アカウント名:
パスワード:
ウイザードの最後の方にあるオプション有効にするとメーラーでGmail引っ張れなくなりました
POP3s(Port:995)でTLS 1.2接続でも弾かれWeb Loginしろと怒られるようになります
今時ローカルにメールを落とすメールクライアント使いも珍しいでしょうから基本的には設定は有効の方がいいんでしょうね
物好きな方や仕事で必要なのに間違って設定してしまった場合は「ログインとセキュリティ」の一番下の方に「安全性の低いアプリの許可」の選択があるので有効にして許可しておけば元通りメールクライアントでもアクセス可能になります
# Google様としてはBecky! Internet Mailも安全性の低いアプリらしい
今時ローカルにメールを落とす メールクライアント使いも珍しいでしょうから 基本的には設定は有効の方がいいんでしょうね
Google は、RFC 6749 [ietf.org] の OAuth 2.0 Authorization に対応していないアプリを「安全性の低いアプリ」 として扱っているのであって、ローカルにメールを落とすメールクライアント(一般の MUA)を全部危険扱いしているわけではないです。
Google のヘルプの 安全性の低いアプリがアカウントにアクセスするのを許可する [google.com] には、「Google では、最新のセキュリティ標準に対応していないアプリや端末からのログイン操作をブロックする場合があります。」と曖昧な表現がされていて、何のことだか分かり分かり難いですし、一般向けへの周知については不十分だと思います。
Google様としてはBecky! Internet Mailも安全性の低いアプリらしい
私も、Becky! Ver.2 を愛用していますが、パスワードをコンピュータ上に保存するのは前時代的であって「安全性が低い」と思います。
ログイン時に TLS で暗号化通信を行えば通信経路でパスワードが漏えいすることは防げますが、なんらかの原因で Becky! の ini ファイルに保存されたパスワードが漏えいした場合に他の Google サービスまでもが悪用されてしまう恐れがあるため、OAuth 2.0 認証に比べて格段に安全性が低いと言えます。
他のメーラーですと、Mozilla Thunderbird 38.0.1 以上は OAuth 2.0 認証に対応している [blogspot.jp] ようです。
OAuth 2.0 に対応しているメーラーの場合には、パスワードは初回設定時に Google のサーバに送信されるだけでコンピュータ上には保存されませんし、メールクライアントに保存されたアクセストークン(自動的に生成される十分な強度をもったランダムな英数字)が漏えいしたとしても、アクセス権を与えたメールサービス以外のGoogleサービスが悪用されることもありませんし、Google アカウントの管理画面から個別のアクセストークン(アクセス権)のみを無効化することもできます。
OAuth 2.0 は、従来のパスワード認証よりも安全性が高い仕組みであって、全てのアプリが採用することで、パソコン・タブレット・スマホなどの紛失・盗難時や、データの抹消が完璧にできないので初期化のみを行った携帯端末の中古販売や所有者変更などに、パスワードを変更する必要がなくなる(当該端末・アプリのアクセストークンを個別に無効化するだけですむ)ので、利便性も高いです。
今回の Google のセキュリティ診断では、日本ではサービス提供側がよく要求する「パスワードの定期的な変更」を要求してきませんでした。これも Google のセキュリティポリシーの素晴らしい点だと思います。
# Google のプライバシーポリシーは嫌いですが、Google のセキュリティポリシーは大好きです。
おお!いつの間にか対応してたのか^^; 設定変更で「安全性の低いアプリがアカウントにアクセスするのを許可する」にしなくても使えるようになりました。感謝。
既存のアカウントをいじるのは、オプション→アカウントの設定→サーバー設定→認証方法ですね。
よくわかりました。どうもありがとう。ただし、個人的な意見では、Googleのセキュリティ方針は落第で、他のベンダと比べても劣っていると思います。それは一般ユーザーに正確なセキュリティ情報を公開しないからです。例えば、Chromeなどの自社製アプリケーションの脆弱性情報を公開していませんし、今回も、他のアプリケーションを「安全でない」と決めつけるだけでその理由を説明していません。これはMicrosoft、Apple、Oracleなどの他の主要ベンダとはっきり異なる、Google特有の態度です。(これらのベンダは、脆弱性やセキュリティ仕様に関する詳細な
もっと詳しいセキュリティアドバイザリをよこせってことですかね。
Firefoxと比べたらたしかに情報量が少ないけれど、どこから公開して、どこから非公開にするかという線引きの問題ととらえると、「他の主要ベンダとはっきり異なる、Google特有の態度」とまでは言えないかな。
個人的には、プライバシー方面で「Google特有の態度」を叩くべき。ストリートビューに投稿された360°パノラマ写真には人の顔にモザイクがかかってなくて、そのまま公開されていることはやめろ(オフトピ)。
他のベンダと比べて???
