In che modo Google memorizza le password per i servizi IMAP / POP remoti?

7

È possibile aggiungere account non Google a Gmail e recuperare i loro messaggi di posta tramite POP o IMAP. Come parte del processo di installazione, è necessario fornire il nome utente e la password di accesso per questi account.

Poiché POP / IMAIL richiede credenziali in chiaro, devono essere archiviate da Google in modo reversibile.

C'è una documentazione su come queste credenziali sono protette?

    
posta WoJ 09.03.2016 - 17:00
fonte

2 risposte

2

Ci sono due parti qui che alcune persone potrebbero aver confuso. Quindi lascia che le tenga dritte:

Prima di tutto, la tua password per il tuo account Gmail (la tua attuale password Google) viene sottoposta a hash responsabilmente. Non ho visto i dettagli pubblicati pubblicamente da nessuna parte, quindi dirò semplicemente che le persone responsabili di questa cura per la sicurezza e hanno una conoscenza molto approfondita di ciò che ciò comporta.

Ma se imposti il "Mail Fetcher" per interrogare altri servizi di posta usando POP3 e importa la loro posta nel tuo account, allora sì, ovviamente quell'utilità deve essere in grado di ottenere la versione in chiaro della tua password in per effettuare il login come te e per recuperare la posta per tuo conto. Questa è una limitazione inerente a qualsiasi sistema che utilizza password ed è inevitabile. Non usare questa funzione se ti mette a disagio.

Non vedo alcuna documentazione pubblica su come queste credenziali siano protette, quindi sfortunatamente non posso commentare. Ma ancora, ripeterò il mio intero sentimento di "ingegneri intelligenti".

Nota a margine: Google ha adattato OAuth2 in POP3 e IMAP specificamente per risolvere questo problema, consentendoti di consentire a un client di accedere alla tua posta senza fornire la password di accesso. Consente inoltre di utilizzare la configurazione a 2 fattori con POP3 e IMAP. Ma finora non ha guadagnato molta popolarità oltre a Gmail, quindi non è particolarmente utile per lo strumento feticcio della posta.

Disclaimer: I work for Google.
Second Disclaimer: I do not speak for Google. These thoughts and opinions are my own (which I think makes them all the more valuable).

    
risposta data 08.06.2016 - 07:37
fonte
1

Non ho trovato alcuna documentazione di questo tipo. Quindi ho dovuto fare comunicazione interna su questa vulnerabilità ai miei utenti.

Inoltre, al momento della connessione (pop|imap)/tcp , queste password sono chiare nei server Gmail (che agiscono come client in questo processo). Stanno anche viaggiando in Internet in modo chiaro.

La debolezza intrinseca di tale servizio dovrebbe essere meglio documentata da Google, e dovrebbero essere forniti avvertimenti appropriati agli utenti che non sono a conoscenza della sicurezza.

    
risposta data 09.03.2016 - 23:11
fonte

Leggi altre domande sui tag