<div dir="ltr"><a href="http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/">http://www.cnet.com/news/serious-security-flaw-in-oauth-and-openid-discovered/</a><br></div><div class="gmail_extra"><br>
<br><div class="gmail_quote">On Wed, Apr 30, 2014 at 8:47 PM, Joshua Cranmer 🐧 <span dir="ltr"><<a href="mailto:Pidgeot18@gmail.com" target="_blank">Pidgeot18@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On 4/25/2014 10:52 AM, Gervase Markham wrote:<br>
</div><div class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<a href="http://googleonlinesecurity.blogspot.co.uk/2014/04/new-security-measures-will-affect-older.html" target="_blank">http://googleonlinesecurity.<u></u>blogspot.co.uk/2014/04/new-<u></u>security-measures-will-affect-<u></u>older.html</a><br>

<br>
Is this relevant to Thunderbird accessing Gmail?<br>
</blockquote>
<br></div>
This was brought up in the status meeting, and we resolved to reach out to Gmail to clarify some questions. Here's the status of as right now:<br>
1. The clarification from GMail IMAP folks is:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
The bottom line is that GMail would really like Thunderbird to use OAuth2 for imap/smtp/pop access. If it doesn't, there's an increased possibility that GMail will suspect the login attempt is unauthorized. If you keep using the same IP address, or have two factor auth turned on, you'll most likely be OK. Otherwise, the users run the risk of having to jump through some hoops to get imap access again (I don't know the exact details of that...) <br>

</blockquote>
<br>
2. I've made a post to the IMAP-protocol list about this topic (it felt more relevant there than the Kitten working group): <<a href="http://mailman13.u.washington.edu/pipermail/imap-protocol/2014-April/002243.html" target="_blank">http://mailman13.u.<u></u>washington.edu/pipermail/imap-<u></u>protocol/2014-April/002243.<u></u>html</a>>. From responses in the past 12 hours, it does seem like there is agreement by client implementers that some of these issues need to be resolved.<br>

<br>
3. I've been told by both Bienvenu and Brandon that the OAuth people have been brought into the discussion, although they haven't responded publicly yet.<br>
<br>
It looks to me that it will be possible to see many of the concerns I have about OAuth discussed and addressed.<br>
<br>
As a side note, it also looks like other IMAP servers are planning on supporting OAuth 2.0. Outlook.com recently rolled out support for it as well, and I think there was another server the name of which I don't recall right now.<div class="im HOEnZb">
<br>
<br>
-- <br>
Joshua Cranmer<br>
Thunderbird and DXR developer<br>
Source code archæologist<br>
<br></div><div class="HOEnZb"><div class="h5">
______________________________<u></u>_________________<br>
tb-planning mailing list<br>
<a href="mailto:tb-planning@mozilla.org" target="_blank">tb-planning@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/tb-planning" target="_blank">https://mail.mozilla.org/<u></u>listinfo/tb-planning</a><br>
</div></div></blockquote></div><br></div>