LINUX.ORG.RU

С 15 февраля 2021 года будет отключена парольная аутентификация IMAP, CardDAV, CalDAV и Google Sync для пользователей G Suite

 , , , ,


2

1

Об этом сообщалось в письме, разосланном пользователям G Suite. Причиной заявлена высокая уязвимость к угону учётной записи при использовании однофакторной аутентификации по логину и паролю.

15 июня 2020 года будет отключена возможность парольной аутентификации для пользователей, которые пытаются осуществить её впервые, а 15 февраля 2021 года — для всех.

В качестве замены предлагается использовать OAuth. Из свободных клиентов для IMAP, CardDAV и CalDAV этот способ аутентификации поддерживают Thunderbird и KMail (но у пользователей KMail в последнее время отмечаются проблемы).

Парольная аутентификация для SMTP продолжит работать. О подобных изменениях для некорпоративных пользователей учётных записей Google пока не известно.

>>> Подробности



Проверено: leave ()

Ответ на: комментарий от mertvoprog

Ну дык «попросить» — уже затруднение для злоумышленника.

Да ладно, одну кнопочку нажать.

Какой-то непонятный код выманить обманным путём проще, чем пароль.

Вот и я о чем... а реализовывать способы обхода парольной части аутентификации нынче стало модно.

segfault ★★★★★ ()
Ответ на: комментарий от anc

Ну и где здесь минуты?

Ну всего-то 6 часиков, целый день колесить не хватит. Ещё канистру на прицепе вози…

переть на себе

Зато он маленький и лёгкий!

mertvoprog ()
Ответ на: комментарий от mertvoprog

Ну всего-то 6 часиков, целый день колесить не хватит. Ещё канистру на прицепе вози…

А эл. машинки хватит на 6 часов? И где и сколько когда сдохнет её заправлять?

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от segfault

Да ну, даже для текущих 5%–10% огромные площади засажены. А что дальше-то будет?

mertvoprog ()
Ответ на: комментарий от anc

Главное, что заправлять можно от любой розетки. На работе, например. А пилить до заправок — это хроническая проблема ДВС-дятлов.

mertvoprog ()
Ответ на: комментарий от mertvoprog

Главное, что заправлять можно от любой розетки. На работе, например.

Время зарядки! Сколько вам повторять.

А пилить до заправок — это хроническая проблема ДВС-дятлов.

Ну ладно, 200 км без заправки это норм вроде. На трассе найти всегда можно на таком расстоянии.

anc ★★★★★ ()
Ответ на: комментарий от anc

Время зарядки!

Проще несколько часов подождать в помещении, чем пилить куда-то. А ещё аккумуляторы легко заменяемы: один в ходу, другой на зарядке стоит.

200 км без заправки это норм вроде

Угу, главное — не прозевать ;-)

mertvoprog ()
Ответ на: комментарий от mertvoprog

Проще несколько часов подождать в помещении, чем пилить куда-то.

Несколько это сколько?
В каком помещении на трассе?

А ещё аккумуляторы легко заменяемы

А ещё залив бензина в бак стоит A дешевле, B быстрее, C замена аккума на трассе?

Угу, главное — не прозевать ;-)

Я вам про велик говорил, закончился бензин можно ножками крутить, ничего страшного. В отличии от....

anc ★★★★★ ()
Ответ на: комментарий от anc

В каком помещении на трассе?

А что трасса? На заправках для электромобилей просто заменяют незаряженный аккумулятор на заряженный, с разморозкой.

залив бензина в бак

Только бензина не будет. Не засаживать же всю планету рапсом.

можно ножками крутить

А сегвей можно использовать как самокат, не?

mertvoprog ()
Ответ на: комментарий от mertvoprog

А что трасса? На заправках для электромобилей просто заменяют незаряженный аккумулятор на заряженный, с разморозкой.

Вся планета запаслась.... ну ну....

Для альтернативщиков поясню, тот же бензин/дт можно попросить на дороге у проезжающих, что-то сомневаюсь что весь поток ам с собой заодно, как вы писали «тащит на прицепе», доп аккумы только для того что бы «с радостью» вам отдать.
Может хватит уже пургу гнать, право слово.

