IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Débats sur le développement - Le Best Of Discussion :

OAuth 2.0 pour SMTP vers un abus ?


Sujet :

Débats sur le développement - Le Best Of

  1. #1
    Membre averti

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2006
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2006
    Messages : 91
    Points : 408
    Points
    408
    Billets dans le blog
    2
    Par défaut OAuth 2.0 pour SMTP vers un abus ?
    Bonjour,

    Prochainement, Gmail va obliger l'utilisation du protocole OAuth 2.0 pour envoyer des emails via leur serveur smtp ("fin des applications moins sécurisée")

    Si j'ai bien compris, le gros souci avec ce protocole (enfin l'implémentation) est que le développeur doit s'inscrire (et faire valider) pour chaque application (et plateforme) auprès de chaque fournisseur (Google, Microsoft...)


    Donc demain si Orange, Free, Yahoo... et tartanpion généralisent OAuth 2.0 sur le SMTP/IMAP/POP, il va y avoir beaucoup de gestion de comptes auprès de ces fournisseurs. Cela va à l'encontre de l'interopérabilité.

    Je ne parle pas des coûts possibles pour l'utilisation de l'API et de l'indépendance.


    Qu'en pensez-vous de l' OAuth 2.0 sur le SMTP/IMAP/POP ?

    merci

  2. #2
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 129
    Points
    28 129
    Par défaut
    Bonjour,

    Sauf erreur, SMTP est un protocole non sécurisé par défaut, c'est à dire que n'importe qui peut se connecter à ton serveur SMTP pour envoyer des mails, sans dire qui il est. Donc aussi bien des utilisateurs légitimes que des utilisateurs voulant profiter de ton système pour envoyer des spams/phishing/... (par exemple)

    Quasiment tous les providers de solutions mail ont mis en place une surcouche pour se prémunir d'être un service utilisé par tous les méchants. Certains FAI par exemple n'autorisent l'envoie SMTP non-authentifié que depuis leur réseau (via leur box), et si tu ne passes pas par leur réseau, alors il faut t'authentifier.

    Je ne sais pas ce qu'utilisait Google, mais je serai surpris d'apprendre qu'ils n'avaient pas déjà un ou plusieurs mécanismes en place.

    Qu'est-ce qui te gène avec l'application de OAuth 2 plus qu'autre chose ?

  3. #3
    Membre averti

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2006
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2006
    Messages : 91
    Points : 408
    Points
    408
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par gangsoleil Voir le message
    Bonjour,

    Qu'est-ce qui te gène avec l'application de OAuth 2 plus qu'autre chose ?

    Par rapport à l'authentification smtp "classique" OAuth 2 impose que le développeur créé un compte pour obtenir sa clé privée pour chaque "fournisseur smtp"

    J'y vois plusieurs problèmes :
    - Gestion des comptes chronophage : inscription, soumission, vérification pour chaque fournisseur et app. Quasi impossible si tous les prestataires d'email s'y mettent
    - Le nombre d'appel à l'API peut être limité à un certain volume (quid de faire payer l'utilisation par des app tiers ?)

  4. #4
    Rédacteur
    Avatar de omen999
    Profil pro
    Inscrit en
    Février 2006
    Messages
    1 301
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 1 301
    Points : 3 560
    Points
    3 560
    Par défaut
    Bonjour,
    un billet d'humeur sur le sujet

  5. #5
    Membre averti

    Homme Profil pro
    Développeur informatique
    Inscrit en
    Février 2006
    Messages
    91
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Drôme (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Février 2006
    Messages : 91
    Points : 408
    Points
    408
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par omen999 Voir le message
    Bonjour,
    un billet d'humeur sur le sujet
    Excellent billet qui résume très bien la situation et notamment la partie que l'api sera payante pour un certain volume. S'engager dans cette voie est le contraire de l'internet "libre".

Discussions similaires

  1. Probleme pour Export vers Excel "intersect"
    Par kleenex dans le forum Access
    Réponses: 4
    Dernier message: 05/01/2006, 15h54
  2. Réponses: 5
    Dernier message: 27/12/2005, 15h03
  3. Relation récursive pour exporter vers XML
    Par bossun dans le forum MS SQL Server
    Réponses: 2
    Dernier message: 21/08/2005, 15h17
  4. batch-problème pour pointer vers mon log
    Par af_airone dans le forum Windows
    Réponses: 2
    Dernier message: 20/04/2005, 09h58
  5. Socket (SMTP) vers objet MimeMessage : conversion ?
    Par Loicb dans le forum Entrée/Sortie
    Réponses: 2
    Dernier message: 06/12/2004, 19h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo