Oauth2.0 をサポートするメールボックスがより安全なのはなぜですか?

Oauth2.0 をサポートするメールボックスがより安全なのはなぜですか?

以前「Gmail Bar」フォーラムで盛んに議論されたGmail対応メールクライアントYoMailは、安全ではないと非難された。YoMailチームは、YoMailはGmailへのログインにoAuth2.0を使用し、データの送信にSSLを使用しているため、ユーザーのパスワードやメールデータのセキュリティを確保できると述べた。また、国内のメールサービスはほとんどがoAuth2.0をサポートしておらず、ほとんどのメールクライアント(Foxmailなど)もoAuth2.0をサポートしていないため、実際には安全ではないと主張した。では、oAuth2.0 とは何でしょうか? oAuth2.0 認証 (Gmail oAuth 認証など) をサポートするメール サービスがより安全なのはなぜですか? YoMailは安全ですか?これについては以下で詳しく説明します。

oAuth2.0について

ウェブサイトで記事を見て、WeChat Moments または Weibo で共有したい場合、グループ購入ウェブサイトでグループ購入クーポンを購入し、Alipay を使用する必要があります。このとき、これらのウェブサイトでは WeChat、Weibo、または Alipay のログイン インターフェイスがポップアップ表示され、ユーザーは WeChat、Weibo、または Alipay のユーザー名とパスワードを入力して操作を完了します。このプロセスは、典型的な Oauth2.0 検証プロセスです。いくつかの手順があります:

1. ユーザーがサードパーティのウェブサイトでWeChatに接続すると、WeChatログインインターフェースにリダイレクトされます。

2. ユーザーは、WeChat 認証ページでユーザー名とパスワードを入力します。このとき、ユーザー名とパスワードは、サードパーティの Web サイトではなく、WeChat Web サイトで入力されます。

3. 検証後、WeChat は確認インターフェイスに戻り、ニックネーム、プロフィール写真、Moments への共有許可など、サードパーティ プログラムがアクセスする必要がある情報がユーザーに通知されます。

4. ユーザーが「承認」をクリックすると、WeChat はサードパーティ アプリケーションにバイナリ トークンを返します。サードパーティ アプリケーションはこのトークンを使用して、WeChat、Weibo、Fuzhibao とやり取りします。

プロセス全体を通して、サードパーティのアプリケーションはユーザー名やパスワードなどの重要な情報を取得することはありません。 oAuth の誕生以来、ソーシャル ネットワークと電子商取引は爆発的な成長期を迎えています。これは、oAuth ベースの API をサードパーティに提供することで、ユーザー情報のセキュリティが確保されるだけでなく、ソーシャル ネットワークや電子商取引の Web サイトに膨大なトラフィックをもたらすためです。

OAuth 2.0 時代の電子メール

ご存知のとおり、ユーザーはメールボックスにアクセスするためにサードパーティ製のツールを使用することを好む場合があります。Outlook、Foxmail、Mail Master、YoMail などはすべて、任意のメールボックスにアクセスできるサードパーティ製のメールボックス ツールです。

モバイル インターネット時代の爆発的な成長に伴い、多数のスタートアップ企業がさまざまな電子メール クライアントを開発しています。これらの電子メール パスワードのセキュリティを確保するにはどうすればよいでしょうか? oAuth2.0 がその答えです。

現在、Gmail、Outlook.com など、ほとんどの国際メールボックスは oAuth2.0 API インターフェースをサポートしています。ただし、ほとんどの国内メール アカウントは oAuth2.0 ログインをサポートしていません。その結果、国内のユーザーはoAuth2.0に馴染みがなく、スタートアップ企業の製品に不安を抱くようになりました。

メールの裸のパスワード時代

従来のモードでは、IMAP (電子メールの受信) と SMTP (電子メールの送信) は標準の SASL プロトコルを使用して ID を認証し、ユーザー名とパスワードは両方ともプレーンテキストです。このプレーンテキスト認証方法を使用する場合、電子メール クライアントはユーザー名とパスワードをクライアント上でローカルに保存する必要があり、これは非常に危険です。 Foxmail または Outlook を使用して Gmail にログインすると、この安全でない認証方法 (パスワードは Foxmail にローカルに保存される) のみがサポートされることがわかりました。これは、Foxmail と Outlook がユーザー名とパスワードを取得するのと同じです。

プレーンテキスト パスワード認証方式は非常に危険ですが、残念ながら、中国で主流の電子メール クライアントはすべてプレーンテキスト パスワード認証方式を使用しています。