ЗЫ Обратите внимание, никто не против электродвигателей. Но пока запас топлива не будет легко пополняемым до ближайшей заправки вы будете толкать свою колымагу как в старые добрые времена.
И так же не забываем на чем у нас работают станции вырабатывающие эту «электроэнергию».

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)

3 года уже как пользуюсь Fastmail с персональным доменом. Полет нормальный. Почта скачивается (вся) isync-ком, отсылается mutt-ом. Who cares? в общем.

DiKeert ★★ ()
Ответ на: комментарий от anc

тот же бензин/дт можно попросить на дороге у проезжающих

Подзарядиться тоже.

только для того что бы «с радостью» вам отдать

Ну так а если не бесплатно?

толкать свою колымагу

Поэтому и стоит переходить на более компактный транспорт. В колымагах вообще редко кто ездит больше одного-двух человек кряду, они тупо занимают дохрена места и жрут дохрена топлива, не в последнюю очередь на перевозку собственного же веса.

на чем у нас работают станции вырабатывающие эту «электроэнергию»

Много на чём, в этом и преимущество электричества: оно абстрагировано от источника и легко переносится, в отличие от муторного процесса синтеза биотоплива.

mertvoprog ()
Ответ на: комментарий от mertvoprog

тот же бензин/дт можно попросить на дороге у проезжающих

Подзарядиться тоже.

Где такое счастье? И кто даст? Даже если да, то сколько времени займет?

Поэтому и стоит переходить на более компактный транспорт. В колымагах вообще редко кто ездит больше одного-двух человек кряду

man «обычная семья», мама/папа и два ребенка. А если это не повседневность то ещё надо докинуть тещу и т.д.

оно абстрагировано от источника и легко переносится, в отличие от муторного процесса синтеза биотоплива.

Ик, это как ?

Вы вот честно задолбали какими-то изысками, и говорите о какой-то сказочной планете, только имя этой планете не земля.

anc ★★★★★ ()
Ответ на: комментарий от anc

И кто даст?

Ну бензин же кто-то даёт, хотя самим надо — сами сказали.

сколько времени займет?

Ну у мобильников уже скорость зарядки на порядок выросла, скоро и до транспорта дойдёт.

man «обычная семья»

Как там в XX веке? Японцы, например, уже поголовно хикканутые. А если даже семья и есть, то ездит зачастую не одновременно и не в одном направлении — развозить всех долго и невыгодно.

Ик, это как ?

А так, что реально использующихся типов электростанций не менее десятка, и доставляется электроэнергия почти мгновенно по опутавшей всю планету сети проводов. А это ваше углеводородное топливо кроме заканчивающихся ископаемых и растительности ещё добывается откуда-то? И как его доставать в произвольной точке цивилизации, не пиля до ближайшей заправки? Линии электропитания для трамваев и троллейбусов над дорогами пущены, а где бензинопроводы?

о какой-то сказочной планете,

А из реальной можно бесконечно углеводороды сосать, ну-ну.

mertvoprog ()
Ответ на: комментарий от mertvoprog

Бесконечно. Скорее воздух закончится, чем углеводороды.

lenin386 ★★★ ()

Если я не ошибаюсь OAuth можно организовать обычным libcurl без всяких libwebview. Если ошибаюсь. Будем линковать утилитки в три строчки к целому браузеру просто для авторизации.

отключена возможность парольной аутентификации для пользователей качестве замены предлагается использовать OAuth

Некоторых может ввести в заблуждение. Пароль всё равно нужен, просто вводить его надо будет в окне одноразового браузера.

LINUX-ORG-RU ()
Ответ на: комментарий от lenin386

На чём основано это смелое утверждение? Вы там не из верунов в гипотезу расширяющейся Земли часом?

mertvoprog ()
Ответ на: комментарий от LINUX-ORG-RU

можно организовать обычным libcurl

Проходить всякие рекапчи и заскриптованные формы без фолбэка на голом HTML курлой-то? ну удачи, чо. А ещё учтите, что совместимость постоянно будет ломаться, даже если все запросы аккуратненько съэмулируете и повезёт не бодаться с капчой.

