IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Débats sur le développement - Le Best Of Discussion :

OAuth 2.0 pour SMTP vers un abus ?


Sujet :

Débats sur le développement - Le Best Of

  1. #1
    Membre actif

    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2006
    Messages
    44
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : février 2006
    Messages : 44
    Points : 224
    Points
    224
    Billets dans le blog
    2
    Par défaut OAuth 2.0 pour SMTP vers un abus ?
    Bonjour,

    Prochainement, Gmail va obliger l'utilisation du protocole OAuth 2.0 pour envoyer des emails via leur serveur smtp ("fin des applications moins sécurisée")

    Si j'ai bien compris, le gros souci avec ce protocole (enfin l'implémentation) est que le développeur doit s'inscrire (et faire valider) pour chaque application (et plateforme) auprès de chaque fournisseur (Google, Microsoft...)


    Donc demain si Orange, Free, Yahoo... et tartanpion généralisent OAuth 2.0 sur le SMTP/IMAP/POP, il va y avoir beaucoup de gestion de comptes auprès de ces fournisseurs. Cela va à l'encontre de l'interopérabilité.

    Je ne parle pas des coûts possibles pour l'utilisation de l'API et de l'indépendance.


    Qu'en pensez-vous de l' OAuth 2.0 sur le SMTP/IMAP/POP ?

    merci

  2. #2
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    10 062
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 10 062
    Points : 27 649
    Points
    27 649
    Par défaut
    Bonjour,

    Sauf erreur, SMTP est un protocole non sécurisé par défaut, c'est à dire que n'importe qui peut se connecter à ton serveur SMTP pour envoyer des mails, sans dire qui il est. Donc aussi bien des utilisateurs légitimes que des utilisateurs voulant profiter de ton système pour envoyer des spams/phishing/... (par exemple)

    Quasiment tous les providers de solutions mail ont mis en place une surcouche pour se prémunir d'être un service utilisé par tous les méchants. Certains FAI par exemple n'autorisent l'envoie SMTP non-authentifié que depuis leur réseau (via leur box), et si tu ne passes pas par leur réseau, alors il faut t'authentifier.

    Je ne sais pas ce qu'utilisait Google, mais je serai surpris d'apprendre qu'ils n'avaient pas déjà un ou plusieurs mécanismes en place.

    Qu'est-ce qui te gène avec l'application de OAuth 2 plus qu'autre chose ?
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  3. #3
    Membre actif

    Homme Profil pro
    Développeur informatique
    Inscrit en
    février 2006
    Messages
    44
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : février 2006
    Messages : 44
    Points : 224
    Points
    224
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Bonjour,

    Qu'est-ce qui te gène avec l'application de OAuth 2 plus qu'autre chose ?

    Par rapport à l'authentification smtp "classique" OAuth 2 impose que le développeur créé un compte pour obtenir sa clé privée pour chaque "fournisseur smtp"

    J'y vois plusieurs problèmes :
    - Gestion des comptes chronophage : inscription, soumission, vérification pour chaque fournisseur et app. Quasi impossible si tous les prestataires d'email s'y mettent
    - Le nombre d'appel à l'API peut être limité à un certain volume (quid de faire payer l'utilisation par des app tiers ?)

  4. #4
    Rédacteur
    Avatar de omen999
    Profil pro
    Inscrit en
    février 2006
    Messages
    1 281
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2006
    Messages : 1 281
    Points : 3 456
    Points
    3 456
    Par défaut
    Bonjour,
    un billet d'humeur sur le sujet
    nomen omen, nemo non omen - Consultez la FAQ VBScript et les cours et tutoriels VBScript
    le plus terrible lorsqu'une voiture renverse un piéton, c'est que ce sont les freins qui hurlent. (ramón)
    pas de questions techniques par mp

Discussions similaires

  1. Probleme pour Export vers Excel "intersect"
    Par kleenex dans le forum Access
    Réponses: 4
    Dernier message: 05/01/2006, 14h54
  2. Réponses: 5
    Dernier message: 27/12/2005, 14h03
  3. Relation récursive pour exporter vers XML
    Par bossun dans le forum MS SQL Server
    Réponses: 2
    Dernier message: 21/08/2005, 14h17
  4. batch-problème pour pointer vers mon log
    Par af_airone dans le forum Windows
    Réponses: 2
    Dernier message: 20/04/2005, 08h58
  5. Socket (SMTP) vers objet MimeMessage : conversion ?
    Par Loicb dans le forum Entrée/Sortie
    Réponses: 2
    Dernier message: 06/12/2004, 18h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo