パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティ診断でGoogleドライブのボーナス容量2GBがもらえるキャンペーン、11日まで実施中」記事へのコメント

  • by Anonymous Coward

    ウイザードの最後の方にあるオプション有効にすると
    メーラーでGmail引っ張れなくなりました

    POP3s(Port:995)でTLS 1.2接続でも弾かれ
    Web Loginしろと怒られるようになります

    今時ローカルにメールを落とす
    メールクライアント使いも珍しいでしょうから
    基本的には設定は有効の方がいいんでしょうね

    物好きな方や仕事で必要なのに間違って設定してしまった場合は
    「ログインとセキュリティ」の一番下の方に
    「安全性の低いアプリの許可」の選択があるので
    有効にして許可しておけば
    元通りメールクライアントでもアクセス可能になります

    # Google様としてはBecky! Internet Mailも安全性の低いアプリらしい

    • 今時ローカルにメールを落とす
      メールクライアント使いも珍しいでしょうから
      基本的には設定は有効の方がいいんでしょうね

      Google は、RFC 6749 [ietf.org] の OAuth 2.0 Authorization に対応していないアプリを「安全性の低いアプリ」 として扱っているのであって、ローカルにメールを落とすメールクライアント(一般の MUA)を全部危険扱いしているわけではないです。

      Google のヘルプの 安全性の低いアプリがアカウントにアクセスするのを許可する [google.com] には、「Google では、最新のセキュリティ標準に対応していないアプリや端末からのログイン操作をブロックする場合があります。」と曖昧な表現がされていて、何のことだか分かり分かり難いですし、一般向けへの周知については不十分だと思います。

      Google様としてはBecky! Internet Mailも安全性の低いアプリらしい

      私も、Becky! Ver.2 を愛用していますが、パスワードをコンピュータ上に保存するのは前時代的であって「安全性が低い」と思います。

      ログイン時に TLS で暗号化通信を行えば通信経路でパスワードが漏えいすることは防げますが、なんらかの原因で Becky! の ini ファイルに保存されたパスワードが漏えいした場合に他の Google サービスまでもが悪用されてしまう恐れがあるため、OAuth 2.0 認証に比べて格段に安全性が低いと言えます。

      他のメーラーですと、Mozilla Thunderbird 38.0.1 以上は OAuth 2.0 認証に対応している [blogspot.jp] ようです。

      OAuth 2.0 に対応しているメーラーの場合には、パスワードは初回設定時に Google のサーバに送信されるだけでコンピュータ上には保存されませんし、メールクライアントに保存されたアクセストークン(自動的に生成される十分な強度をもったランダムな英数字)が漏えいしたとしても、アクセス権を与えたメールサービス以外のGoogleサービスが悪用されることもありませんし、Google アカウントの管理画面から個別のアクセストークン(アクセス権)のみを無効化することもできます。

      OAuth 2.0 は、従来のパスワード認証よりも安全性が高い仕組みであって、全てのアプリが採用することで、パソコン・タブレット・スマホなどの紛失・盗難時や、データの抹消が完璧にできないので初期化のみを行った携帯端末の中古販売や所有者変更などに、パスワードを変更する必要がなくなる(当該端末・アプリのアクセストークンを個別に無効化するだけですむ)ので、利便性も高いです。

      今回の Google のセキュリティ診断では、日本ではサービス提供側がよく要求する「パスワードの定期的な変更」を要求してきませんでした。これも Google のセキュリティポリシーの素晴らしい点だと思います。

      # Google のプライバシーポリシーは嫌いですが、Google のセキュリティポリシーは大好きです。

      親コメント
      • 他のメーラーですと、Mozilla Thunderbird 38.0.1 以上は OAuth 2.0 認証に対応している [blogspot.jp] ようです。

        おお!いつの間にか対応してたのか^^; 設定変更で「安全性の低いアプリがアカウントにアクセスするのを許可する」にしなくても使えるようになりました。感謝。

        既存のアカウントをいじるのは、オプション→アカウントの設定→サーバー設定→認証方法ですね。

        親コメント
      • by Anonymous Coward

        よくわかりました。どうもありがとう。
        ただし、個人的な意見では、Googleのセキュリティ方針は落第で、他のベンダと比べても劣っていると思います。
        それは一般ユーザーに正確なセキュリティ情報を公開しないからです。
        例えば、Chromeなどの自社製アプリケーションの脆弱性情報を公開していませんし、
        今回も、他のアプリケーションを「安全でない」と決めつけるだけでその理由を説明していません。
        これはMicrosoft、Apple、Oracleなどの他の主要ベンダとはっきり異なる、Google特有の態度です。
        (これらのベンダは、脆弱性やセキュリティ仕様に関する詳細な

        • もっと詳しいセキュリティアドバイザリをよこせってことですかね。

          Firefoxと比べたらたしかに情報量が少ないけれど、どこから公開して、どこから非公開にするかという線引きの問題ととらえると、「他の主要ベンダとはっきり異なる、Google特有の態度」とまでは言えないかな。

          個人的には、プライバシー方面で「Google特有の態度」を叩くべき。
          ストリートビューに投稿された360°パノラマ写真には人の顔にモザイクがかかってなくて、そのまま公開されていることはやめろ(オフトピ)。

          親コメント
        • by Anonymous Coward

          他のベンダと比べて???

        • by Anonymous Coward

          あなたが知らないだけで、どこかしらに公開されていますよ
          私は他のベンダの技術情報がどこに公開されているのかわかりませんけどね

          • by Anonymous Coward

            探せば見つかるのと探しても見つからないのでは大きな差がある様に思う。
            で、Googleが公開してるというセキュリティ関連の技術情報はどこに?

            • by Anonymous Coward

              Bingで調べると出てくるんだこれが
              そういうこと

        • by Anonymous Coward

          今回も、他のアプリケーションを「安全でない」と決めつけるだけでその理由を説明していません。

          どのような基準により、アプリケーションの「安全性が低い」と判断していますか? [google.com]

          通常のユーザー名とパスワードの認証を使用してプログラムからアカウントにアクセスするアプリケーションは、
          OAuth 2.0 などの最新のセキュリティ標準に対応しているアプリケーションよりも安全性が低いとみなされます。

        • by Anonymous Coward

          > 例えば、Chromeなどの自社製アプリケーションの脆弱性情報を公開していませんし、

          Google Application Security [google.com]

          ... For Chrome vulnerabilities, use the Chromium bug tracker [google.com].

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...