COVID-19 на данный момент приостановил реальность
для всех, включая команды безопасности. И Microsoft, и Google отложили
изменение, которое привело бы к повышению безопасности приложений, отключив
небезопасный протокол доступа, называемый Basic
Authentication.
Указано в RFC 2617,
Базовая аутентификация - это метод входа приложений в онлайн-сервисы с
использованием простой комбинации имени пользователя и пароля, отправляемой в
заголовке HTTP. Вы бы использовали его, если вы хотите, чтобы производительное
программное обеспечение вашего компьютера синхронизировалось, например, с
облачным календарем или службой электронной почты, а не для доступа к веб-приложению
вручную через браузер.
Базовая аутентификация удобна тем, что ей не нужно,
чтобы разработчики кодировали файлы cookie или обрабатывали страницы входа.
Вместо этого он просто повторно отправляет учетные данные с каждым
HTTP-запросом. Но это небезопасно, поскольку не шифрует учетные данные для
входа.
Вместо этого он использует кодировку Base64, которая просто переводит
двоичный контент в текст. Вы можете преодолеть эту проблему, используя
HTTPS-соединение с защитой TLS, но это все еще затрудняет реализацию
многофакторной аутентификации (MFA).
Компании постепенно заменяют этот метод более
современными протоколами. Microsoft и Google оба переходят на OAuth 2.0, который использует токены для
аутентификации приложений с помощью онлайн-сервисов и дает им срок действия.
Таким образом, приложение остается авторизованным в течение заранее
определенного периода, сводя к минимуму необходимость обмена учетными данными. Это
также облегчает реализацию многофакторной аутентификации (MFA).
Microsoft объявила, что отключит базовую
аутентификацию в своем API веб-служб
Exchange (EWS) для Office 365 еще в июле 2018 года. Она планировала
полностью отключить поддержку этой функции 13 октября 2021 года.
В то же время, он также посоветовал разработчикам
отказаться от этого API, вместо этого используя Microsoft Graph, который
является его новым API для доступа к внутренним облачным сервисам, таким как Exchange Online. Он также расширил эти
планы в сентябре 2019 года, объявив, что отключит базовую аутентификацию в
Exchange Online для Exchange ActiveSync (EAS), POP, IMAP и Remote PowerShell.
Google также обязался отключить обычную
аутентификацию. В декабре 2019 года он предупредил,
что будет отрицать то, что он назвал «менее безопасными приложениями», доступ к
его внутренним службам, предпочитая OAuth 2.0. Это должно было произойти 15
июня 2020 года.
Теперь, обе компании немного изменили свои планы,
чтобы предоставить своим онлайн-пользователям больше свободы действий,
поскольку они справляются с хаосом COVID-19. 3
апреля Microsoft заявила, что она отложит базовую
аутентификацию для Exchange Online для тех арендаторов, которые ее используют,
и теперь не отключит ее до второй половины 2021 года.
Компания не изменит некоторые другие свои планы. Он
по-прежнему отключает базовую аутентификацию для новых учетных записей и
продолжает развертывать поддержку OAuth для POP, IMAP, SMTP AUTH и Remote
PowerShell.
В конце марта Google также объявил,
что отложит отключение базовой аутентификации до дальнейшего уведомления. Это
не означает, что компании не должны переходить на более безопасные методы.
Несмотря на эти корректировки времени, Google не
рекомендует использовать любое приложение, которое не поддерживает OAuth. Мы
рекомендуем вам по возможности использовать аутентификацию OAuth для своей
организации. Обе компании приняли другие меры в ответ на кризис в области
здравоохранения. Они отложили
прекращение поддержки TLS 1.0 в своих соответствующих браузерах, и Microsoft
специально указала COVID-19 в качестве фактора в своем решении.
Комментариев нет:
Отправить комментарий