以前「Gmail Bar」フォーラムで盛んに議論されたGmail対応メールクライアントYoMailは、安全ではないと非難された。YoMailチームは、YoMailはGmailへのログインにoAuth2.0を使用し、データの送信にSSLを使用しているため、ユーザーのパスワードやメールデータのセキュリティを確保できると述べた。また、国内のメールサービスはほとんどがoAuth2.0をサポートしておらず、ほとんどのメールクライアント(Foxmailなど)もoAuth2.0をサポートしていないため、実際には安全ではないと主張した。では、oAuth2.0 とは何でしょうか? oAuth2.0 認証 (Gmail oAuth 認証など) をサポートするメール サービスがより安全なのはなぜですか? YoMailは安全ですか?これについては以下で詳しく説明します。 oAuth2.0について ウェブサイトで記事を見て、WeChat Moments または Weibo で共有したい場合、グループ購入ウェブサイトでグループ購入クーポンを購入し、Alipay を使用する必要があります。このとき、これらのウェブサイトでは WeChat、Weibo、または Alipay のログイン インターフェイスがポップアップ表示され、ユーザーは WeChat、Weibo、または Alipay のユーザー名とパスワードを入力して操作を完了します。このプロセスは、典型的な Oauth2.0 検証プロセスです。いくつかの手順があります: 1. ユーザーがサードパーティのウェブサイトでWeChatに接続すると、WeChatログインインターフェースにリダイレクトされます。 2. ユーザーは、WeChat 認証ページでユーザー名とパスワードを入力します。このとき、ユーザー名とパスワードは、サードパーティの Web サイトではなく、WeChat Web サイトで入力されます。 3. 検証後、WeChat は確認インターフェイスに戻り、ニックネーム、プロフィール写真、Moments への共有許可など、サードパーティ プログラムがアクセスする必要がある情報がユーザーに通知されます。 4. ユーザーが「承認」をクリックすると、WeChat はサードパーティ アプリケーションにバイナリ トークンを返します。サードパーティ アプリケーションはこのトークンを使用して、WeChat、Weibo、Fuzhibao とやり取りします。 プロセス全体を通して、サードパーティのアプリケーションはユーザー名やパスワードなどの重要な情報を取得することはありません。 oAuth の誕生以来、ソーシャル ネットワークと電子商取引は爆発的な成長期を迎えています。これは、oAuth ベースの API をサードパーティに提供することで、ユーザー情報のセキュリティが確保されるだけでなく、ソーシャル ネットワークや電子商取引の Web サイトに膨大なトラフィックをもたらすためです。 OAuth 2.0 時代の電子メール ご存知のとおり、ユーザーはメールボックスにアクセスするためにサードパーティ製のツールを使用することを好む場合があります。Outlook、Foxmail、Mail Master、YoMail などはすべて、任意のメールボックスにアクセスできるサードパーティ製のメールボックス ツールです。 モバイル インターネット時代の爆発的な成長に伴い、多数のスタートアップ企業がさまざまな電子メール クライアントを開発しています。これらの電子メール パスワードのセキュリティを確保するにはどうすればよいでしょうか? oAuth2.0 がその答えです。 現在、Gmail、Outlook.com など、ほとんどの国際メールボックスは oAuth2.0 API インターフェースをサポートしています。ただし、ほとんどの国内メール アカウントは oAuth2.0 ログインをサポートしていません。その結果、国内のユーザーはoAuth2.0に馴染みがなく、スタートアップ企業の製品に不安を抱くようになりました。 メールの裸のパスワード時代 従来のモードでは、IMAP (電子メールの受信) と SMTP (電子メールの送信) は標準の SASL プロトコルを使用して ID を認証し、ユーザー名とパスワードは両方ともプレーンテキストです。このプレーンテキスト認証方法を使用する場合、電子メール クライアントはユーザー名とパスワードをクライアント上でローカルに保存する必要があり、これは非常に危険です。 Foxmail または Outlook を使用して Gmail にログインすると、この安全でない認証方法 (パスワードは Foxmail にローカルに保存される) のみがサポートされることがわかりました。これは、Foxmail と Outlook がユーザー名とパスワードを取得するのと同じです。 プレーンテキスト パスワード認証方式は非常に危険ですが、残念ながら、中国で主流の電子メール クライアントはすべてプレーンテキスト パスワード認証方式を使用しています。 メール送信プロトコル SMTP を例にとると、次の図は SMTP によるメール送信の全体のプロセスを示しています。 1. SMTPサーバーに接続する 2. HELO命名法を使用して本人確認を行う 3. base64 で暗号化されたメールアドレスとパスワードを入力します (注: base64 は簡単に解読でき、プレーンテキストと変わりません) 4. メールを送信する (SMTPプロセス) このプロセスは、SMTP プロトコルではメールボックスのパスワードを毎回入力する必要があるため、電子メール クライアントはユーザーのメールボックスのパスワードを保存する必要があることを示しています。 oAuth2.0の時代では、ユーザーのパスワードは効果的に保護されます Gmail API では SASL XOAUTH2 認証方式が導入されています。クライアントの検証が始まる前に、クライアントは Gmail 公式ウェブサイトの検証ページにリダイレクトされます。次に、Gmail の公式認証ページでユーザーのユーザー名とパスワードを入力します。検証が完了すると、Gmail はバイナリ トークンをクライアントに返します。その後、クライアントが IMAP と SMTP を使用してメールを送受信する場合、メール ヘッダーにパスワードを入力する必要はなくなり、代わりにバイナリ トークンをメール ヘッダーに入力します。これにより、サードパーティのアプリケーションがユーザーの電子メール パスワードを取得する問題が解決されます。 Gmail Oauth2 ダイアグラム (Google API 技術ドキュメントより) 元のタイトル: Oauth2.0 をサポートする電子メールがより安全なのはなぜですか? キーワード: |
近年、インターネット分野の資本投資に関するニュースは、BATの合併や買収、展開を除けば、垂直コミュニ...
今日のオンライン顧客マーケティングの発展から利益を得たい場合、何をすべきでしょうか? この問題を解決...
Baidu アルゴリズムが導入される前は、ウェブサイトのコンテンツと外部リンクの構築がウェブサイトの...
記者 馮海超現在の業界情勢では、HTML5 は技術愛好家とコンセプトの投機家によって支配されています...
ウェブサイトの最適化は、従来のマーケティングとは異なり、細心の注意を要する作業です。ウェブサイトの最...
クルンはどうですか?クルン三網4837はどうですか? Kurunの中国本土向けの非ハイエンド回線のう...
11月に、spartanhostはシアトルデータセンターにハイエンドAMDシリーズVPS(AMD R...
IDC Review Network (idcps.com) は 3 月 20 日に次のように報告し...
周宏偉はじめに:360 が決して諦めず、常に巨人に挑戦し続けることを支えているのは、周紅義の攻撃的な...
過去2年間で、ショートビデオは急速に発展し、ユーザー規模も急速に拡大したため、ショートビデオは非常に...
Googleは創立15周年を記念して、創業の地であるガレージで記者会見を開き、発売から約1カ月後に導...
月給5,000~50,000のこれらのプロジェクトはあなたの将来です10月19日、Tmallは201...
ソーシャル メディアが SEO に影響を与えることは誰もが知っていますが、ソーシャル メディアは S...
月収10万元の起業の夢を実現するミニプログラム起業支援プラン「始めが良ければ終わりも半分。」電子メー...
全国人民代表大会常務委員会は本日、オンライン情報の保護強化に関する決定草案を審議する。新華社によると...