Ajouter un support d'authentification plus riche pour POP3

Fonctionnalité
1

C’est effectivement une excellente chose, TLS est également une exigence pour Exchange Online. Mais l’authentification se fait toujours par authentification de base (si je comprends bien le code suivant, il n’y a aucun moyen de choisir entre d’autres mécanismes d’authentification comme OAuth2) discourse/poll_mailbox.rb at tests-passed · discourse/discourse (github.com)

En creusant un peu plus, il semble que la bibliothèque Class: Net::POP3 (Ruby 2.7.0) (ruby-doc.org) en Ruby ne prenne pas en charge l’authentification OAuth2, juste l’authentification de base.

Pour référence :

Elle attend simplement un utilisateur et un mot de passe, plutôt qu’un utilisateur et un jeton, et elle devrait utiliser le format AUTH XOAUTH2 pour encoder et transmettre le jeton.

Désolé si ma question n’était pas claire, mais je cherche plutôt à avoir une approche similaire à celle des exemples suivants :

Ces approches permettront à Discourse de se connecter à POP3 (et donc à IMAP) avec l’authentification OAuth2, répondant ainsi aux exigences de MS et probablement de GMail dans un avenir proche, sinon dès maintenant ( OAuth 2.0 Mechanism | Gmail IMAP | Google Developers).

11 « J'aime »
2

Je pense qu’il s’agit d’une excellente demande de fonctionnalité et je soutiens fortement l’ajout de la prise en charge d’OAuth2 à POP3.

Je ne peux pas m’engager sur la date à laquelle nous pourrons le construire, mais si une PR apparaissait, nous prioriserions certainement son examen et sa fusion.

10 « J'aime »
3

Génial, merci beaucoup ! :clap:

J’ai hâte de voir cette fonctionnalité arriver !

1 « J'aime »
4

D’après ce que j’ai pu voir, Google/Gmail a désactivé l’authentification POP3 autre que OAuth le 30.05. Par conséquent, je ne peux plus récupérer mes e-mails via POP3. Ce serait formidable si Discourse prenait en charge OAuth2.

Je n’ai trouvé aucun autre sujet que celui-ci. Suis-je le seul à utiliser Gmail avec Discourse ?

1 « J'aime »
5

Vous pouvez toujours utiliser un mot de passe d’application pour vous authentifier auprès de Gmail via POP3. Voici un sujet récent pertinent :

4 « J'aime »
6

Juste pour ceux qui s’intéressent au sujet, il y a une PR ouverte par notre collègue @acosenza, vos commentaires sont les bienvenus !

3 « J'aime »
7

… et une approche alternative entièrement fonctionnelle fournie via un plugin, comme expliqué dans Microsoft Graph Mail Poller - plugin - Discourse Meta

J’espère que cela suscitera l’intérêt de la communauté :tada: !

4 « J'aime »
8

Relever car Google s’apprête également à couper les comptes Workspace.

Je vois que la PR a été fermée en raison de problèmes de dépendance.
Les mots de passe d’application sont toujours valides (pour l’instant), mais OAuth serait bienvenu.

Email de Google : tldr - utiliser oauth2 après septembre 2024

Logo Google Workspace

À partir du 30 septembre 2024, les comptes Google Workspace n’autoriseront l’accès qu’aux applications utilisant OAuth. L’accès par mot de passe (à l’exception des mots de passe d’application) ne sera plus pris en charge. POP et IMAP ne disparaissent PAS et peuvent toujours être activés avec des applications qui se connectent via OAuth.

Cher administrateur,

Nous vous informons que, comme nous l’avons précédemment partagé dans cet article de blog, nous désactiverons l’accès aux applications moins sécurisées (LSA) — applications non Google qui peuvent accéder aux comptes Google avec seulement un nom d’utilisateur et un mot de passe (authentification de base) — à partir du 15 juin 2024.

Que devez-vous savoir ?

L’accès via l’authentification de base rend les comptes plus vulnérables aux tentatives d’usurpation. Désormais, seules les applications prenant en charge une méthode d’accès plus moderne et sécurisée appelée OAuth pourront accéder aux comptes Google Workspace.

L’accès aux LSA sera désactivé en deux étapes :

  1. À partir du 15 juin 2024 - Les paramètres LSA seront supprimés de la console d’administration et ne pourront plus être modifiés. Les utilisateurs activés pourront se connecter après cette date, mais les utilisateurs désactivés ne pourront plus accéder aux LSA. Cela inclut toutes les applications tierces nécessitant un accès par mot de passe uniquement à Gmail, Google Agenda, Contacts via des protocoles tels que CalDAV, CardDAV, IMAP, SMTP et POP. Les paramètres d’activation/désactivation IMAP seront supprimés des paramètres Gmail des utilisateurs. Si vous utilisiez des LSA avant cette date, vous pouvez continuer à les utiliser jusqu’au 30 septembre 2024.
  2. À partir du 30 septembre 2024 - L’accès aux LSA sera désactivé pour tous les comptes Google Workspace. CalDAV, CardDAV, IMAP et POP ne fonctionneront plus lors de la connexion avec un simple mot de passe — vous devrez vous connecter avec un type d’accès plus sécurisé appelé OAuth.