Некоторых может ввести в заблуждение

Предложите формулировку лучше. Мы и так старались впихнуть как можно более точную формулировку, в итоге заголовок получился огромным. А впрочем, всё равно поздно его редактировать уже.

mertvoprog ()
Ответ на: комментарий от mertvoprog

А на чём основано смелое утверждение по заканчивающуюся нефть ? На словах господина Сечина ? Так ему выгодно лгать. Если нефть заканчивается, то почему она стОит дешевле воды ?

lenin386 ★★★ ()
Последнее исправление: lenin386 (всего исправлений: 1)
Ответ на: комментарий от mertvoprog

более точную формулировку

Парольная авторизация теперь может быть осуществлена только через OAuth протокол.

А впрочем, всё равно поздно его редактировать уже.

Да я не придираюсь к новости. Я просто уточнил для тех кто вдруг мог не въехать. На пользовательском уровне мало что по сути поменяется. То в настройках указывался логин и пароль, а теперь будет всплывать окошечко для его ввода. А вся последующая работа программы уже будет посредством токена. Но это всё скрыто по сути уже.

LINUX-ORG-RU ()
Ответ на: комментарий от lenin386

А на чём основано смелое утверждение по заканчивающуюся нефть ?

Да хотя бы на «Пределах роста». С тех пор что-то принципиально изменилось? Оценка запасов только вырасла — но и потребление тоже.

Если нефть заканчивается, то почему она стОит дешевле воды ?

Потому что нефтяным магнатам выгодно нажиться на ней сейчас, а «после нас — хоть потоп». Да и вода пресная, кстати, дорожает и будет дорожать.

mertvoprog ()
Ответ на: комментарий от LINUX-ORG-RU

теперь может быть осуществлена только

Ещё более запутывающая формулировка, поскольку для большинства клиентов это означает отсутствие возможности авторизации вообще. OAuth в принципе мало где поддерживается. И парольной она быть перестаёт, потому что OAuth абстрагирует от конкретного способа авторизации. В используемом пользователем для прочих нужд браузере, например, может переиспользоваться существующая сессия, и вводить вообще ничего не придётся.

OAuth протокол

Да откуда вы лезете-то? Какой логикой руководствуются люди, которые не ставят дефис между приложением и определяемым словом? Инглиш головного мозга? Или вы воспринимаете приложение как прилагательное?

а теперь будет всплывать окошечко для его ввода

Не только его, а и кода из SMS, например, или прочие методы в зависимости от настроек аутентификации.

mertvoprog ()
Ответ на: комментарий от mertvoprog

Да хотя бы на «Пределах роста».

там как раз про то, что воздух закончится раньше, чем углеводороды. Ну, или одновременно. Имеется ввиду чистый воздух, то есть пригодная для проживания человека среда.

Оценка запасов только вырасла

Вот именно

но и потребление тоже.

И программисту это не кажется странным ? Рост потребления, по логике-то, запасы должен сокращать ? А оно вон как, оказывается. И не только запасы сокращать, но ценник повышать. А ценнник-то ч0т падает. И ещё вон в России запасов нефти на 15 лет добычи. Сколько эти 15 лет уже длятся ? Товарищ, чудес не бывает, бывает ложь.

Потому что нефтяным магнатам выгодно нажиться на ней сейчас, а «после нас — хоть потоп».

И для ускорения наживы, магнаты скидывают цены на нефть. Магнаты-программисты, не иначе. Мутации уже, похоже, начались. Товарищ, нефти нельзя продать больше, снизив цены. Это не помидоры на рынке, она течёт по трубам туда, куда течет. Есть пропускная способность, договорённости, уровень добычи, который поднять можно только перед прэссой.

lenin386 ★★★ ()
Последнее исправление: lenin386 (всего исправлений: 10)
Ответ на: комментарий от mertvoprog

А если откроют технологию дешёвой добычи лития из воды? Термоядерным путём, например?

Вот когда откроют, тогда и поговорим. А насчет УТС - это просто смешно. Я застал то время, когда из «каждого утюга» про УТС вещали. А теперь, для решения его проблем, грозятся гелий 3 с Луны возить.

anonymous ()
Ответ на: комментарий от mertvoprog

А пилить до заправок — это хроническая проблема ДВС-дятлов.

