Oauth2.0 をサポートするメールボックスがより安全なのはなぜですか?

Oauth2.0 をサポートするメールボックスがより安全なのはなぜですか?

以前「Gmail Bar」フォーラムで盛んに議論されたGmail対応メールクライアントYoMailは、安全ではないと非難された。YoMailチームは、YoMailはGmailへのログインにoAuth2.0を使用し、データの送信にSSLを使用しているため、ユーザーのパスワードやメールデータのセキュリティを確保できると述べた。また、国内のメールサービスはほとんどがoAuth2.0をサポートしておらず、ほとんどのメールクライアント(Foxmailなど)もoAuth2.0をサポートしていないため、実際には安全ではないと主張した。では、oAuth2.0 とは何でしょうか? oAuth2.0 認証 (Gmail oAuth 認証など) をサポートするメール サービスがより安全なのはなぜですか? YoMailは安全ですか?これについては以下で詳しく説明します。

oAuth2.0について

ウェブサイトで記事を見て、WeChat Moments または Weibo で共有したい場合、グループ購入ウェブサイトでグループ購入クーポンを購入し、Alipay を使用する必要があります。このとき、これらのウェブサイトでは WeChat、Weibo、または Alipay のログイン インターフェイスがポップアップ表示され、ユーザーは WeChat、Weibo、または Alipay のユーザー名とパスワードを入力して操作を完了します。このプロセスは、典型的な Oauth2.0 検証プロセスです。いくつかの手順があります:

1. ユーザーがサードパーティのウェブサイトでWeChatに接続すると、WeChatログインインターフェースにリダイレクトされます。

2. ユーザーは、WeChat 認証ページでユーザー名とパスワードを入力します。このとき、ユーザー名とパスワードは、サードパーティの Web サイトではなく、WeChat Web サイトで入力されます。

3. 検証後、WeChat は確認インターフェイスに戻り、ニックネーム、プロフィール写真、Moments への共有許可など、サードパーティ プログラムがアクセスする必要がある情報がユーザーに通知されます。

4. ユーザーが「承認」をクリックすると、WeChat はサードパーティ アプリケーションにバイナリ トークンを返します。サードパーティ アプリケーションはこのトークンを使用して、WeChat、Weibo、Fuzhibao とやり取りします。

プロセス全体を通して、サードパーティのアプリケーションはユーザー名やパスワードなどの重要な情報を取得することはありません。 oAuth の誕生以来、ソーシャル ネットワークと電子商取引は爆発的な成長期を迎えています。これは、oAuth ベースの API をサードパーティに提供することで、ユーザー情報のセキュリティが確保されるだけでなく、ソーシャル ネットワークや電子商取引の Web サイトに膨大なトラフィックをもたらすためです。

OAuth 2.0 時代の電子メール

ご存知のとおり、ユーザーはメールボックスにアクセスするためにサードパーティ製のツールを使用することを好む場合があります。Outlook、Foxmail、Mail Master、YoMail などはすべて、任意のメールボックスにアクセスできるサードパーティ製のメールボックス ツールです。

モバイル インターネット時代の爆発的な成長に伴い、多数のスタートアップ企業がさまざまな電子メール クライアントを開発しています。これらの電子メール パスワードのセキュリティを確保するにはどうすればよいでしょうか? oAuth2.0 がその答えです。

現在、Gmail、Outlook.com など、ほとんどの国際メールボックスは oAuth2.0 API インターフェースをサポートしています。ただし、ほとんどの国内メール アカウントは oAuth2.0 ログインをサポートしていません。その結果、国内のユーザーはoAuth2.0に馴染みがなく、スタートアップ企業の製品に不安を抱くようになりました。

メールの裸のパスワード時代

従来のモードでは、IMAP (電子メールの受信) と SMTP (電子メールの送信) は標準の SASL プロトコルを使用して ID を認証し、ユーザー名とパスワードは両方ともプレーンテキストです。このプレーンテキスト認証方法を使用する場合、電子メール クライアントはユーザー名とパスワードをクライアント上でローカルに保存する必要があり、これは非常に危険です。 Foxmail または Outlook を使用して Gmail にログインすると、この安全でない認証方法 (パスワードは Foxmail にローカルに保存される) のみがサポートされることがわかりました。これは、Foxmail と Outlook がユーザー名とパスワードを取得するのと同じです。

プレーンテキスト パスワード認証方式は非常に危険ですが、残念ながら、中国で主流の電子メール クライアントはすべてプレーンテキスト パスワード認証方式を使用しています。