Que devez-vous faire ?

Pour que vos utilisateurs finaux puissent continuer à utiliser ces types d’applications avec leurs comptes Google Workspace, ils doivent passer à un type d’accès plus sécurisé appelé OAuth (une liste des utilisateurs concernés est jointe). Cette méthode d’authentification permet aux applications d’accéder aux comptes avec une clé numérique au lieu d’obliger un utilisateur à révéler son nom d’utilisateur et son mot de passe. Nous vous recommandons de partager les instructions utilisateur (dans ce fichier PDF) avec les personnes de votre organisation pour les aider à apporter les modifications nécessaires. Alternativement, si votre organisation utilise des outils personnalisés, vous pouvez demander au développeur de l’outil de le mettre à jour pour utiliser OAuth. Les instructions pour les développeurs sont également dans ce fichier PDF.

Configuration MDM

Si votre organisation utilise un fournisseur de gestion des appareils mobiles (MDM) pour configurer les profils IMAP, CalDAV CardDAV ou POP, ces services seront progressivement supprimés selon le calendrier ci-dessous :

  1. À partir du 15 juin 2024 - Le push MDM d’IMAP, CalDAV, CardDAV et POP basé sur mot de passe ne fonctionnera plus pour les clients qui tentent de se connecter pour la première fois. Si vous utilisez Google MDM, vous ne pourrez pas activer les paramètres de “Configuration Push Personnalisée” pour CalDAV et CardDAV.
  2. À partir du 30 septembre 2024 - Le push MDM d’IMAP, CalDAV, CardDAV et POP basé sur mot de passe ne fonctionnera plus pour les utilisateurs existants. Les administrateurs devront pousser un Compte Google à l’aide de leur fournisseur MDM, ce qui réajoutera leurs comptes Google aux appareils iOS en utilisant OAuth. Si vous utilisez Google MDM, les “Configuration push personnalisée - CalDAV” et “Configuration push personnalisée - CardDAV” (plus de détails sur les paramètres ici) cesseront d’être efficaces.

Autres applications moins sécurisées

  • Pour toute autre LSA, demandez au développeur de l’application que vous utilisez de commencer à prendre en charge OAuth.

Scanners et autres appareils

Pour les scanners ou autres appareils utilisant le protocole SMTP (Simple Mail Transfer Protocol) ou des LSA pour envoyer des e-mails, configurez-les pour utiliser OAuth, utilisez une méthode alternative ou configurez un mot de passe d’application pour une utilisation avec l’appareil. Si vous remplacez votre appareil, recherchez-en un qui envoie des e-mails en utilisant OAuth.

2 « J'aime »
9

Étant donné que la PR est bloquée par la PR net-pop en amont, existe-t-il des solutions de contournement connues pour les comptes hébergés sur GSuite ?

1 « J'aime »
10

Peut-être que @team peut nous donner une mise à jour sur les plans pour cette fonctionnalité ?

1 « J'aime »
11

Tout d’abord, je tiens à remercier Ismael, toi et ton collègue Alessio, pour le travail que vous avez accompli jusqu’à présent, en particulier avec Add OAUTH2 support by AlessioC31 · Pull Request #16 · ruby/net-pop · GitHub.

Nous prévoyons de travailler sur ce point avant la date limite fixée par Google, nous ne voulons pas perdre le polling POP3 et nous faisons un suivi en interne. Il est assez décevant que la PR net-pop ait été bloquée.

J’espère que nous pourrons trouver une solution. J’ai vu que quelqu’un de Meta a posté dans cette PR, j’y posterai aussi, peut-être pourrons-nous faire avancer cette PR, sinon nous devrons trouver une solution alternative comme le “monkey-patching” de Net::POP3 dans le cœur de Discourse.

4 « J'aime »
12

Bonjour, y a-t-il du progrès sur ce point ? La date limite de Google approche à grands pas…

13

Nous avons découvert qu’en réalité, il n’y a encore rien à faire. Google continuera à prendre en charge les Mots de passe d’application conformément aux articles suivants :

La seule chose à faire si vous utilisez SMPT/POP3 avec Discourse et Google est de vous assurer que vous utilisez un Mot de passe d’application de Google.

5 « J'aime »