あなたが知らないだけで、どこかしらに公開されていますよ私は他のベンダの技術情報がどこに公開されているのかわかりませんけどね
探せば見つかるのと探しても見つからないのでは大きな差がある様に思う。で、Googleが公開してるというセキュリティ関連の技術情報はどこに?
Bingで調べると出てくるんだこれがそういうこと
今回も、他のアプリケーションを「安全でない」と決めつけるだけでその理由を説明していません。
どのような基準により、アプリケーションの「安全性が低い」と判断していますか? [google.com]
通常のユーザー名とパスワードの認証を使用してプログラムからアカウントにアクセスするアプリケーションは、OAuth 2.0 などの最新のセキュリティ標準に対応しているアプリケーションよりも安全性が低いとみなされます。
> 例えば、Chromeなどの自社製アプリケーションの脆弱性情報を公開していませんし、
Google Application Security [google.com]
... For Chrome vulnerabilities, use the Chromium bug tracker [google.com].
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
安全性の低いアプリの無効化 (スコア:1, 参考になる)
ウイザードの最後の方にあるオプション有効にすると
メーラーでGmail引っ張れなくなりました
POP3s(Port:995)でTLS 1.2接続でも弾かれ
Web Loginしろと怒られるようになります
今時ローカルにメールを落とす
メールクライアント使いも珍しいでしょうから
基本的には設定は有効の方がいいんでしょうね
物好きな方や仕事で必要なのに間違って設定してしまった場合は
「ログインとセキュリティ」の一番下の方に
「安全性の低いアプリの許可」の選択があるので
有効にして許可しておけば
元通りメールクライアントでもアクセス可能になります
# Google様としてはBecky! Internet Mailも安全性の低いアプリらしい
OAuth 2.0 に対応していないと 「安全性の低いアプリ」 と扱われます (スコア:5, 参考になる)
Google は、RFC 6749 [ietf.org] の OAuth 2.0 Authorization に対応していないアプリを「安全性の低いアプリ」 として扱っているのであって、ローカルにメールを落とすメールクライアント(一般の MUA)を全部危険扱いしているわけではないです。
Google のヘルプの 安全性の低いアプリがアカウントにアクセスするのを許可する [google.com] には、「Google では、最新のセキュリティ標準に対応していないアプリや端末からのログイン操作をブロックする場合があります。」と曖昧な表現がされていて、何のことだか分かり分かり難いですし、一般向けへの周知については不十分だと思います。
私も、Becky! Ver.2 を愛用していますが、パスワードをコンピュータ上に保存するのは前時代的であって「安全性が低い」と思います。
ログイン時に TLS で暗号化通信を行えば通信経路でパスワードが漏えいすることは防げますが、なんらかの原因で Becky! の ini ファイルに保存されたパスワードが漏えいした場合に他の Google サービスまでもが悪用されてしまう恐れがあるため、OAuth 2.0 認証に比べて格段に安全性が低いと言えます。
他のメーラーですと、Mozilla Thunderbird 38.0.1 以上は OAuth 2.0 認証に対応している [blogspot.jp] ようです。
OAuth 2.0 に対応しているメーラーの場合には、パスワードは初回設定時に Google のサーバに送信されるだけでコンピュータ上には保存されませんし、メールクライアントに保存されたアクセストークン(自動的に生成される十分な強度をもったランダムな英数字)が漏えいしたとしても、アクセス権を与えたメールサービス以外のGoogleサービスが悪用されることもありませんし、Google アカウントの管理画面から個別のアクセストークン(アクセス権)のみを無効化することもできます。
