Oauth2.0 をサポートするメールボックスがより安全なのはなぜですか?

以前「Gmail Bar」フォーラムで盛んに議論されたGmail対応メールクライアントYoMailは、安全ではないと非難された。YoMailチームは、YoMailはGmailへのログインにoAuth2.0を使用し、データの送信にSSLを使用しているため、ユーザーのパスワードやメールデータのセキュリティを確保できると述べた。また、国内のメールサービスはほとんどがoAuth2.0をサポートしておらず、ほとんどのメールクライアント（Foxmailなど）もoAuth2.0をサポートしていないため、実際には安全ではないと主張した。では、oAuth2.0 とは何でしょうか? oAuth2.0 認証 (Gmail oAuth 認証など) をサポートするメール サービスがより安全なのはなぜですか? YoMailは安全ですか?これについては以下で詳しく説明します。

oAuth2.0について

ウェブサイトで記事を見て、WeChat Moments または Weibo で共有したい場合、グループ購入ウェブサイトでグループ購入クーポンを購入し、Alipay を使用する必要があります。このとき、これらのウェブサイトでは WeChat、Weibo、または Alipay のログイン インターフェイスがポップアップ表示され、ユーザーは WeChat、Weibo、または Alipay のユーザー名とパスワードを入力して操作を完了します。このプロセスは、典型的な Oauth2.0 検証プロセスです。いくつかの手順があります:

1. ユーザーがサードパーティのウェブサイトでWeChatに接続すると、WeChatログインインターフェースにリダイレクトされます。

2. ユーザーは、WeChat 認証ページでユーザー名とパスワードを入力します。このとき、ユーザー名とパスワードは、サードパーティの Web サイトではなく、WeChat Web サイトで入力されます。

3. 検証後、WeChat は確認インターフェイスに戻り、ニックネーム、プロフィール写真、Moments への共有許可など、サードパーティ プログラムがアクセスする必要がある情報がユーザーに通知されます。

4. ユーザーが「承認」をクリックすると、WeChat はサードパーティ アプリケーションにバイナリ トークンを返します。サードパーティ アプリケーションはこのトークンを使用して、WeChat、Weibo、Fuzhibao とやり取りします。

プロセス全体を通して、サードパーティのアプリケーションはユーザー名やパスワードなどの重要な情報を取得することはありません。 oAuth の誕生以来、ソーシャル ネットワークと電子商取引は爆発的な成長期を迎えています。これは、oAuth ベースの API をサードパーティに提供することで、ユーザー情報のセキュリティが確保されるだけでなく、ソーシャル ネットワークや電子商取引の Web サイトに膨大なトラフィックをもたらすためです。

OAuth 2.0 時代の電子メール

ご存知のとおり、ユーザーはメールボックスにアクセスするためにサードパーティ製のツールを使用することを好む場合があります。Outlook、Foxmail、Mail Master、YoMail などはすべて、任意のメールボックスにアクセスできるサードパーティ製のメールボックス ツールです。

モバイル インターネット時代の爆発的な成長に伴い、多数のスタートアップ企業がさまざまな電子メール クライアントを開発しています。これらの電子メール パスワードのセキュリティを確保するにはどうすればよいでしょうか? oAuth2.0 がその答えです。

現在、Gmail、Outlook.com など、ほとんどの国際メールボックスは oAuth2.0 API インターフェースをサポートしています。ただし、ほとんどの国内メール アカウントは oAuth2.0 ログインをサポートしていません。その結果、国内のユーザーはoAuth2.0に馴染みがなく、スタートアップ企業の製品に不安を抱くようになりました。

メールの裸のパスワード時代

従来のモードでは、IMAP (電子メールの受信) と SMTP (電子メールの送信) は標準の SASL プロトコルを使用して ID を認証し、ユーザー名とパスワードは両方ともプレーンテキストです。このプレーンテキスト認証方法を使用する場合、電子メール クライアントはユーザー名とパスワードをクライアント上でローカルに保存する必要があり、これは非常に危険です。 Foxmail または Outlook を使用して Gmail にログインすると、この安全でない認証方法 (パスワードは Foxmail にローカルに保存される) のみがサポートされることがわかりました。これは、Foxmail と Outlook がユーザー名とパスワードを取得するのと同じです。

プレーンテキスト パスワード認証方式は非常に危険ですが、残念ながら、中国で主流の電子メール クライアントはすべてプレーンテキスト パスワード認証方式を使用しています。

メール送信プロトコル SMTP を例にとると、次の図は SMTP によるメール送信の全体のプロセスを示しています。

1. SMTPサーバーに接続する

2. HELO命名法を使用して本人確認を行う

3. base64 で暗号化されたメールアドレスとパスワードを入力します (注: base64 は簡単に解読でき、プレーンテキストと変わりません)

4. メールを送信する

(SMTPプロセス)

このプロセスは、SMTP プロトコルではメールボックスのパスワードを毎回入力する必要があるため、電子メール クライアントはユーザーのメールボックスのパスワードを保存する必要があることを示しています。

oAuth2.0の時代では、ユーザーのパスワードは効果的に保護されます

Gmail API では SASL XOAUTH2 認証方式が導入されています。クライアントの検証が始まる前に、クライアントは Gmail 公式ウェブサイトの検証ページにリダイレクトされます。次に、Gmail の公式認証ページでユーザーのユーザー名とパスワードを入力します。検証が完了すると、Gmail はバイナリ トークンをクライアントに返します。その後、クライアントが IMAP と SMTP を使用してメールを送受信する場合、メール ヘッダーにパスワードを入力する必要はなくなり、代わりにバイナリ トークンをメール ヘッダーに入力します。これにより、サードパーティのアプリケーションがユーザーの電子メール パスワードを取得する問題が解決されます。

Gmail Oauth2 ダイアグラム (Google API 技術ドキュメントより)

元のタイトル: Oauth2.0 をサポートする電子メールがより安全なのはなぜですか?

キーワード: