Google Sync ve daha az güvenli uygulama desteği sonlandırılıyor

 (workspaceupdates.googleblog.com)
1 puan yazan GN⁺ 2024-01-20 | 1 yorum | WhatsApp'ta paylaş

Google Workspace güncellemesi

  • 30 Eylül 2024'ten itibaren: Google hesabına ve Google Sync'e erişmek için yalnızca parola kullanan üçüncü taraf uygulamalar artık desteklenmeyecek.
  • Değişiklik: Google Workspace, kullanıcıların Google kullanıcı adı ve parolasını paylaşmasını gerektiren üçüncü taraf uygulama veya cihazlardaki oturum açma yöntemlerini artık desteklemeyecek.
  • Güvenlik riski: Önceki yöntem olan Less Secure Apps (LSA), Google hesap kimlik bilgilerinin üçüncü taraf uygulamalar ve cihazlarla paylaşılmasını gerektirdiği için güvenlik riskini artırıyordu.
  • Daha güvenli yöntem: Google ile oturum aç seçeneği kullanılmalı; bu, e-postayı diğer uygulamalarla senkronize etmek için OAuth kimlik doğrulamasını kullanan daha güvenli ve emniyetli bir yöntemdir.

LSA erişiminin sonlandırılma takvimi

  • 15 Haziran 2024'ten itibaren: LSA ayarı yönetici konsolundan kaldırılacak ve değiştirilemeyecek. Etkinleştirilmiş kullanıcılar bağlanabilecek, ancak devre dışı bırakılmış kullanıcılar artık LSA'ya erişemeyecek.
  • 30 Eylül 2024'ten itibaren: Tüm Google Workspace hesapları için LSA erişimi sonlandırılacak. CalDAV, CardDAV, IMAP, POP ve Google Sync, yalnızca parolayla oturum açıldığında çalışmayacak ve OAuth kullanılması gerekecek.

Google Sync hizmetinin sonlandırılması

  • 15 Haziran 2024'ten itibaren: Yeni kullanıcılar Google Sync üzerinden Google Workspace'e bağlanamayacak.
  • 30 Eylül 2024: Mevcut Google Sync kullanıcıları Google Workspace'e bağlanamayacak.

Yöneticiler ve son kullanıcılar için yönergeler

  • Yöneticiler: Son kullanıcıların Google Workspace hesaplarıyla bu tür uygulamaları kullanmaya devam edebilmesi için OAuth adlı daha güvenli bir erişim türüne geçiş yapılmalı.
  • Mobil cihaz yönetimi (MDM) etkisi: IMAP, CalDAV, CardDAV, POP veya Exchange ActiveSync (Google Sync) profillerini yapılandırmak için MDM sağlayıcısı kullanan kuruluşlarda bu hizmetler kademeli olarak sonlandırılacak.
  • Tarayıcılar ve diğer cihazlar: E-posta göndermek için SMTP veya LSA kullanan tarayıcılar ya da diğer cihazlar OAuth kullanacak şekilde yapılandırılmalı, alternatif bir yöntem kullanılmalı veya cihazla kullanılacak uygulama parolaları ayarlanmalı.

Son kullanıcılar için yönergeler

  • E-posta uygulamaları: Outlook 2016'dan eski bir sürüm kullanıyorsanız Microsoft 365'e geçmeli veya OAuth erişimini destekleyen Windows ya da Mac için Outlook sürümüne geçmelisiniz.
  • Takvim uygulamaları: Parola tabanlı CalDAV kullanan bir uygulama kullanıyorsanız OAuth destekleyen bir yönteme geçmelisiniz.
  • Kişiler uygulamaları: iOS veya MacOS'ta CardDAV üzerinden kişileri senkronize ediyor ve yalnızca parolayla oturum açıyorsanız hesabı kaldırıp yeniden eklemelisiniz.

Geliştiriciler için yönergeler

  • Geliştiriciler: Uygulamalarını güncelleyerek bağlantı yöntemi olarak OAuth 2.0 kullanmalı ve böylece Google Workspace hesaplarıyla uyumluluğu korumalıdır.

Kullanılabilirlik

  • Bu değişiklik tüm Google Workspace müşterilerini etkiliyor.

GN⁺ görüşü

  • Bu güncelleme, Google Workspace kullanıcılarının güvenliğini güçlendirmek için önemli bir adım. Yalnızca parola kullanan daha az güvenli uygulamalar (LSA) yerine OAuth kullanarak hesap güvenliğini artırmak, modern siber güvenlik ortamında zorunlu hale gelmiştir.
  • Hem yöneticileri hem de son kullanıcıları etkiliyor; özellikle e-posta, takvim ve kişiler uygulamalarını kullanan kullanıcıların yeni kimlik doğrulama yöntemine geçmesi gerekecek.
  • Bu yazı, Google Workspace kullanıcıları ve yöneticilerine yaklaşan güvenlik güncellemelerine hazırlanmak ve gerekli adımları atmak için faydalı bilgiler sunuyor.