OAuth 2.0 は、従来のパスワード認証よりも安全性が高い仕組みであって、全てのアプリが採用することで、パソコン・タブレット・スマホなどの紛失・盗難時や、データの抹消が完璧にできないので初期化のみを行った携帯端末の中古販売や所有者変更などに、パスワードを変更する必要がなくなる(当該端末・アプリのアクセストークンを個別に無効化するだけですむ)ので、利便性も高いです。
今回の Google のセキュリティ診断では、日本ではサービス提供側がよく要求する「パスワードの定期的な変更」を要求してきませんでした。これも Google のセキュリティポリシーの素晴らしい点だと思います。
# Google のプライバシーポリシーは嫌いですが、Google のセキュリティポリシーは大好きです。
Re:OAuth 2.0 に対応していないと 「安全性の低いアプリ」 と扱われます (スコア:1)
おお!いつの間にか対応してたのか^^; 設定変更で「安全性の低いアプリがアカウントにアクセスするのを許可する」にしなくても使えるようになりました。感謝。
既存のアカウントをいじるのは、オプション→アカウントの設定→サーバー設定→認証方法ですね。
Re: (スコア:0)
よくわかりました。どうもありがとう。
ただし、個人的な意見では、Googleのセキュリティ方針は落第で、他のベンダと比べても劣っていると思います。
それは一般ユーザーに正確なセキュリティ情報を公開しないからです。
例えば、Chromeなどの自社製アプリケーションの脆弱性情報を公開していませんし、
今回も、他のアプリケーションを「安全でない」と決めつけるだけでその理由を説明していません。
これはMicrosoft、Apple、Oracleなどの他の主要ベンダとはっきり異なる、Google特有の態度です。
(これらのベンダは、脆弱性やセキュリティ仕様に関する詳細な
Re:OAuth 2.0 に対応していないと 「安全性の低いアプリ」 と扱われます (スコア:1)
もっと詳しいセキュリティアドバイザリをよこせってことですかね。
Firefoxと比べたらたしかに情報量が少ないけれど、どこから公開して、どこから非公開にするかという線引きの問題ととらえると、「他の主要ベンダとはっきり異なる、Google特有の態度」とまでは言えないかな。
個人的には、プライバシー方面で「Google特有の態度」を叩くべき。
ストリートビューに投稿された360°パノラマ写真には人の顔にモザイクがかかってなくて、そのまま公開されていることはやめろ(オフトピ)。
Re: (スコア:0)
他のベンダと比べて???
Re: (スコア:0)
あなたが知らないだけで、どこかしらに公開されていますよ
私は他のベンダの技術情報がどこに公開されているのかわかりませんけどね
Re: (スコア:0)
探せば見つかるのと探しても見つからないのでは大きな差がある様に思う。
で、Googleが公開してるというセキュリティ関連の技術情報はどこに?
Re: (スコア:0)
Bingで調べると出てくるんだこれが
そういうこと
Re: (スコア:0)
今回も、他のアプリケーションを「安全でない」と決めつけるだけでその理由を説明していません。
どのような基準により、アプリケーションの「安全性が低い」と判断していますか? [google.com]
通常のユーザー名とパスワードの認証を使用してプログラムからアカウントにアクセスするアプリケーションは、
OAuth 2.0 などの最新のセキュリティ標準に対応しているアプリケーションよりも安全性が低いとみなされます。
Re: (スコア:0)
> 例えば、Chromeなどの自社製アプリケーションの脆弱性情報を公開していませんし、
Google Application Security [google.com]
... For Chrome vulnerabilities, use the Chromium bug tracker [google.com].