Да ладно... это проблема? Ни разу не замечал. Вот необходимость заряжать каждый день - вот это проблема! Особенно с тем, как у нас любят быстро ремонтировать сдохшую проводку или трансформатор.

segfault ★★★★★ ()
Ответ на: комментарий от lenin386

Имеется ввиду чистый воздух

Это не беда, окуклимся в бункерах с искусственной биосферой. А вот без энергии деваться некуда, даже на другой шарик свалить не получится уже.

Вот именно

Что «именно»? Вы считаете, что она будет расти бесконечно?

Рост потребления, по логике-то, запасы должен сокращать ? А оно вон как, оказывается. И не только запасы сокращать, но ценник повышать. А ценнник-то ч0т падает.

Рыночная цена зависит много от чего, но уж далеко не в первую очередь от доступных запасов. Куда большую роль играет скорость добычи в текущий период времени. Годами нефть не хранится, поэтому долгосрочная перспектива на цене не особо отражается.

Кстати, потруднитесь объяснить, почему нефть становится настолько дороже природного газа, что многие меняют бензиновый двигатель на газовый?

Товарищ, нефти нельзя продать больше, снизив цены

Больше — нельзя. А вот меньше продавать менее выгодно, если кривая спроса круче кривой предложения. 2 по 3 — 6, 1 по 5 — всего 5, verstehen?

mertvoprog ()
Ответ на: комментарий от segfault

Сдох трансформатор в микрорайоне — пилите заряжаться в соседний. Всяко ближе, чем к заправке.

mertvoprog ()
Ответ на: комментарий от mertvoprog

Это не беда, окуклимся в бункерах с искусственной биосферой.

Это ты мне рассказываешь ? Расскажи пропагандонам, твоим кумирам. Художникам апокалипсиса.

Вы считаете, что она будет расти бесконечно?

Это выходит из рассуждений ваших пропагандонов.

почему нефть становится настолько дороже природного газа, что многие меняют бензиновый двигатель на газовый?

Потому что не нефть становится дороже природного газа, а бензин. Не нефтью машины заправляют, а бензином, ВНЕЗАПНО. В цене литра бензина нефти было на 25 центов в самые жырные времена. А сейчас в литре бензина нефти на 4 цента. Это не мешает бензину расти в цене в РФ, и вроде это так и должно быть.

Больше — нельзя. А вот меньше продавать менее выгодно, если кривая спроса круче кривой предложения. 2 по 3 — 6, 1 по 5 — всего 5, verstehen?

Nein. Бред какой-то.

lenin386 ★★★ ()
Последнее исправление: lenin386 (всего исправлений: 5)
Ответ на: комментарий от mertvoprog

Сдох трансформатор в микрорайоне — пилите заряжаться в соседний. Всяко ближе, чем к заправке.

А кто вам в соседнем разрешит заправляться? Добрые самаритяне?

anc ★★★★★ ()
Ответ на: комментарий от mertvoprog

Сдох трансформатор в микрорайоне — пилите заряжаться в соседний. Всяко ближе, чем к заправке.

А машину там и оставлять заряжаться на ночь?

segfault ★★★★★ ()
Ответ на: комментарий от segfault

Если электричества нет целую ночь, то появятся и более важные проблемы: например, куда деть продукты из растаявшей морозилки.

mertvoprog ()
Ответ на: комментарий от gorilych

https://developers.google.com/gdata/articles/using_cURL

Ну это частный случай, когда Google (вынуденно) предоставляет такую возможность. В общем и целом, требуется WebView да ежё и с ЖабаСкриптом. Потому как каждый сервис ещё и запрашивает у пользователя список разрешений и так далее. И каждый делает это по своему. По сути браузер становится ограничивающим фактором в наборе возможности свистопляски этой катавасии.

kostyarin_ ()
Ответ на: комментарий от kostyarin_

посмотрите как gcloud работает. В нём нет никакого встроенного браузера.

