Комментарии 9
НЛО прилетело и опубликовало эту надпись здесь
На вскидку:
1) отсутствие необходимости передавать сторонним сервисам логин/пароль;
2) возможность избирательно отозвать доступ для конкретного стороннего сервиса.
1) отсутствие необходимости передавать сторонним сервисам логин/пароль;
2) возможность избирательно отозвать доступ для конкретного стороннего сервиса.
+3
1) а что за «сторонние сервисы», когда я настраиваю почту у себя в почтовике?
0
«У себя в почтовике» = сторонний сервис. У вас есть емейл — это сервис. Вы к нему предоставляете доступ другим, СТОРОННИМ сервисам. Без разницы сколько их — 1 или 100500. И чем меньше сторонних сервисов будет иметь логин/пароль к сервису, на котором они хотят авторизоваться — тем спокойнее на душе у пользователя :).
0
Когда локальный клиент сохраняет токен, это лучше, чем когда он сохраняет пароль.
Пароль, сохраненный на компе может украсть троян.
Токен тоже может быть украден трояном, но, во-первых, такие трояны менее распространены, во-вторых, в этом случае пострадает только почтовый аккаунт, а в случае, если будет украден пароль — и все остальные аккаунты пользователя с этим паролем.
А еще, когда юзер авторизуется по IMAP паролем, сервису сложнее отличать настоящего юзера от хакеров и брутфорсеров. При авторизации через OAuth, можно показать юзеру в WebView капчу, спросить дополнительные данные и т.д. Причем, при использовании пароля, IMAP-авторизации с паролем повторяются из раза в раз, и сервис каждый раз должен принимать решение — пользователь это или брутфорсер, при этом имея очень мало информации для принятия такого решения.
Пароль, сохраненный на компе может украсть троян.
Токен тоже может быть украден трояном, но, во-первых, такие трояны менее распространены, во-вторых, в этом случае пострадает только почтовый аккаунт, а в случае, если будет украден пароль — и все остальные аккаунты пользователя с этим паролем.
А еще, когда юзер авторизуется по IMAP паролем, сервису сложнее отличать настоящего юзера от хакеров и брутфорсеров. При авторизации через OAuth, можно показать юзеру в WebView капчу, спросить дополнительные данные и т.д. Причем, при использовании пароля, IMAP-авторизации с паролем повторяются из раза в раз, и сервис каждый раз должен принимать решение — пользователь это или брутфорсер, при этом имея очень мало информации для принятия такого решения.
+1
Стал использовать сразу после появления в релиз-нотисах для аутентификации Thunderbird в GMail и даже подумать не мог, что эта радость — дело рук mail.ru :-)
Спасибо большое!
Спасибо большое!
+3
У меня такое же ложное впечатление сложилось от заголовка. Из текста же статьи оказалось что они только конфигурацию для Mail.ru добавили (если я правильно понял), так что сам OAuth2 в Thunderbird появился раньше.
+1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
OAuth-авторизация в Mozilla Thunderbird: от зарождения до релиза