メール送信プロトコル SMTP を例にとると、次の図は SMTP によるメール送信の全体のプロセスを示しています。

1. SMTPサーバーに接続する

2. HELO命名法を使用して本人確認を行う

3. base64 で暗号化されたメールアドレスとパスワードを入力します (注: base64 は簡単に解読でき、プレーンテキストと変わりません)

4. メールを送信する

(SMTPプロセス)

このプロセスは、SMTP プロトコルではメールボックスのパスワードを毎回入力する必要があるため、電子メール クライアントはユーザーのメールボックスのパスワードを保存する必要があることを示しています。

oAuth2.0の時代では、ユーザーのパスワードは効果的に保護されます

Gmail API では SASL XOAUTH2 認証方式が導入されています。クライアントの検証が始まる前に、クライアントは Gmail 公式ウェブサイトの検証ページにリダイレクトされます。次に、Gmail の公式認証ページでユーザーのユーザー名とパスワードを入力します。検証が完了すると、Gmail はバイナリ トークンをクライアントに返します。その後、クライアントが IMAP と SMTP を使用してメールを送受信する場合、メール ヘッダーにパスワードを入力する必要はなくなり、代わりにバイナリ トークンをメール ヘッダーに入力します。これにより、サードパーティのアプリケーションがユーザーの電子メール パスワードを取得する問題が解決されます。

Gmail Oauth2 ダイアグラム (Google API 技術ドキュメントより)


元のタイトル: Oauth2.0 をサポートする電子メールがより安全なのはなぜですか?

キーワード:

<<:  SEMer: クリエイティブライティングの最高峰

>>:  アップル、iPhone 6sなどの製品を発売

推薦する

モバイルインターネットはコミュニティにチャンスをもたらす

近年、インターネット分野の資本投資に関するニュースは、BATの合併や買収、展開を除けば、垂直コミュニ...

検索エンジンマーケティングの価値を高めるためにフローとコンバージョン率を把握する

今日のオンライン顧客マーケティングの発展から利益を得たい場合、何をすべきでしょうか? この問題を解決...

高品質な外部リンクとは何ですか?

Baidu アルゴリズムが導入される前は、ウェブサイトのコンテンツと外部リンクの構築がウェブサイトの...

HTML5 の現実: ホットなコンセプトだがアプリケーションが不足

記者 馮海超現在の業界情勢では、HTML5 は技術愛好家とコンセプトの投機家によって支配されています...

アンカーテキストを使用してウェブサイトを最適化する方法

ウェブサイトの最適化は、従来のマーケティングとは異なり、細心の注意を要する作業です。ウェブサイトの最...

クルンはどうですか? 「Three Networks 4837」ラインのサーバーの簡単な評価

クルンはどうですか?クルン三網4837はどうですか? Kurunの中国本土向けの非ハイエンド回線のう...

シアトルの 10Gbps 帯域幅を備えた spartanhost のハイエンド VPS の簡単なレビュー (AMD Ryzen9 3950X+DDR4+NVMe)

11月に、spartanhostはシアトルデータセンターにハイエンドAMDシリーズVPS(AMD R...

世界の .NET ドメイン名登録統計: 2 月のドメイン名の純減数は 8,053 件

IDC Review Network (idcps.com) は 3 月 20 日に次のように報告し...

中国インターネット界のナマズ、周紅一:巨人と戦ってさらに大きくなる

周宏偉はじめに:360 が決して諦めず、常に巨人に挑戦し続けることを支えているのは、周紅義の攻撃的な...

短い動画が人気になるにつれ、従来の SEO マーケティング モデルはどうなるのでしょうか?

過去2年間で、ショートビデオは急速に発展し、ユーザー規模も急速に拡大したため、ショートビデオは非常に...

Googleが3年ぶりのアルゴリズムアップデート「ハミングバード」を発表

Googleは創立15周年を記念して、創業の地であるガレージで記者会見を開き、発売から約1カ月後に導...

ソーシャルメディアがSEOに与える4つの直感的な影響を分析する

ソーシャル メディアが SEO に影響を与えることは誰もが知っていますが、ソーシャル メディアは S...

U-Mailが成功するメールマーケティングタイトルの4つのタイプを明らかにする

月収10万元の起業の夢を実現するミニプログラム起業支援プラン「始めが良ければ終わりも半分。」電子メー...

全国人民代表大会は本日、オンライン情報の保護を強化する決定案を審議する。

全国人民代表大会常務委員会は本日、オンライン情報の保護強化に関する決定草案を審議する。新華社によると...