Recientemente implementé el código PHP con IMAP para leer correos de una cuenta de GMail y ejecutar más comandos dependiendo del cuerpo del correo. Conseguí que esto funcionara después de consultar la primera respuesta de este enlace .
Mis preguntas son:
1) ¿Qué significa "permitir el acceso a aplicaciones menos seguras"?
2) ¿Cómo lo hago seguro?
Si bien puede haber otros problemas de seguridad, uno importante es que este mecanismo de autenticación pasa por alto la autenticación de 2 factores de Google . Si accede a la página enlace para habilitar Google 2FA mientras tiene 2FA habilitado en su cuenta de Google, Google muestra esto mensaje:
Esta configuración no está disponible para cuentas con la verificación de 2 pasos habilitada. Dichas cuentas requieren una contraseña específica de la aplicación para un acceso menos seguro a las aplicaciones. Aprende más
Esto se debe a que la aplicación cliente no tiene forma de aceptar la entrada 2FA y pasarla a Google.
Una de las ventajas de los protocolos como OpenID Connect es que todo el flujo de trabajo de autenticación se delega al proveedor de autenticación. Entonces, cuando una aplicación habilitada para OpenID Connect quiere autenticarse, llama al proveedor de autenticación para mostrar la página de inicio de sesión. Esto permite que el flujo de trabajo de inicio de sesión sea más complejo que un simple nombre de usuario / contraseña.
Se considera menos seguro porque ahora hay otra forma para que alguien ingrese en su cuenta de Google si la aplicación no es segura (no está USTED accediendo a ella).
Lamentablemente, porque pusiste ese script allí, entonces realmente no hay una manera de hacerlo seguro sin reenviar el CAPTCHA y responderlo cada vez. La razón de esto es que ahora no tienen forma de demostrar que la aplicación que accede a su cuenta no es un bot, sino una persona real. Tampoco tienen forma de asegurarse de que su aplicación no haya sido pirateada, reemplazada, inyectada, interceptada, ETC, ETC. Entonces sí, es menos seguro sin un CAPTCHA, y no puedes hacerlo más seguro porque no eres tú.
EDITAR: Ahora, lo que estás haciendo no es MALO, pero te advierto que esto te puede abrir a posibles ataques con personas que usan este relé SMTP para intentar forzar la fuerza bruta de tu cuenta. Mientras sepas lo que estás haciendo y los posibles peligros de ello, está bien. Simplemente tome medidas para mantenerse a sí mismo, a su negocio, a sus otras cosas ... a salvo y seguro.