Come attivare OAuth2 per i vecchi account GMail in Thunderbird

AGIORNAMENTO: contrariamente a quanto detto inizialmente, è possibile utilizzare OAuth2 solo con account Imap e non con account POP3 (Bug 1174505).

Due giorni fa, , è stato rilasciato Mozilla Thunderbird 38.0.1. Una delle principali novità di questa versione è il supporto al protocollo di autenticazione OAuth2 (bug 849840) come riportato nelle note di versione:

GMail supports OAuth2 authentication, removing the need to manually select "allow less secure applications" in Google options for the account. (bug 849540)

Ciò significa che i nuovi account GMail che verranno creati in Thunderbird utilizzeranno il nuovo protocollo per effettuare l’accesso a GMail. Chi però, come il sottoscritto, ha un account GMail configurato da tempo in Thunderbird, dovrà modificare manualmente la configurazione dell’account per sfruttare OAuth2. Di seguito viene spiegato come fare.

Logo di OAuth via Wikipedia

Che cos’è OAuth2 ?

OAuth2 è la versione 2.0 del protocollo sviluppato da Blaine Cook e Chris Messina, con tale protocollo un’applicazione può accedere e utilizzare un servizio online senza comunicare la password. In pratica (leggere l’articolo di Wikipedia per maggiori dettagli) viene rilasciato un token crittografico che consente all’applicazione di accedere senza dover fornire la password, una specie di cookie di sessione. Al primo utilizzo verrà richiesto di effettuare il login presso il servizio di cui si vogliono utilizzare i dati (esempio la mail di Google, Twitter, ecc.) e di autorizzare l’applicazione a effettuare delle operazioni per proprio conto. A questo punto verrà rilasciato un token che l’applicazione salverà e che utilizzerà per accedere al servizio in futuro. In questo modo non sarà più necessario fornire la password per utilizzare l’applicazione. La maggiore sicurezza sta nel fatto che l’applicazione non conosce la password e non ha un accesso completo al proprio account GMail e che le autorizzazioni di accesso possono sempre essere revocate accedendo all’account GMail. Ora, nel caso di un client di posta affidabile come Thunderbird che salva le password in locale con le protezioni di vario livello (account utente di sistema ed eventuale master password) questo potrebbe non sembrare un gran vantaggio, però si pensi a le migliaia di app che vengono create ogni giorno da aziende software o sviluppatori semisconosciuti che vogliono, ad esempio, accedere al proprio account per scaricare la posta o, più semplicemente, per accedere ai soli contatti della rubrica. L’affidabilità di queste famigerate app non è così conprovata e dargli la propria password (con cui potrebbero fare qualunque cosa anche eliminare l’account) non è molto sicuro, molto meglio concedergli un accesso “temporaneo” che può essere sempre revocato in futuro se si dovesse scoprire che queste app hanno dei comportamenti non desiderati.

Inoltre, si può in questo modo definire una serie di autorizzazioni, ad esempio prevedere delle autorizzazioni diverse per un’app che voglia solo accedere e salvare i contatti email e un’app che voglia invece avere pieno accesso alle email, inviarle, salvarle e così via. In qualunque caso, questi permessi potranno sempre essere revocati a discrezione del proprietario dell’account o di chi conosce la password :-P.

Come attivare OAuth2 in Thunderbird?

In Thunderbird, se viene creato un nuovo account di posta GMail questo utilizzerà di default la modalità di autenticazione OAuth2, però se, come nel mio caso, si ha un vecchio profilo con degli account GMail già configurati (non importa se POP3 o Imap) sarà necessario effettuare manualmente la modifica. La cosa è molto semplice.

Andare in Strumenti → Impostazioni account → Nome account → Impostazioni server; e alla voce Protocollo di autenticazione selezionare OAuth2 (dovrebbe essere impostata su password normale).

Ritaglio del pannello Impostazioni account di Thunderbird con in evidenza la voce Protocollo di autenticazione OAuth2

La stessa cosa bisogna farla per il server SMTP, sempre dal pannello Impostazioni account selezionare Server in uscita (SMTP), fare doppio clic sul server GMail e effettuare la modifica. Salvare e provare a scaricare la posta o inviare una mail.

Al primo utilizzo Thunderbird aprirà una finestra con la pagina di Google dove sarà possibile effettuare il login e dare il consenso.
A questo punto è anche possibile cancellare le password salvate da Thunderbird per l’account GMail (Strumenti → Opzioni → Sicurezza → Mostra password).

La password servirà nel caso si cambi dispositivo o vi ci si sposti fuori dall’area geografica in cui è stato consentito l’accesso, questo perché GMail richiederà un’ulteriore autorizzazione per confermare che siate realmente voi e che non sia qualche ostile che voglia accedere impropriamente all’account.

Disattivare il supporto per le “App meno sicure”

Questa è un’operazione facoltativa e, anzi, è meglio riflettere bene prima di effettuarla.

Da metà luglio 2014 Google ha deciso che la l’unica modalità di accesso ai suoi server è OAuth2, però, essendo ancora molti client di posta e altre applicazioni non aggiornati per utilizzare questa specifica, ha previsto di “concedere” il vecchio accesso tramite password attivando un’opzione denominata “Supporto App meno sicure”. In realtà ha fatto anche di più, attivando automaticamente questa opzione a tutti coloro che in quella settimana avevano scaricato la posta via POP3 o Imap, questo per evitare un sacco di richieste di assistenza.

ù

Infatti, con questa opzione disattivata (il default per chi crea una nuova casella di posta GMail o per chi in quella settimana non abbia consultato la posta via IMap o POP3) senza effettuare la modifica di cui sopra non sarà più possibile scaricare la posta. Non sarà nemmeno possibile utilizzare applicazioni che non supportino OAuth2, ad esempio estensioni che sincronizzano la rubrica di GMail o altre applicazioni di vario genere che si utilizzano per leggere la posta. Per questo è necessario assicurarsi di non utilizzare tali applicazioni prima di disattivare il supporto alle app meno sicure. Nel caso non si usino altre applicazioni che non siano Thunderbird, potete accontentare Google e disattivare il supporto a queste app meno sicure visitando questa pagina.

Personalmente credo che se per un anno si è utilizzato un account GMail nell’inconsapevolezza di utilizzare “un’app meno sicura” senza problemi, si possa continuare a farlo, anche perché è quello che si fa implicitamente con qutti le altre caselle di posta non GMail.

È altresì vero però che ci sono dei reali vantaggi di sicurezza nell’utilizzare OAuth2, quindi si scelga pure liberamente cosa fare.

0 Responses to “Come attivare OAuth2 per i vecchi account GMail in Thunderbird”


  • No Comments

Leave a Reply