• 余計なことすんなと (スコア:0)

  by Anonymous Coward on 2022年03月10日 16時19分 (#4213314)

  カレンダーのOAuth認証はまあ分かるけど、GmailのOAuth認証強制は面倒が増えるだけ。
  IMAP/POP/SMTPといった標準的なプロトコルによる認証がすでにあるんだから、それに従って欲しい。
  セキュリティ強化ならGoogleアカウントとは別にGmail専用の第2パスワード（アプリパスワード）を払い出せば済む話だったのをOAuthで統一しようとするからおかしなことになる。

  • アプリパスワードは使えますけど (スコア:1)

    by Anonymous Coward on 2022年03月10日 17時22分 (#4213399)

    > GmailのOAuth認証強制は面倒が増えるだけ。

    アプリパスワードは2月28日以降も使えるので、OAuthで統一にはならないですよ。
    Googleは一応OAuth非対応アプリもあるという現実を見ています。
    あなたのGoogleアカウントでアプリパスワードの設定が表示されないのであれば、それは2段階認証が有効になっていないためです。

    殆どのユーザーによっては、わざわざアプリパスワード発行するのは手間ですので、OAuthの方が合理的です。
    OAuthってアプリパスワード（トークン）を自動的に発行するシステムのようなものですから、手動でやる手間が省ける訳です。

    シェア

    親コメント
    • 訂正 (スコア:0)

      by Anonymous Coward

      誤) 2月28日以降
      正) 5月30日以降
  • Re: (スコア:0)

    by Anonymous Coward

    サービスによって認証方式が違うのはユーザー視点でも面倒が増えて嫌だな
  • Re: (スコア:0)

    by Anonymous Coward

    全くもってしらないのだがSMTPにあるプロトコルに定義された標準的な認証って具体的に何？
    寧ろ無かったから後からSMTP-AUTHをひっつけたと思うんだけど
    マジで知らないので具体的に教えて欲しい

    IMAPの場合はSASLで任意の認証して構わないのでOAuth2.0による認証を標準化するのは
    十二分にプロトコルにある標準的な認証だと思うんだけど
    このレイヤーに従ってるのに一体全体何が標準的じゃないの？
    • Re: (スコア:0)

      by Anonymous Coward

      だからそのSMTP-AUTHじゃないの？
      • Re: (スコア:0)

        by Anonymous Coward

        SMTP標準にはSMTP-AUTHは含まれてません
        SMTP全体の仕様には含まれてるけど
        • Re: (スコア:0)

          by Anonymous Coward

          言いたいのはデファクトスタンダードってやつでしょどう考えても。
          揚げ足取りで悦に浸るのやめたほうがいいよ？
          • Re: (スコア:0)

            by Anonymous Coward

            だったらデファクトスタンダードであるXOAUTH2に従えや。「標準的なプロトコルによる認証がすでにあるんだから、それに従って欲しい」はどこ行ったんだよ
            • Re: (スコア:0)

              by Anonymous Coward

              ちなみに、GMailではデファクトのXOAUTH2のほか、RFC 7628のOAUTHBEARERもいけるみたい。自分で試したわけではないけど、ググるとOAUTHBEARERで〜.gmail.comに認証する事例が多少出てくる。
          • Re: (スコア:0)

            by Anonymous Coward

            OAuth 2.0がデファクトスタンダードじゃないと思っているの…？
        • Re: (スコア:0)

          by Anonymous Coward

          「SMTP標準にはSMTP-AUTHは含まれてません」という解釈を採用すると、#4213314の言う「IMAP/POP/SMTPといった標準的なプロトコルによる認証」（のうち少なくともSTMPの場合）は何を意味するのか？という疑問が生じる。
          • Re: (スコア:0)

            by Anonymous Coward

            SMTP標準はRFC5321
            SMTP-AUTHはRFC2554
            最新のSMTP-AUTHはRFC4954でSASLになってるから任意の認証でステータスコード返せば良いはずっすよ

            だから、RFC標準として番号が違うからSMTP標準にSMTP-AUTH（古いID/PASS認証）は含まれてない
            • Re: (スコア:0)

              by Anonymous Coward

              そしてOAuth 2.0もSASLで認証手順として使用でき、RFC 6750とRFC 7628で標準化されている。元コメの「標準的なプロトコルによる認証がすでにあるんだから、それに従って欲しい」という要求は完全に叶えられているとしか思えないのだが何が気に食わないのだろうか。

              # 素直に「二段階認証ウゼェ」と言えばいいのに
            • Re: (スコア:0)

              by Anonymous Coward

              そもそもRFCは標準ではない(標準はSTD)とか言いたくなるけどそれはおいとこう。

              元コメが何を言っているのかはわからないが、とりあえず
              ・Gmailのメール送信サーバーはMTAではなくMSAなので、RFC 5321よりRFC 6409を参照すべきである。
              ・RFC 6409によれば、MSAはSMTP-AUTHで認証されていないセッションのMAILコマンドに対して既定でエラーを返さなければならない(MUST)とある。保護されたネットワークなどで別途認証や認可が確立されている場合は例外としていいようだが、明らかにGmailには当てはまらない。

              したがってSMTP標準の定義にかかわらず、GmailはSMTP-AUTHに従う必要があるということは言えそう。

              もっともGmailのOAuth 2.0認証はまさにSMTP-AUTHの枠組みに従って認証しているので、元コメが意味不明であることに代わりはないが。
  • Re: (スコア:0)

    by Anonymous Coward

    カレンダーのOAuth認証はまあ分かるけど、GmailのOAuth認証強制は面倒が増えるだけ。
    IMAP/POP/SMTPといった標準的なプロトコルによる認証がすでにあるんだから、それに従って欲しい。

    世界でもトップレベルの情報と人材・頭脳を持つgoogleがOAuth認証の強制を必要だと判断した訳で、なんで情報も知見も狭いあなたの判断が正しいと思っちゃうのか。
    • Re: (スコア:0)

      by Anonymous Coward

      Googleのやってきたことが常にいつでも正しかったなら説得力あったんだけどな……。。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。