メモ: OAuth 2.0未対応メーラーで OAuth 2.0でメールを受信する
カテゴリー: General
2024-10-04
メモ: OAuth 2.0未対応メーラーで OAuth 2.0でメールを受信する
執筆:2024.10.04
編集:2024.10.04
編集:2024.10.04
OAuth 2.0
パスワード漏洩による芋づる大連鎖の脆弱性を補うため総合サービスで移行が進んでいる。
同じアカウントで芋づる管理されているサービスへ被害が波及しないように最小限にする仕組み。
欠点:フィッシングサイトに誘導された場合は目も当てられない被害が出る。
従来方式
未暗号通信やメールアプリの設定からID/パスワードが漏洩することがある
総合サービスの場合は、全サービスに波及するため OAuth 2.0に移行が進んでいる。
メールアドレスだけのアカウントの場合は、1アカウント1サービスであり従来方式(SSL)で問題ないため従来方式の絶滅はないでしょう。
メールアプリの脆弱性
- メールアプリが暗号化せずに生メールデータを保存している場合
- メールアプリに起動ロックが備わっていない場合
- メールアプリのパスワード保存が設定生データから解読できてしまう場合
- 未暗号通信でメールアプリを設定できる場合
従来方式の欠点
- メールアプリのパスワード保存がデータから解読できてしまうことが多いこと
- 誤って未暗号通信でメールアプリを設定していることが多いこと,警告ももないこと
方法1
OAuth 2.0必須のメールの利用をやめれば簡単に解決する
方法2
対応メールアプリを使う
方法3
中継アプリを経由する
アクセスイメージ
未対応メーラー
⇔ POP(SSL)
💻(中継専用アプリ)
⇔ POP(OAuth 2.0)
🌎 ✉
⇔ POP(SSL)
💻(中継専用アプリ)
⇔ POP(OAuth 2.0)
🌎 ✉