Nuja.
Ich dachte dabei an sowat wie eigene IP .
Ich bin nicht mehr so vertraut mit Vms .
Würde es nich reichen,aus derselben über denselben Router mit Tante G. zu plaudern?
Die hat ein verdammt gutes Gedächtnis...
P.
Unsichere App?
-
- 102.*
- Windows
- Jeanne
-
25. Juni 2022 um 13:18 - Geschlossen
- Erledigt
-
-
Nach allem, was hier im Forum bisher zu lesen war, hat Google angekündigt, das nicht mehr zu unterstützen. Wir sehen auch hinreichend Beiträge von Leuten, bei denen die einfache Anmeldung nicht mehr funktioniert. Dies hier ist der erste und bisher einzige Bericht, wonach die einfache Anmeldung dennoch möglich sei.
Bei meinem eigenen Test kürzlich habe ich OAuth2 verwendet. Die Idee, es ganz ohne OAuth oder App-Passwort zu versuchen, habe ich wegen der klaren Ansage seitens Google gar nicht erst verfolgt. Vielleicht mag das ja noch jemand testen. Ich möchte mir dort kein weiteres Konto anlegen.
-
Würde es nich reichen,aus derselben über denselben Router mit Tante G. zu plaudern?
Das darf eigentlich nicht sein. Weil hinter dem Router (hinter der einen IP) mehrere Benutzer stecken können. Außer in Single-Haushalten dürfte das der Normalfall sein. Wenn die IP genügen würde, hieße das, Benutzer A kann die 2FA für Benutzer B unterlaufen.
-
Ich habe eben ein absolut neues Gmal-Konto angelegt, dies funktionierte eigentlich so wie immer, mit einer hinterlegten Mobilnummer (für den Bestätigungscode) und einer Mailadresse für Sicherheitsrückfragen, so wie es immer war.
Hmmm, kannst du mal für dieses Versuchskonto die Verbindungsdaten sagen/Screenshot machen? Bei mir geht es nicht...
Grüße dErzOnk
-
Hmmm, kannst du mal für dieses Versuchskonto die Verbindungsdaten sagen/Screenshot machen?
... ich habe ganz normal im TB in einem neuen Profil ein Gmail-Konto (welches ich zuvor bei Google erstellt habe) eingerichtet, so wie es TB vorgibt, da ist nix irgendwie manipuliert, siehe auch #13. Und die Servereinstellungen sind die, die der TB anbietet.
Und Cookies sind nicht aktiviert.
-
Also doch Authentifizierungsmethode 'OAuth2' – wie erwartet.
-
Also doch Authentifizierungsmethode 'OAuth2' – wie erwartet.
... scheint schon lange Standard zu sein
daher wurde es von mir nie beachtet, automatische Konteninstallation und gut ist's. Und deshalb hab ich auch nicht begriffen, was ab dem 1. Juni anders sein soll. -
scheint schon lange Standard zu sein
daher wurde es von mir nie beachtet, automatische Konteninstallation und gut ist's. Und deshalb hab ich auch nicht begriffen, was ab dem 1. Juni anders sein soll.Laut diesem Hilfeartikel hat schon TB 91.8.0 Gmail-Konten automatisch in OAuth 2.0 umgewandelt. Also noch vor dem Termin 30.05.2022, den Google gesetzt hatte.
-
Laut diesem Hilfeartikel hat schon TB 91.8.0 Gmail-Konten automatisch in OAuth 2.0 umgewandelt. Also noch vor dem Termin 30.05.2022, den Google gesetzt hatte.
...
habe mit mal zum Testen den TB 78.0 heruntergeladen und ein Testkonto eingerichtet, auch hier wird standardmäßig OAuth 2.0 verwendet.
-
Und Cookies sind nicht aktiviert.
Das glaube ich nicht. Schau auch mal bei den Ausnahmen nach. Ohne Cookies funktioniert OAuth 2 mit Google nicht.
-
Ohne Cookies funktioniert OAuth 2 mit Google nicht.
