吐槽一下Thunderbird不友好的配置流程

吐槽一下 Thunderbird 邮件客户端对用户非常不友好的配置流程。
注：此处的 Thunderbird 指一款知名的开源邮件客户端，而非某 AR 厂商。

前言

2023 年初，Gmail 收紧安全策略，强制三方使用 OAuth 新版流程进行身份验证，使用 OAuth OOB 等旧验证方式的客户端不能再绑定/收取 Gmail 邮件，重新绑定账号提示如下：

无法登录，因为“Foxmail”发送的请求无效。您可稍后再试，也可向开发者求助。 详细了解此错误 如果您是“Foxmail”的开发者，请参阅错误详情。 错误 400：invalid_request

相关公告见：

https://support.google.com/accounts/answer/12379384?hl=zh-Hans
https://developers.google.com/identity/protocols/oauth2/resources/oob-migration

自从 Foxmail 不再支持 Gmail 后，我便换了 Thunderbird，用了大半年有余，感觉不错。

但当我把 Thunderbird 推荐给朋友时，我们两个“新时代互联网冲浪者”竟然被同一个问题卡住了：如何把 Thunderbird 的全局数据/配置文件夹从默认 C 盘改为其他路径。

身为两个（自封的）“新时代互联网冲浪者”，自认为是身经百战了，比如：

• 熟练从一堆搜索结果中排除广告和内容农场
• 熟练从下载站满屏花花绿绿按钮中找到正确的下载按钮
• 判断文件格式、16 进制文件头关键字查询
• 熟练通过安装包签名、大小、属性等多维度综合判断软件是否正确
• 熟知各种有的没的软件配置，比如改各种 INI
• 熟练使用各种乱七八糟的“黑窗口”（命令行、终端云云）

但我俩在设置页面找了半天，愣是没找到解决方法；后来用搜索引擎搜了一下才解决。

正常的邮件客户端

正常的邮件客户端，设置流程一般是这样的：

设置 -> 存储 -> 设置全局存储位置/当前用户存储位置 -> 弹出窗口：是否迁移旧数据。

这个流程对用户非常友好，且各个菜单的位置均在用户认知范围内。

奇葩的 Thunderbird

回过头来看 Thunderbird，你需要这么做：

点击右上角三横线：

展开菜单中，点击帮助：

帮助子菜单中，点击排障信息：

拉到页面底部，找到配置文件：

点击 about:profiles，进入配置文件页：

点击创建新配置文件，选择新配置文件夹：

一定要先输入配置文件名，再选择文件夹，否则对配置文件名的修改会替换掉选择的路径

设为默认配置文件（新版默认设置），并点击新实例启动：

关掉旧的窗口，在新实例中再次按照上述顺序打开配置文件夹页；

处理旧的配置文件；

重启 APP。

有啥问题

Thunderbird 架构是没问题的：每个用户一个配置文件和文件夹，存储自己的邮箱数据。

但它为啥不把“配置文件”页面放到设置里呢？

普通用户根本想不到，要从排障信息页进入配置文件页面。

用户：“排障信息”这四个字，怎么可能和修改配置文件沾边嘛

另外，虽然有快捷方法进入该页面，但并没有考虑普通用户的易用性：

通过 APP 的 /p 参数，可以方便的打开 Profile Manager 并创建或切换配置文件

./thunderbird.exe -p

普通用户：？

关于安全性

有些旧时代的邮箱客户端/邮件服务商可能存在安全隐患，比如：

• 默认不选中 SSL 加密，使用明文进行 SMTP 等协议的通信；
• 客户端将用户名/密码存储在本地。

OAuth2.0 使用 HTTPS/TLS 加密的 Web 认证页面申请 Token，客户端采用 Token 与 Server 通信，邮件头中不再需要放置邮箱和密码。

因此，哪怕 Token 泄露，影响范围也有限（至少不会关联用户密码）。

当然，如果使用了精心构造的虚假客户端，照样可以被抓到用户密码（eg：通过内嵌的浏览器内核在认证界面嵌入窃取代码；HTTPS 中间人攻击等）

使用无篡改的浏览器以 Web 的形式访问邮箱站点，并时刻关注证书是否匹配/可信/有效，才是最安全的。

引用资料

• [mozilla] Using Multiple Profiles
• [mozilla] Where Thunderbird stores your messages and other user data