メール送信プロトコル SMTP を例にとると、次の図は SMTP によるメール送信の全体のプロセスを示しています。

1. SMTPサーバーに接続する

2. HELO命名法を使用して本人確認を行う

3. base64 で暗号化されたメールアドレスとパスワードを入力します (注: base64 は簡単に解読でき、プレーンテキストと変わりません)

4. メールを送信する

(SMTPプロセス)

このプロセスは、SMTP プロトコルではメールボックスのパスワードを毎回入力する必要があるため、電子メール クライアントはユーザーのメールボックスのパスワードを保存する必要があることを示しています。

oAuth2.0の時代では、ユーザーのパスワードは効果的に保護されます

Gmail API では SASL XOAUTH2 認証方式が導入されています。クライアントの検証が始まる前に、クライアントは Gmail 公式ウェブサイトの検証ページにリダイレクトされます。次に、Gmail の公式認証ページでユーザーのユーザー名とパスワードを入力します。検証が完了すると、Gmail はバイナリ トークンをクライアントに返します。その後、クライアントが IMAP と SMTP を使用してメールを送受信する場合、メール ヘッダーにパスワードを入力する必要はなくなり、代わりにバイナリ トークンをメール ヘッダーに入力します。これにより、サードパーティのアプリケーションがユーザーの電子メール パスワードを取得する問題が解決されます。

Gmail Oauth2 ダイアグラム (Google API 技術ドキュメントより)


元のタイトル: Oauth2.0 をサポートする電子メールがより安全なのはなぜですか?

キーワード:

<<:  SEMer: クリエイティブライティングの最高峰

>>:  アップル、iPhone 6sなどの製品を発売

推薦する

マルチクラウドアーキテクチャが組織の焦点となる

マルチクラウドとは、組織が AWS、Azure、Google Cloud Platform などの主...

エッジ展開のビジネスケース

アプリケーション ワークロードをエッジ コンピューティング デプロイメントに移行するメリットを検討す...

ウェブサイトのキーワードのランキングに影響を与える主な要因は何ですか?外部リンクまたはコンテンツ

私はSEOに半年以上関わってきました。時間的にはまだ新参者かもしれませんが、多くの記事を読み、多くの...

検索エンジンがどのように変化しても、同じままです

中国では、Green Radish Algorithm であれ、オリジナルの Mars Projec...

バイトダンスの「検索」への野望

これまで新製品の発売には控えめだったByteDanceは、最近、Toutiao Searchの独立ア...

ウェブサイト運営に関するウェブマスターの見解

ウェブサイトを構築した後に遭遇する最大の問題は、ウェブサイトの運用と保守です。優れたウェブサイトは、...

クラウドコンピューティング業界の観点から見た同国の「新インフラ」

国家の「二会期」はちょうど終了しました。 IT 実務家として、今回提案された「新しいインフラ」に期待...

friendhosting: 9 つのデータセンター VPS 同時プロモーション、年間 15 ドルから、トラフィック無制限、カスタム ISO

friendhosting は現在、年間支払いまたはより長い期間を直接購入できる 45% 割引プロモ...

IaaS とは何ですか?最新のデータセンタープラットフォーム

現在、データセンターに長らく導入されてきたサーバー、オペレーティング システム、コア ソフトウェア、...

Sina Micro Magazine がウェブマスターにもたらす価値とインスピレーションの分析

新浪微博は私にとって何の役に立つのか? どのように運営するのか? どのように発行部数を増やすのか? ...

シリコンバレーではリモートワークが増加しており、「オフィススペースゼロ」の企業も登場している

[[314395]]カリフォルニア州サンフランシスコ市は、伝統的なシリコンバレーに属していませんが、...

外国貿易製品を宣伝するにはどうすればいいですか?まず製品のセールスポイントを理解する

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っています外国貿易製...

映画ウェブサイトの最適化: ドメイン名、スペース、プログラムの選択

みなさん、こんにちは。前回、新しいウェブサイトのランキングを目撃した件についてお話ししましたが、今そ...

初心者SEO担当者のオンサイト最適化プランの初公開

検索エンジン最適化は、オンサイト最適化とオフサイト最適化の 2 つの部分に分かれており、SEO 担当...

「王宝宝」の新しいブランドマーケティング手法

2017年4月、ブラックアントキャピタルは王宝宝のシリーズB資金調達に約1億元の投資を主導しました。...