Laut Artikel schon. Man kann Cookies nach Einrichtung von OAuth 2 ablehnen, wenn aber der OAuth-Authentifizierungstoken abläuft, muss der OAuth-Authentifizierungsprozess neu durchgeführt werden.
-
Laut diesem Hilfeartikel hat schon TB 91.8.0 Gmail-Konten automatisch in OAuth 2.0 umgewandelt.
Interessanter Artikel – wobei ich das nicht mitbekommen habe, da ich noch Version 78 verwende. Ich hätte es aber bemerkt, da Cookies hier deaktiviert sind.
Automatische Umwandlung von Gmail-Konten zur OAuth 2.0 Authentifizierung | Hilfe zu Thunderbird
Etwas anderes finde ich aber viel interessanter:[box]
Nachdem der Authentifizierungsprozess von OAuth abgeschlossen ist, können Sie Cookies wieder ablehnen, denn das Empfangen und Senden von E-Mails funktioniert auch mit abgelehnten Cookies.[/box]
Das wurde auch von MSFreak so bestätigt und bedeutet: Die 2FA wird nur einmalig bei der Authentifizierung benötigt. Danach kann jeder im Besitz des Tokens auf das Konto zugreifen.
-
Laut Artikel schon.
Nein.
Mann kann Cookies nach Einrichtung von OAuth 2 ablehnen, wenn aber der OAuth-Authentifizierungstoken abläuft, muss der OAuth-Authentifizierungsprozess neu durchgeführt werden.
Frau kann das übrigens auch. Aber auch das setzt voraus, dass zuvor zumindest einmalig Cookies akzeptiert wurden.
-
Sorry, mein Fehler
Stimmt, ohne Akzeptanz der Cookies ist keine Konteneinrichtung möglich. Ich hatte die Option nachträglich entfernt und daher keine Einschränkungen mehr festgestellt. -
Danach kann jeder im Besitz des Tokens auf das Konto zugreifen.
Das hatten wir neulich schon. Du erinnerst dich sicher? Und es stimmt immer noch nicht. OAuth Tokens haben per se eine Ablauffrist. Wie diese bei Google gewählt ist, weiß ich nicht. Und ich werde ganz gewiss nicht schon wieder etwas austesten, das du selbst hättest testen sollren, bevor du mit dieser Behauptung kommst.
Üblicherweise liegt diese Ablauffrist im Bereich einiger Minuten. Diese Tokens bekommst du gar nicht zu sehen. Es handelt sich dabei nicht um das Cookie, sondern um ein Stück Kryptografie. -
Frau kann das übrigens auch.
Ja, natürlich. Danke für den Hinweis.
Aber auch das setzt voraus, dass zuvor zumindest einmalig Cookies akzeptiert wurden
Ich habe geschrieben „nach Einrichtung" und außerdem steht es im Artikel, dass man vorher Cookies akzeptieren muss.
-
und außerdem steht es im Artikel, dass man vorher Cookies akzeptieren muss.
Eben! Da darf man ich mich schon fragen, weshalb du mir unbedingt widersprechen musstest.
/* Ach ja, ich kann das übrigens auch. Dein Beitrag hier: RE: Unsicherheit ob E-Mail verschickt wurde
Das Thema ist tatsächlich schon sehr betagt, aber ganz gewiss keine 6! Jahre. Dann wäre er nämlich von 1302.
*/
-
as Thema ist tatsächlich schon sehr betagt, aber ganz gewiss keine 6! Jahre. Dann wäre er nämlich von 1302.
Jetzt wirds albern.
Eben! Da darf man ich mich schon fragen, weshalb du mir unbedingt widersprechen musstest.
Du hast den Ausdruck „nach Einrichtung“ immer noch nicht verstanden. Die Cookies können nach Einrichtung von OAuth abgelehnt werden. Und das steht im Artikel. Dein „Nein“ in Beitrag #33 ist also fehl am Platz. Muss ich das noch ein paar mal wiederholen oder möchtest du weiterhin spitzfindig sein?
-
OAuth Tokens haben per se eine Ablauffrist. Wie diese bei Google gewählt ist, weiß ich nicht.
