为什么谷歌称雷鸟“不太安全”？

Question

我从未在 Thunderbird 上使用 Gmail 遇到问题，但是在尝试使用免费软件客户端进行 Google Talk/Chat/Hangout 时，我发现，根据 Google 关于“不太安全的应用程序”的文档：

一些不支持最新安全标准的应用程序示例包括 [...] 桌面邮件客户端，如 Microsoft Outlook 和 Mozilla Thunderbird。

然后，Google 提供了一个全有或全无的安全帐户与非安全帐户切换（“允许安全性较低的应用程序”）。

谷歌为什么说雷鸟“不支持最新的安全标准”？谷歌是不是想说像 IMAP、SMTP 和 POP3 这样的标准协议是访问邮箱的“不太安全”的方式？他们是想说用户使用该软件会使他们的帐户面临风险吗？或者是什么？

Secunia 的漏洞报告：Mozilla Thunderbird 24.x（31 在哪里？）说“未修补 11%（9 个 Secunia 公告中的 1 个）[...] 影响 Mozilla Thunderbird 24.x 的最严重的未修补 Secunia 公告，应用了所有供应商补丁，被评为高度关键»，显然是 SA59803。

更新 2：截至 2018 年，谷歌通过发送消息邀请禁用“不太安全”的访问来加倍努力：

更新：OAuth2 在 Thunderbird 38 中可用，在以后的版本中有进一步的修复，并且错误 849540已经关闭。我仍然不清楚所有这些马戏团的目标。

Answer 1

这是因为这些客户端（当前）不支持OAuth 2.0。

...从 2014 年下半年开始，我们将开始逐步增加用户登录 Google 时执行的安全检查。这些额外的检查将确保只有目标用户才能访问他们的帐户，无论是通过浏览器、设备还是应用程序。这些更改将影响任何向 Google 发送用户名和/或密码的应用程序。

为了更好地保护您的用户，我们建议您将所有应用程序升级到 OAuth 2.0。如果您选择不这样做，您的用户将需要采取额外的步骤才能继续访问您的应用程序。

...

总之，如果您的应用程序当前使用普通密码向 Google 进行身份验证，我们强烈建议您通过切换到 OAuth 2.0 来最大程度地减少用户中断。

来源：“新的安全措施将影响较旧的（非 OAuth 2.0）应用程序”- Google 在线安全博客

Answer 2

从 Thunderbird 38 开始支持 OAuth 2.0，请参阅https://support.mozilla.org/en-US/kb/thunderbird-and-gmail 和https://support.mozilla.org/en-US/kb/thunderbird-和-gmail

注意：如果您在 Thunderbird 中已有 Gmail 帐户，则必须在帐户设置中更改身份验证方法：

对于 GMail 帐户设置 > 服务器设置 > 身份验证方法中的 IMAP：“OAuth2”

和用于SMTP（发送）有一个单独的设置，选择谷歌邮件（smtp.googlemail.com）>再次编辑验证方法的OAuth2。

（好吧，您也可以删除您的 GMail 帐户并创建一个新帐户。）