设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
中问网首页
我的收藏
站长博客
搜索
搜索
本版
帖子
用户
第一问答网
»
论坛
›
中问网
›
问答
›
浅谈Oauth2.0与邮箱安全,Yomail是否真的安全?(转载) ...
返回列表
发新帖
浅谈Oauth2.0与邮箱安全,Yomail是否真的安全?(转载)
[复制链接]
11
|
0
|
2021-1-10 05:43:55
|
显示全部楼层
|
阅读模式
前段时间在贴吧“Gmail 吧”讨论得比较多的可以支持Gmail的邮箱客户端 YoMail被指不安全,而YoMail团队声明 YoMail 采用了 oAuth2.0登录Gmail, 采用SSL传输数据,可以保证用户的密码安全和邮件数据安全,并且声称国内大部分邮箱服务不支持oAuth2.0,大部分邮箱客户端(比如Foxmail)也不支持oAuth2.0,其实是不安全的。那么oAuth2.0到底是什么?为什么支持采用oAuth2.0验证的邮箱服务(如Gmail oAuth验证)更安全?YoMail 到底安不安全?我们接下来会做详细解释。
关于 oAuth2.0
你在网站看到一篇的文章想要分享到微信朋友朋友圈或微博,你在某团购网站网站上买了团购券需要用支付宝,这时候这些网站会跳出微信、微博、支持宝的登录界面,用户输入微信、微博、支持宝的用户名密码后完成操作。这个过程典型的Oauth2.0的验证过程。这里面有几个步骤:
1. 用户在第三方网站上连接微信的时候会被重定向到微信的登录界面
2. 用户接下来在微信的验证页面输入用户名和密码,这个时候,你的用户名和密码是在微信的网站上输入的,而不是第三方网站
3. 验证通过后,微信会返回一个确认界面,这时候用户会被告知第三方程序需要访问用户哪些信息,比如昵称、头像、比如分享到朋友圈的权限
4. 用户点接受后,微信会返回一个二进制 token给第三方应用,随后,第三方应用就用这个token和微信、微博、支持宝交互
在整个过程中,第三方应用并没有获取你的关键信息,如用户名和密码。自oAuth诞生以来,社交网络和电子商务迎来了爆发期,因为他们提供了基于oAuth的API给第三方,既保证了用户的信息安全,又给社交网络和电子商务网站带来巨大的流量。
电子邮件的 oAuth2.0时代
大家都知道,用户有时候更愿意用第三方工具访问自己的邮箱,如Outlook、Foxmail、邮箱大师、YoMail 等都是第三方邮箱工具,这些工具可以访问任何邮箱。
随着移动互联网时代的大爆发,有大量的创业公司在开发各种邮箱客户端,如果保证这些邮箱密码安全?oAuth2.0是答案。
目前国际邮箱大多支持 oAuth2.0 API 接口,如 Gmail, Outlook.com等。但国内大多数邮箱其实还不支持 oAuth2.0登录。这就造成了国内用户对oAuth2.0很陌生,也对创业公司的产品很恐惧。
邮箱的裸密码时代
传统模式下,IMAP(收邮件)和 SMTP (发邮件) 采了用 标准的SASL 协议验证身份, 用户名和密码都是明文(plain-text)。采用这种明文验证方式,邮件客户端需要把用户名密码存在客户端本地,这种方式是非常不安全的。我们发现 Foxmail 或Outlook登录Gmail 只支持这种不安全的验证方式 (密码存储在Foxmail本地),相当于Foxmail和Outlook获取了你的用户名和密码。
明文密码认证方式非常不安全,但很可惜,国内主流的邮箱客户端都采用明文密码认证方式。
以邮件发送协议 SMTP 为例,下图标明了SMTP发送邮件的全过程:
1. 连接到SMTP服务器
2. 使用 HELO 命名验证身份
3. 输入base64加密的邮箱和邮箱密码 (注:base64可轻易破解,和明文没有差别)
4. 发送邮件
(SMTP过程)
这个过程说明了 SMTP协议每次都需要输入邮箱密码,所以邮件客户端必须保存用户的邮箱密码。
oAuth2.0 时代,用户密码得到有效保护
Gmail API 推出SASL XOAUTH2验证方式。在客户端验证开始之前,客户端会被重定向到 Gmail 官网验证页面。接下来,用户的用户名和密码是在 Gmail 官方验证 页面输入的。验证结会束后,Gmail给客户端返回一串二进制的token,随后客户端采用IMAP和SMTP 收发邮件时,不需要再把密码放在邮件头中,而是把这串二进制 token 放在邮件头中。这就解决了第三方应用获取用户邮箱密码的问题。
Gmail Oauth2示意图(来自Google API技术文档)
Oauth2.0 重定向登录网页,中间路由器或代理会不会获取用户名密码?
