Clientes de correo de terceros en iPhone / Android y almacenamiento de credenciales

Navega tus respuestas
0

Normalmente, al trabajar con las credenciales de un usuario, las almacenaría localmente en un dispositivo, nunca en un servidor porque crea una responsabilidad innecesaria.

Por ejemplo, en iPhone tenemos

Correo (predeterminado) Gmail por Google Chispa por Readdle

Hablé con el soporte de Google Apps hoy y dicen que todas las credenciales de autenticación al usar su aplicación se almacenan localmente para sus cuentas de gmail. No estoy seguro de cómo el cliente de correo predeterminado de Apple almacena las credenciales, ¡se agradecería la entrada! Por otro lado, Spark dice que su "servidor necesita revisar y enviar correos electrónicos desde su cuenta de correo electrónico para que [algunas funciones] funcionen. Y para lograr esto, necesitamos almacenar el token de acceso de su cuenta de correo electrónico". Historia completa aquí .

Ahora estoy curioso

  1. ¿Realmente necesitan almacenar mis credenciales en su servidor en el iPhone? ¿Esto se debe solo al iPhone o también sería Android?
  2. Tengo dos factores habilitados y una contraseña de aplicación. ¿Es la contraseña de la aplicación lo que almacenarían? ¿Es este mi token OAuth en este caso?
  3. Esto parece un gran grado de confianza que tengo que poner en una aplicación de terceros y que sus servidores no son pirateados.

Muchas gracias, si no hubiera publicado en el grupo correcto; me disculpo sinceramente Simplemente estoy tratando de entender cómo funcionan los clientes de correo electrónico de terceros. Por favor, apúntame en la dirección correcta y eliminaré esta publicación.

    
pregunta JordanGS 23.08.2016 - 06:12
fuente

2 respuestas

1

Después de leer la página vinculada en Spark, diría que el problema aquí es que Spark quiere ser más que un lector de correo. Como un lector de correo local para su teléfono o tableta, no necesitarían almacenar sus credenciales en sus servidores.

Pero quieren ofrecer más. Como ejemplo, citan notificaciones push para nuevos correos electrónicos. Para que esto funcione, el servidor de chispa para conectarse a sus diferentes cuentas de correo ve si han llegado nuevos correos y envía la notificación a su teléfono. Si esto se ejecuta en el servidor, no tienen que mantener un código complejo en varias versiones de IOS y Android: el núcleo se ejecuta en sus servidores y solo la capa de presentación se ejecuta en su teléfono. Ejecutar eso en sus servidores también ahorra recursos (CPU y principalmente memoria) en su teléfono, y también guarda el volumen de datos intercambiados con su teléfono.

El lado oscuro es que sus credenciales para los diferentes servidores de correo deben ser conocidas por sus servidores. Y deben ser conocidos en texto claro porque tendrán que enviarlos a los servidores de correo reales.

Las alternativas serían:

  • ejecuta todo el núcleo de Spark localmente en tu dispositivo. Podría requerir un dispositivo potente, con gran capacidad de almacenamiento y memoria, y podría requerir muchos intercambios; no estoy seguro de si un reloj de Google podría admitirlo ... Ya que la aplicación también requeriría más tareas de mantenimiento para tenerlo en muchas versiones del sistema operativo. ser mas caro
  • deshazte de todas esas buenas características y usa un simple lector de correo, pero ¿no es esa buena característica lo que te hizo comprar su servicio?

Si cree que la confidencialidad de sus credenciales de correo es más importante que todas las alarmas que vienen con Spark, no use Spark. Si lo hace, debe usar una contraseña diferente para cada cuenta de correo electrónico que solo se usaría allí o, como mínimo estricto, una contraseña única para todas las cuentas de correo utilizadas a través de Spark que no se utilizarían en ningún otro lugar.

TL / DR: las funciones ofrecidas por Spark en realidad requieren que sus servidores puedan leer y enviar correo en su nombre, por lo que necesitan tener sus credenciales de cuenta de correo. Si no está de acuerdo con eso, simplemente no use Spark, qué haría si me pidiera un consejo ...

    
respondido por el Serge Ballesta 21.12.2016 - 15:30
fuente
0
  

¿esto se debe solo al iPhone o también sería Android?

Android (al menos todas las aplicaciones de correo estándar de diferentes fabricantes) almacena las credenciales localmente pero las sincroniza con su cuenta de Gmail (la mayoría de las ROM tienen este comportamiento predeterminado, aunque tiene la posibilidad de desactivar esa sincronización)

    
respondido por el Martin Fischer 23.08.2016 - 13:04
fuente

Lea otras preguntas en las etiquetas

Almacenar temporalmente la contraseña maestra localmente en el sistema de administración de contraseña en línea ¿Cómo puedo abrir un shell de meterpreter en el servidor de destino después de redirigir el servidor de destino a mi propio servidor web que aloja la carga útil?