İlgili okumalar

1 yorum

 
GN⁺ 2024-01-20
Hacker News görüşleri

  • Kullanıcı, Gmail ile etkileşime giren script'lere sahip olduğu için "Less Secure Apps" desteğinin sona erdiği haberine şaşırdı; ancak uygulama şifrelerinin çalışmaya devam edecek gibi görünmesinden dolayı rahatladı. Yalnızca OAuth desteklenen bir duruma geçilirse birçok otomasyonun bozulacağından endişe ediyor. OAuth'un karmaşıklığından şikayet ediyor ve OAuth'un nasıl çalıştığını net biçimde açıklayan Perl modülü belgelerini olumlu değerlendiriyor.

  • OAuth kullanılamıyorsa, kullanıcı kendi proxy'sini kullanarak IMAP veya POP/SMTP istemcilerinin OAuth 2.0 desteği olmasa bile "modern" e-posta sağlayıcılarıyla çalışmasını sağlayabilir. İstemcinin OAuth hakkında bir şey bilmesine gerek yok.

  • IMAP, SMTP ve POP, Google hesabına oldukça geniş erişim sağlıyor; ancak iki aşamalı doğrulama veya bot önleme doğrulaması yapamadıkları için credential stuffing saldırılarına karşı savunmasız kalıyorlar. Google'ın kullanıcıları bu saldırılardan korumak için bu tür erişimi varsayılan olarak devre dışı bırakmış olması ve bu adımın da kalan kullanıcılar için gelmesi olumlu değerlendiriliyor.

  • Bu değişikliğin, kullanıcıları Google'ın kendi posta uygulamalarına yönlendirme amacı taşıdığına dikkat çekiliyor. Gmail uygulaması ya da yakında kaldırılacak Google Sync olmadan gerçek zamanlı posta bildirimleri alınamıyor. Kullanıcı, Google Workspace için ödeme yapmasına rağmen bunun yarattığı rahatsızlığı dile getiriyor. Masaüstünde Mimestream hâlâ çalışıyor, ancak Google'ın bunu da engellemeye çalışacağından endişe ediliyor.

  • Android'de OAuth2 ve Google'la ilgili en can sıkıcı şeylerden biri, telefonun tamamını Google hesabına bağlamadan e-posta istemcisine veya takvime Google hesabıyla giriş yapılamaması. Ayrıca bu Google hesabına cihaz üzerinde politika yetkileri de veriliyor. Kullanıcı bunun tamamen yok sayılamadığını ve Google'ın Android'de WebView içindeki oauth2 kullanımını kolayca kısıtlayabileceğini belirtiyor.

  • Uygulama şifreleri, yalnızca iki aşamalı doğrulamanın etkin olduğu hesaplarda kullanılabilen 16 karakterlik şifrelerdir. "Daha az güvenli uygulamalar"ın, uzun süredir tanıtımını yapabildiği sunucu taraflı mekanizmalar kullanılarak OAuth destekleyen uygulamalarla aynı düzeyde güvenlik sağlayabildiği belirtiliyor. Google'ın güvenlik sorunlarını kendi gündemini ilerletecek şekilde yorumlamasına eleştirel yaklaşılıyor.

  • Uygulamaya özel şifrelerin (App-Specific Passwords) çalışmaya devam edecek gibi göründüğü ve OAuth desteklemeyen uygulamalar kullanılıyorsa ya OAuth destekleyen uygulamalara geçmek ya da erişim için uygulama şifresi oluşturmak gerektiği açıklanıyor.

  • Bu değişikliğin yalnızca Workspace hesapları için geçerli olduğu, normal Gmail hesaplarında ise bunun birkaç yıl önce zaten uygulandığı belirtiliyor.

  • Yaklaşık 10 yıl önce, Google hesap diziniyle entegrasyon sayesinde dahili ağa bireysel Google hesaplarıyla kimlik doğrulaması yapılabilen bir sistem kurulduğu anlatılıyor. Bugünün standartlarına göre daha az güvenli olsa da, VPN kullanmadan dahili ağa anında bağlanmayı sağladığı ve herkese zaman kazandırdığı için olumlu değerlendiriliyor.

  • Microsoft'un OAuth geçişiyle uğraşırken zorluk yaşandığı, asıl sorunun sürecin son derece opak olması olduğu belirtiliyor. Token gönderiliyor ve sunucu sadece "hayır" yanıtı veriyor; neden çalışmadığına dair hiçbir açıklama sunulmadığı için sorunu çözmeye günler harcandığı anlatılıyor. Google'ın posta sunucularının bu konuda daha iyi olup olmadığı sorgulanıyor.