互联网时间,你的信息从电脑或手机发网服务器,中间肯能或经过代理或无数个路由器,中间路由器或代理其实还是可以截获二进制数据。那怎么解决这个问题? 答案是 SSL (安全传输层协议)
数据在发往服务器之前,先对数据经行加密,而解密的密钥只有目标服务器才有。
YoMail的 “Gmail 安全登录是什么?”
YoMail 登录界面的 “Gmail 安全登录” 就是 Gmail Oauth2.0 入口。用户点击“Gmail 安全登录”,会被重定向到 Gmail Oauth2.0认证界面,接下来的几个步骤其实和YoMail 没什么关系,因为这是用户在和 Gmail 直接交互,中间传输采用SSL,中间代理只负责转发二进制数据,但无法解开经过SSL加密的用户数据,从而保证了用户密码安全。
认证完成之后,YoMail用 Gmail 返回的Token访问Gmail,相反,采用非oAuth2.0访问Gmail需要在邮件头中放置邮箱密码。
SSL 保证传输安全
和普通传输方式相比,SSL方式会在传输前先对数据进行机密,然后传输至邮件服务器,中间路由器或代理就算截获二进制数据也无法解密。
用户使用 YoMail发送电子邮件,Gmail 或其它邮箱,邮件首先会在用户本地经行SSL加密,然后传输至邮件服务器,为了连上Gmail, 中间可能会经过路由器,但采用SSL加密,中间路由器是无法解密的。
但一般的邮件客户端(如Foxmail)并没有默认采用SSL,很多非技术用户很有可能选择了普通传输方式,邮件是明文形式发送的,中间路由器可以轻易截获邮件数据。
总结
国内的邮箱服务和客户端目前还都比较落后,oAuth2.0这样的安全认证协议可以有效保护用户密码安全,希望将来能够普及。
Gmail是鼓励第三方应用采用 oAuth2.0来访问Gmail的,YoMail的“Gmail安全登录”其实就是采用了Gmail oAuth2.0接口,是可以保证用户密码安全的;另外才传输层采用SSL,保证了邮件数据安全。
来源:YoMail投稿。
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
千问
主题
0
回帖
4882万
积分
论坛元老
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
论坛元老, 积分 48824836, 距离下一级还需 -38824837 积分
积分
48824836
加好友
发消息
回复楼主
返回列表
问答
热门排行
1
如何在一个表格中筛选到多个项目 如 在 A B C D E 我要把 A B C 这三个一次筛选出来进行统一修改!
2
悠悠情动什么意思
3
冬天就要来了,怎么搭配衣服感觉没这么累赘?
4
我的港版MB525,刷的miui系统,现在想换回2.2.2,miui是2.3,是不是需要镜像才行,官方原版的可以直接刷吗?
5
福田区车公庙财富广场A座11楼H是哪家公司?
6
循序渐进Oracle:数据库管理、优化与备份恢复这本说的电子版你有吗?
7
Real legend Raul seals Schalke switch seal switch什么意思
8
有没有穿越成香妃,然后和乾隆虐虐NC共度一生的小说?
9
请给我发一份资产负债表,现金流量表,利润表
10
龙珠里面悟空和一个高个子肌肉男比武是哪集
11
肺结核怎么判断是隐性还是显性
12
被人传染了肺结核怎么办
13
肺结核咳嗽有痰怎么办
14
小耳畸形耳朵小可以矫正吗
15
我用双面胶把照片贴在十字锈的空白框框里 没过一两天照片就翘起来了 请问还可以用别的贴的更牢固吗
16
北京哪家机构可以办公共英语三的证?
17
我们厂主要生产液压铰链,如果不通过阿里巴巴,怎样才能寻找到国外客户,请帮忙指点一下,多谢!
18
想在2011年11月坐K7728去保定,是单号发车还是双号?
19
怎么知道自己有没有肺结核抗体
20
鼻甲肥大鼻子会发凉吗
21
小本创业,想找一些早教方面的教育投资项目。
22
吃中药能治鼻咽炎吗
23
求《非你莫属》这首歌的QQ空间链接地址。谢谢
24
左侧蝶窦筛窦炎会头痛吗
25
鼻咽炎淋巴也会肿大吗
26
向亲戚借了6万买一座12万的房子 没写借条也没还 10年后他要求分房子 他认为是和买的 房子买卖协议的买方签
27
腹部扁桃体发炎了怎么治疗
28
鼻炎鼻甲肥大可以吃甲鱼吗
29
ima nigga什么意思?
