Email or username:

Password:

Forgot your password?
Top-level
Alexey Skobkin

@gotomars Там, говорят, что должно быть можно "промотать вниз и разрешить". Но другие говорят, что нельзя.

15 comments
GOTO MARS

@skobkin гугл сказал что они еще не проверили это приложение. Яндекс просто выдает ошибку, но отправляет письмо что кто-то ввел правильный пароль

Sasha 🏳‍🌈

@gotomars возможно ли добавить аккаунт с паролем для приложения, пропустив OAuth? Что у Google, что у Яндекс есть пароли для приложений для «старых клиентов».

@skobkin

Sasha 🏳‍🌈

@gotomars ну типа, через приложение (через OAuth) войти не получается, а если просто используя логин и специальный пароль для приложения? По идее должно спокойно зайти.
myaccount.google.com/apppasswo

Iron Bug
@sasha_sorokin @gotomars а зачем логин и пароль для приложения? если бы они заботились о безопасности, ввели бы ключи для авторизации юзеров и это решило бы вообще все проблемы разом. это делается тривиально. но они не хотят решать вопросы безопасности. они хотят завязать на себя всё и подмять независимый софт под свои хотелки (которые они могут менять когда хотят).
Sasha 🏳‍🌈

@iron_bug ах, фантазии. При вводе обычного пароля, Google и Яндекс запрашивают OAuth авторизацию.

Неизвестно, насколько безопасны такие приложения (не прошли проверку), поэтому когда много людей начинают его использовать, имеет смысл выкидывать такую ошибку.

Для приложений, что не поддерживают OAuth авторизацию, или для пользователей, стремящихся её пропустить есть пароли приложений.

… [1/2]

@gotomars

Sasha 🏳‍🌈

@iron_bug

Если бы что-то хотели взять под контроль, вообще могли бы не выдавать доступа ни по паролю, не через OAuth.

*кхе-кхе* ProtonMail и прочие *кхм*

[2/2]

@gotomars

Iron Bug
@iron_bug @sasha_sorokin @gotomars меж тем, авторизация по ключам исключила бы подбор паролей ботами и многие другие вопросы. включая авторизацию разных устройств и прочего всего. но, как я уже заметила, безопасность гугл интересует менее всего. им нужно задавить все альтернативы.
Шуро replied to Iron
@iron_bug @sasha_sorokin @gotomars С ключами, думаю, проблема в том, что с клиентской поддержкой всё не так уж хорошо.

Например, я вот даже и не знаю, есть ли у меня хоть один почтовый клиент с поддержкой авторизации по ключу. Хотя идея мне нравится.
Iron Bug replied to Шуро
@iron_bug @sasha_sorokin @shuro @gotomars да это может быть вообще общая TLS авторизация по ключу, а дальше обычный POP3/IMAP протокол, например. дёшево и сердито. все библиотеки криптографии это поддерживают. запилить это в клиент несложно и оно не будет мешать остальным клиентам и не будет портить код.
Iron Bug replied to Iron
@iron_bug @sasha_sorokin @shuro @gotomars браузеры тоже это поддерживают. поэтому веб-морды даже не надо будет трогать. ключ авторизовался, сессия открылась и поехали.
Шуро replied to Iron
@iron_bug @sasha_sorokin @shuro @gotomars Да, с браузерами всё отлично в этом смысле.

А вот почтовые клиенты (да и любые другие) я с поддержкой авторизации по сертификатам не встречал. Либо там это где-то глубоко закостылено.

А жаль, это ведь довольно удобно.
Шуро
@iron_bug @sasha_sorokin @gotomars Мне кажется, что это дело пользователя решать - безопасно выбранное им приложение или нет.

Раньше вообще были простые пароли POP/IMAP и это было нормально. И сейчас много где остались. Поэтому внезапный интерес крупных сервисов контролировать выбор приложений пользователем как-то подозрителен.
Iron Bug
@iron_bug @sasha_sorokin @shuro @gotomars да это просто заноза в заднице разработчиков. есть стандарт и есть гугл. все нормально принимают авторизацию, а ради одного гугла все должны срочно испоганить код и вставить сбоку костыль для этой сраной фигни. а oauth2 - это вообще херня, которая завязывает все логины на централизованный сервис. единая точка отказа. как прекрасно! при этом он нифига не повышает безопасность, а даже понижает её. потому что эта хрень точно так же может быть взломана, но тогда зловред получит доступ сразу ко многим аккаунтам. так что все эти втирания про "безопасность" - это езда по ушам для лохов.
@iron_bug @sasha_sorokin @shuro @gotomars да это просто заноза в заднице разработчиков. есть стандарт и есть гугл. все нормально принимают авторизацию, а ради одного гугла все должны срочно испоганить код и вставить сбоку костыль для этой сраной фигни. а oauth2 - это вообще херня, которая завязывает все логины на централизованный сервис. единая точка отказа. как прекрасно! при этом он нифига не повышает безопасность, а даже понижает её. потому что эта хрень точно так же может быть взломана, но тогда...
Шуро replied to Iron
@iron_bug @sasha_sorokin @shuro @gotomars Мне кажется, это больше для корпоративной среды предназначено, но зачем-то тащится везде (и далеко не везде нормально работает).
Go Up