах локаций.

DawnCaster ()
Ответ на: комментарий от windows10

Дурилка картонная, как минимум юзкейс почты быть хоть каким-то фактом при разборе внештатной ситуации. Когда все валят друг на друга, или рассказывают что не так поняли. Удачи тебе с своими всосапчиками, где каждый может вычистить свои сообщения из переписки.

anonymous ()
Ответ на: комментарий от windows10

Юзкейс почты - принять сообщение, отправить ответ

Для тебя - возможно. Такой себе чатик в электропочте. DeltaChat’овцы даже запилили что-то подобное для слабоумных, кто не в состоянии написать более двух предложений.

araks ()
Ответ на: комментарий от Croco

У меня в локалке стоит только кэширующий DNS, у которого в качестве апстрима стоит cloudfare’овский DoH, ну и ещё он по доменному имени моего сервака отдает его локальный IP, чтобы не ходить лишний раз. Страшненько?

balsoft ★★ ()
Ответ на: комментарий от sena

Меня гуглопочта сразу блокирует, как только я выезжаю за границу или в другой город, по этой причине я почти полностью отказался от гуглопочты. В этом смысле яндекс работает великолепно, никаких проблем не было

+15 Ясно. Теперь и на ЛОРе.

Сменил 3 страны за последние годы и 5 провайдеров + мобильные провайдеры + иногда VPN. И НИ-ЧЕ-ГО.

anonymous ()
Ответ на: комментарий от Croco

Но вообще несколько штучек /24 – это для провайдера связности, гм

Да какой это провайдер. Даже в нулевых, даже в глубинке, даже для обслуживания юрлиц - и то брали как минимум /21.

araks ()