Recentemente ho implementato il codice PHP con IMAP per leggere le mail da un account GMail ed eseguire ulteriormente alcuni comandi a seconda del corpo della posta. Ho ottenuto questo risultato dopo aver consultato la prima risposta da questo link .
Le mie domande sono:
1) Che cosa significa "consentire l'accesso ad app meno sicure"?
2) Come posso renderlo sicuro?
Anche se potrebbero esserci altri problemi di sicurezza, uno dei principali è che questo meccanismo di autenticazione ignora l'autenticazione Google a 2 fattori . Se vai alla pagina link per abilitare Google 2FA mentre hai attivato 2FA sul tuo account Google, Google visualizza questo messaggio:
This setting is not available for accounts with 2-Step Verification enabled. Such accounts require an application-specific password for less secure apps access. Learn more
Questo perché non è possibile per l'applicazione client accettare l'input 2FA e passarlo a Google.
Uno dei vantaggi dei protocolli come OpenID Connect è che l'intero flusso di lavoro dell'autenticazione è delegato al provider di autenticazione. Pertanto, quando un'applicazione abilitata per OpenID Connect desidera autenticarsi, chiama il provider di autenticazione per visualizzare la pagina di accesso. Ciò consente al flusso di lavoro di accesso di essere più complesso di un semplice nome utente / password.
È considerato meno sicuro perché ora c'è un altro modo per intromettersi nel tuo account Google se l'applicazione non è sicura (che non è specificamente l'accesso ad esso).
Sfortunatamente perché hai messo quel copione lì, allora non c'è davvero un modo per renderlo sicuro senza in qualche modo inoltrare il CAPTCHA e rispondendolo ogni volta. Il motivo è ora che non hanno modo di dimostrare che l'applicazione che accede al tuo account non è un bot, ma una persona reale. Inoltre, non hanno modo di garantire che la tua applicazione non sia stata compromessa, sostituita, iniettata, intercettata, ETC, ETC. Quindi sì, è meno sicuro senza un CAPTCHA e non puoi renderlo più sicuro perché non sei tu.
EDIT: Ora quello che stai facendo non è BAD, ma sii avvisato che questo può aprirti a possibili attacchi con persone che usano questo relay SMTP per provare a forzare il tuo account. Finché sai cosa stai facendo, e i possibili pericoli che ne derivano, va bene. Prendi le misure necessarie per mantenere te stesso, i tuoi affari, le tue altre cose ... al sicuro.