@gotomars ну типа, через приложение (через OAuth) войти не получается, а если просто используя логин и специальный пароль для приложения? По идее должно спокойно зайти.
https://myaccount.google.com/apppasswords
Top-level
@gotomars ну типа, через приложение (через OAuth) войти не получается, а если просто используя логин и специальный пароль для приложения? По идее должно спокойно зайти. 11 comments
@sasha_sorokin @gotomars а зачем логин и пароль для приложения? если бы они заботились о безопасности, ввели бы ключи для авторизации юзеров и это решило бы вообще все проблемы разом. это делается тривиально. но они не хотят решать вопросы безопасности. они хотят завязать на себя всё и подмять независимый софт под свои хотелки (которые они могут менять когда хотят).
0
0
26 Nov 2020 at 23:41 | Open on friendica.ironbug.org
@iron_bug ах, фантазии. При вводе обычного пароля, Google и Яндекс запрашивают OAuth авторизацию. Неизвестно, насколько безопасны такие приложения (не прошли проверку), поэтому когда много людей начинают его использовать, имеет смысл выкидывать такую ошибку. Для приложений, что не поддерживают OAuth авторизацию, или для пользователей, стремящихся её пропустить есть пароли приложений. … [1/2] Если бы что-то хотели взять под контроль, вообще могли бы не выдавать доступа ни по паролю, не через OAuth. *кхе-кхе* ProtonMail и прочие *кхм* [2/2] @iron_bug @sasha_sorokin @gotomars меж тем, авторизация по ключам исключила бы подбор паролей ботами и многие другие вопросы. включая авторизацию разных устройств и прочего всего. но, как я уже заметила, безопасность гугл интересует менее всего. им нужно задавить все альтернативы.
@iron_bug @sasha_sorokin @gotomars С ключами, думаю, проблема в том, что с клиентской поддержкой всё не так уж хорошо.
Например, я вот даже и не знаю, есть ли у меня хоть один почтовый клиент с поддержкой авторизации по ключу. Хотя идея мне нравится. @iron_bug @sasha_sorokin @shuro @gotomars да это может быть вообще общая TLS авторизация по ключу, а дальше обычный POP3/IMAP протокол, например. дёшево и сердито. все библиотеки криптографии это поддерживают. запилить это в клиент несложно и оно не будет мешать остальным клиентам и не будет портить код.
@iron_bug @sasha_sorokin @gotomars Мне кажется, что это дело пользователя решать - безопасно выбранное им приложение или нет.
Раньше вообще были простые пароли POP/IMAP и это было нормально. И сейчас много где остались. Поэтому внезапный интерес крупных сервисов контролировать выбор приложений пользователем как-то подозрителен. |