​メモ: OAuth 2.0未対応メーラーで OAuth 2.0でメールを受信する


執筆:2024.10.04
編集:2024.10.04

OAuth 2.0

パスワード漏洩による芋づる大連鎖の脆弱性を補うため総合サービスで移行が進んでいる。

同じアカウントで芋づる管理されているサービスへ被害が波及しないように最小限にする仕組み。

欠点:認証フォームにはアドレス表示がないため、フィッシングサイトに誘導された場合は目も当てられない被害が出る。

この脆弱性は将来的に問題となるだろう。

従来方式

未暗号通信やメールアプリの設定からID/パスワードが漏洩することがある

総合サービスの場合は、全サービスに波及するため OAuth 2.0に移行が進んでいる。

メールアドレスだけのアカウントの場合は、1アカウント1サービスであり従来方式(TLS)で問題ないため従来方式の絶滅はないでしょう。

メールアプリの脆弱性

  • メールアプリが暗号化せずに生メールデータを保存している場合
  • メールアプリに起動ロックが備わっていない場合
  • メールアプリのパスワード保存が設定生データから解読できてしまう場合
  • 未暗号通信でメールアプリを設定できる場合
     

従来方式の欠点

  • メールアプリのパスワード保存がデータから解読できてしまうことが多いこと
  • 誤って未暗号通信でメールアプリを設定していることが多いこと,警告ももないこと

 

» 続きを読む