吐槽一下Thunderbird不友好的配置流程

吐槽一下 Thunderbird 邮件客户端对用户非常不友好的配置流程。
注:此处的 Thunderbird 指一款知名的开源邮件客户端,而非某 AR 厂商。

前言

2023 年初,Gmail 收紧安全策略,强制三方使用 OAuth 新版流程进行身份验证,使用 OAuth OOB 等旧验证方式的客户端不能再绑定/收取 Gmail 邮件,重新绑定账号提示如下:

无法登录,因为“Foxmail”发送的请求无效。您可稍后再试,也可向开发者求助。 详细了解此错误 如果您是“Foxmail”的开发者,请参阅错误详情。 错误 400:invalid_request

相关公告见:

https://support.google.com/accounts/answer/12379384?hl=zh-Hans
https://developers.google.com/identity/protocols/oauth2/resources/oob-migration

自从 Foxmail 不再支持 Gmail 后,我便换了 Thunderbird,用了大半年有余,感觉不错。

但当我把 Thunderbird 推荐给朋友时,我们两个“新时代互联网冲浪者”竟然被同一个问题卡住了:如何把 Thunderbird 的全局数据/配置文件夹从默认 C 盘改为其他路径。

身为两个(自封的)“新时代互联网冲浪者”,自认为是身经百战了,比如:

  • 熟练从一堆搜索结果中排除广告和内容农场
  • 熟练从下载站满屏花花绿绿按钮中找到正确的下载按钮
  • 判断文件格式、16 进制文件头关键字查询
  • 熟练通过安装包签名、大小、属性等多维度综合判断软件是否正确
  • 熟知各种有的没的软件配置,比如改各种 INI
  • 熟练使用各种乱七八糟的“黑窗口”(命令行、终端云云)

但我俩在设置页面找了半天,愣是没找到解决方法;后来用搜索引擎搜了一下才解决。

正常的邮件客户端

正常的邮件客户端,设置流程一般是这样的:

设置 -> 存储 -> 设置全局存储位置/当前用户存储位置 -> 弹出窗口:是否迁移旧数据。

这个流程对用户非常友好,且各个菜单的位置均在用户认知范围内。

奇葩的 Thunderbird

回过头来看 Thunderbird,你需要这么做:

点击右上角三横线:

展开菜单中,点击帮助

帮助子菜单中,点击排障信息

拉到页面底部,找到配置文件

点击 about:profiles,进入配置文件页:

点击创建新配置文件,选择新配置文件夹:

一定要先输入配置文件名,再选择文件夹,否则对配置文件名的修改会替换掉选择的路径

设为默认配置文件(新版默认设置),并点击新实例启动:

关掉旧的窗口,在新实例中再次按照上述顺序打开配置文件夹页;

处理旧的配置文件;

重启 APP。

有啥问题

Thunderbird 架构是没问题的:每个用户一个配置文件和文件夹,存储自己的邮箱数据。

但它为啥不把“配置文件”页面放到设置里呢?

普通用户根本想不到,要从排障信息页进入配置文件页面。

用户:“排障信息”这四个字,怎么可能和修改配置文件沾边嘛

另外,虽然有快捷方法进入该页面,但并没有考虑普通用户的易用性:

通过 APP 的 /p 参数,可以方便的打开 Profile Manager 并创建或切换配置文件

./thunderbird.exe -p

普通用户:?

关于安全性

有些旧时代的邮箱客户端/邮件服务商可能存在安全隐患,比如:

  • 默认不选中 SSL 加密,使用明文进行 SMTP 等协议的通信;
  • 客户端将用户名/密码存储在本地。

OAuth2.0 使用 HTTPS/TLS 加密的 Web 认证页面申请 Token,客户端采用 Token 与 Server 通信,邮件头中不再需要放置邮箱和密码。

因此,哪怕 Token 泄露,影响范围也有限(至少不会关联用户密码)。

当然,如果使用了精心构造的虚假客户端,照样可以被抓到用户密码(eg:通过内嵌的浏览器内核在认证界面嵌入窃取代码;HTTPS 中间人攻击等)

使用无篡改的浏览器以 Web 的形式访问邮箱站点,并时刻关注证书是否匹配/可信/有效,才是最安全的。

引用资料

梓喵出没博客(azimiao.com)版权所有,转载请注明链接:https://www.azimiao.com/10419.html
欢迎加入梓喵出没博客交流群:313732000

我来吐槽

*

*