Причина использования OAuth проста. Гугловый аккаунт используется в куче сервисов (не только самого гугла, а многих других) и передавать стороннему почтовому приложению пароль просто-напросто небезопасно. Хотите авторизацию по паролю - не используйте gmail.

gorilych ★★ ()
Последнее исправление: gorilych (всего исправлений: 1)
Ответ на: комментарий от gorilych

Гугловый аккаунт используется в куче сервисов (не только самого гугла, а многих других) и передавать стороннему почтовому приложению пароль просто-напросто небезопасно

Дело вовсе не в пароле. Сервис может запросить что угодно. В том то и дело, что OAuth просто делегирует всё это дело, и стандартизирует только какой-то маленький кусок. Вполне релаьно даже использовать для своего сервиса сканер отпечатков ног, чтобы авторизовать по OAuth. Или сигну в вебке. По итогу упирается всё в «квадратное среднее» по целевой аудитории. И нахер мне какой-то сраный гугловый сервис, которым я никогда не пользуюсь. Как будто это имеет какое-то вообще значение.

kostyarin_ ()
Ответ на: комментарий от gorilych

This page is about Google’s older APIs

2007

Легаси, которое когда-то выкинут, ну-ну ;-)

mertvoprog ()
Последнее исправление: mertvoprog (всего исправлений: 1)
Ответ на: комментарий от kostyarin_

Сервис может запросить что угодно

Запрашиваемый уровень доступа покажут перед выдачей токена пользователю.

Стоит помнить, что авторизацию по паролю отрубили для корпоративных пользователей, где обычно на гугловый аккаунт завязана не только почта. Обычных пользователей это не касается.

А если это сделают для обычных пользователей, то это только плюс. Странно отдавать почтовику пароль аккаунта, с которым можно не только почту прочитать, но и зайти в другие сервисы, которые используют гугл для аутентификации.

И нахер мне какой-то сраный гугловый сервис

Тогда я не понимаю ваших страданий и возмущений, ограничения вас не коснутся.

gorilych ★★ ()
Ответ на: комментарий от mertvoprog

да, это действительно так. Тем не менее, консольные приложения без встроенного браузера есть и работают.

gorilych ★★ ()
Ответ на: комментарий от gorilych

Тогда я не понимаю ваших страданий и возмущений, ограничения вас не коснутся.

С чего бы это они меня не коснуться, если OAuth повсюду. И собсвенно разговор был про OAuth, и Гугл только как рассадник этого дерьма. Включая его повсеместных хомяков, готовых отставить любое его нововедение как что-то соврешенное.

kostyarin_ ()
Последнее исправление: kostyarin_ (всего исправлений: 1)
Ответ на: комментарий от kostyarin_

в каком месте OAuth вас ущемляет, что за бред? Это механизм отделения аутентификации от авторизации, он не может быть плохим сам по себе. Плохим может быть его неуместное использование.

gorilych ★★ ()
Ответ на: комментарий от gorilych

Странно отдавать почтовику пароль аккаунта, с которым можно не только почту прочитать, но и зайти в другие сервисы, которые используют гугл для аутентификации

Так у гугла давно поддерживаются генерируемые пароли для отдельных приложений. Так что причина не в этом.

mertvoprog ()
Ответ на: комментарий от gorilych

Пока работают. Сабж ведь тоже не сегодня и не завтра случится, он запланирован на будущее. Также в 2015-м отключили старый API YouTube, поломав этим кучу старых клиентов, в особенности на SmartTV. Вполне следует ожидать, что этот кусок легаси ждёт та же участь через несколько лет. Так что завязываться на него сейчас — не стоит.

mertvoprog ()
Ответ на: комментарий от gorilych

Ущемляет не сам OAuth, а растущее число сервисов, которые отказываются от регистрации через почту, OpenID, телефон и прочие независимые методы в пользу OAuth через ограниченный (исходя из сути OAuth) перечень OAuth-провайдеров.

mertvoprog ()
Ответ на: комментарий от gorilych

в каком месте OAuth вас ущемляет, что за бред? Это механизм отделения аутентификации от авторизации, он не может быть плохим сам по себе. Плохим может быть его неуместное использование.

С чего бы это механизм аутентификации не может быть плохим, это во первых? Во-вторых, OAuth требует WebView и JavaScript де факто.

kostyarin_ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.