Discussion :

[juju26]

Bonjour,

Prochainement, Gmail va obliger l'utilisation du protocole OAuth 2.0 pour envoyer des emails via leur serveur smtp ("fin des applications moins sécurisée")

Si j'ai bien compris, le gros souci avec ce protocole (enfin l'implémentation) est que le développeur doit s'inscrire (et faire valider) pour chaque application (et plateforme) auprès de chaque fournisseur (Google, Microsoft...)


Donc demain si Orange, Free, Yahoo... et tartanpion généralisent OAuth 2.0 sur le SMTP/IMAP/POP, il va y avoir beaucoup de gestion de comptes auprès de ces fournisseurs. Cela va à l'encontre de l'interopérabilité.

Je ne parle pas des coûts possibles pour l'utilisation de l'API et de l'indépendance.


Qu'en pensez-vous de l' OAuth 2.0 sur le SMTP/IMAP/POP ?

merci

[gangsoleil]

Bonjour,

Sauf erreur, SMTP est un protocole non sécurisé par défaut, c'est à dire que n'importe qui peut se connecter à ton serveur SMTP pour envoyer des mails, sans dire qui il est. Donc aussi bien des utilisateurs légitimes que des utilisateurs voulant profiter de ton système pour envoyer des spams/phishing/... (par exemple)

Quasiment tous les providers de solutions mail ont mis en place une surcouche pour se prémunir d'être un service utilisé par tous les méchants. Certains FAI par exemple n'autorisent l'envoie SMTP non-authentifié que depuis leur réseau (via leur box), et si tu ne passes pas par leur réseau, alors il faut t'authentifier.

Je ne sais pas ce qu'utilisait Google, mais je serai surpris d'apprendre qu'ils n'avaient pas déjà un ou plusieurs mécanismes en place.

Qu'est-ce qui te gène avec l'application de OAuth 2 plus qu'autre chose ?

[juju26]

Bonjour,

Qu'est-ce qui te gène avec l'application de OAuth 2 plus qu'autre chose ?

Par rapport à l'authentification smtp "classique" OAuth 2 impose que le développeur créé un compte pour obtenir sa clé privée pour chaque "fournisseur smtp"

J'y vois plusieurs problèmes :
- Gestion des comptes chronophage : inscription, soumission, vérification pour chaque fournisseur et app. Quasi impossible si tous les prestataires d'email s'y mettent
- Le nombre d'appel à l'API peut être limité à un certain volume (quid de faire payer l'utilisation par des app tiers ?)

[omen999]

Bonjour,
un billet d'humeur sur le sujet

[juju26]

Bonjour,
un billet d'humeur sur le sujet

Excellent billet qui résume très bien la situation et notamment la partie que l'api sera payante pour un certain volume. S'engager dans cette voie est le contraire de l'internet "libre".