30
芒果仙侠传注册里面的防沉迷协议在那?
31
早晨起床肚子疼。怎么回事?
32
我去要发票为什么还要收回收据。我买家具服务员时只给了收据,没有正式的发票
33
双侧上颌窦及筛窦炎怎么治
34
额窦炎不发病会耳鸣吗
35
你有木有专转本的资料啊?能打折买给我吗?
36
武汉哪有煌上煌的鸭子卖
37
成年人更改名字麻烦吗?
38
11月4日晚上住张家界森林公园景区内,袁家界境内吧,有卫生、安全的农家旅社推荐吗?价位两人共110以内
39
眼酒渣鼻能治好吗
40
头部摔伤二个月了头总难受
41
跨专业考研、求中国人民大学行政管理学的科目及资料
42
如何看待中国的秦始皇对世界的影响。
43
电脑组装那个最适合玩游戏呢 主板华硕A55、CPUapu*4、内存KST4G、硬盘西数500G、显卡蓝宝石HD6670(1G...
44
子宫切割和流产能一起做吗
45
吃了紧急避孕药小腹胀怎么办
46
我的三踝骨折?能恢复正常人吗?怎么防止后遗症?
47
吃完避孕药大姨妈特别多怎么办
48
吃了避孕药后一直小腹疼痛怎么办
49
厚厚的什么 薄薄的什么
50
排卵期后吃紧急避孕药月经会推迟吗
51
团长 你天龙八部号多少级啊
52
宁夏宝丰集团有限公司 的吃住条件,还有工资能开的能和他们说的一样吗。我说的是煤矿 ,不是化工长
53
吃达英35第一天可以避孕吗
54
临沂师院对面的那个小区叫什么?
55
稽留流产可以吃包子吗
56
做完流产手术后2个月月经量较多是怎么回事
57
胸膜炎能做保健按摩吗
58
流产多久可以玩手机看电视
59
求各位大大帮忙做塞班手机证书~N97 mini~手机串号是351979047643937
60
宝宝肺炎支原体感染推拿能好吗
61
支原体肺炎可以穴位贴敷吗
62
怎样把瓶子上的商标胶去除
63
晋宁县昆阳镇照相的地方在哪里?
64
如何领取失业金?
65
推拿能治支原体肺炎吗
66
我的ip4能使用WIFI,上网设置也已完成能显示E但提示“打不开网页,因为服务器已停止响应”,该如何解决?
67
什么软件可以改变电脑的清晰度?
68
胸膜炎能刮痧按摩吗
69
那个公司需要上OA软件?可以联系我
70
肺炎支原体感染推拿管用吗
71
支气管肺炎可以艾灸好吗
72
肺炎支原体阳性能拔罐吗
73
支气管肺炎可以做推拿好吗
74
乐phone游戏放哪个文件夹安装
75
支气管肺炎推拿可以么
76
死神第4部主题曲?
77
银行资金自给率怎么计算
78
什么穴位对喘支气管肺炎有用
79
婴儿支气管肺炎可以推拿么
80
急需加密软件,请问文件夹加密工具哪个好?
81
1.8m的正常体格的男子,人体面积是多少
82
国内做的最好的百叶门窗有哪几家?
83
支气管肺炎咳嗽能艾灸吗
84
纽曼MP4在500以内的什么型号好
85
仙逆为什么称之为仙逆
86
每天早晨6:20-35在北京海淀双泉堡625路公交上经常能碰到一个背包的女孩
87
我内向,跟自己暗恋的女孩子说会紧张,心跳加快,一说话就语无伦次。怎么办?
88
可以把ACCESS2003发我邮箱一份么?
[email protected]
89
赛尔号问题
90
V RAY for sketchup8 安装完为何sketchup8 (专业版,中文的)里没有显示 没有任何变化?找不到vr的插件
91
黑天鹅蛋糕可以退单吗?
92
一部言情小说
93
小孩做作业精力不集中咋办?
94
长沙和北京的中点在哪里
95
D90价格自泰国洪灾后大涨,可2011.05已停产啦
96
名句填空:1、玉不琢,不成器;人不学,?2、穷则独善其身,?3、大行不顾细谨,?4、老吾老以及人之老,...
97
支气管肺炎可以用艾灸治吗
98
用java代码做正弦波, 求代码
99
儿童支气管肺炎怎么推拿