Genau deshalb gibt es neben dem Access Token noch ein Refresh Token[1]. Aber auch dort findet eine Authentifizierung nur einmalig beim Erstellen des Token statt und somit steht jedem im Besitz des Token der Zugriff auf die Ressource offen – daran gibt es nichts zu rütteln.
Diese Tokens bekommst du gar nicht zu sehen. Es handelt sich dabei nicht um das Cookie, sondern um ein Stück Kryptografie.
'ein Stück Kryptografie' …? Das klingt jetzt verdammt nach schwarzer Magie, aber Kryptographie ist alles andere als das!
Wie der Name schon sagt: mit OAuth (Open Authorization) wird eine Anwendung, z. B. TB, ermächtigt, im Namen des Users auf eine Ressource zuzugreifen; und das ohne weitere Authentifizierung – der Besitz des Token allein reicht dafür aus.
-
Du hast den Ausdruck „nach Einrichtung“ immer noch nicht verstanden.
Zugegeben, es soll schon vorgekommen sein, dass ich Tomaten auf den Augen hatte. Hier aber nicht. Da sitzen sie über jemand anderen Nase.
Schaun wir doch mal:
Ich habe eben ein absolut neues Gmal-Konto angelegt,
... kann ich mir nicht vorstellen, da der Test-Account neu hinzugefügt wurde.
ich habe ganz normal im TB in einem neuen Profil ein Gmail-Konto (welches ich zuvor bei Google erstellt habe) eingerichtet,
Es ging hier also ganz klar um die erste Einrichtung des Kontos. Das hat er mehrfach erwähnt. Eben diese Ersteinrichtung funktioniert ohne Cookies nicht. So steht es auch in dem von dir selbst genannten Artikel.
Sorry, da darf man schon fragen, was deine Kritik hier soll.
Jetzt wirds albern.
Nun, das war natürlich eine Retour. Damit solltest du eigentlich klarkommen, schließlich kritisierst gerade du hier teilweise Leute schon wegen des kleinsten Tippfehlers. Und auch wenn selbstverständlich klar ersichtlich war, dass du 6 Jahren meintest, geschrieben hast du 720 Jahre.
Genau deshalb gibt es neben dem Access Token noch ein Refresh Token
Richtig. Das funktioniert aber nicht so, wie du es unterstellst.
somit steht jedem im Besitz des Token der Zugriff auf die Ressource offen – daran gibt es nichts zu rütteln.
Daran gibt es sehr wohl zu rütteln. Schau in den Hilfeartikel. Was glaubst du, weshalb nach Ablauf des Tokens¹ im Thunderbird eine erneute Einwahl erfolgen muss, bei man auch das Passwort erneut eingeben muss?
Und wenn du darauf hinauswillst, das jemand genau dann während man gerade eine Session laufen hat, die beteiligten Server hackt oder die verschlüsselte Verbindung knackt, dann ist das ein ganz anderes Thema. Ebenso wie es ein anderes Thema ist, dass bei Single Sign On die Auswirkung selbstverständlich größer sein kann.
Ich verstehe nicht, weshalb du immer und immer wieder dieses OAuth schlechtreden musst, mit sachlich falschen Argumenten. Dein eigener Test neulich hat gezeigt, dass man für die hier mit OAuth verknüpfte 2FA zwingend Benutzername und Passwort + Cookie benötigt. Das ist also in jedem Fall sicherer als nur Benutzername und Passwort.
¹: Für das OAuth bei uns der Firma habe ich es eben getestet. Die Ablaufzeit liegt hier für die Anmeldung im Bereich von 2 bis 3 Minuten, für die Session bei 30 Minuten. Und mit dem Log Out erlischt natürlich auch das Refresh Token. Google mag längere Zeiten haben. Das werde ich nicht testen. Da wären doch bitte diejenigen in der Bringschuld, die hier so schlechte Stimmung gegen Googles Änderungen machen. Ich fürchte aber, das wird wie üblich aus dieses Mal nicht stattfinden.
