吐槽一下Thunderbird不友好的配置流程
吐槽一下 Thunderbird 邮件客户端对用户非常不友好的配置流程。
注:此处的 Thunderbird 指一款知名的开源邮件客户端,而非某 AR 厂商。
前言
2023 年初,Gmail 收紧安全策略,强制三方使用 OAuth 新版流程进行身份验证,使用 OAuth OOB 等旧验证方式的客户端不能再绑定/收取 Gmail 邮件,重新绑定账号提示如下:
无法登录,因为“Foxmail”发送的请求无效。您可稍后再试,也可向开发者求助。 详细了解此错误 如果您是“Foxmail”的开发者,请参阅错误详情。 错误 400:invalid_request
相关公告见:
https://support.google.com/accounts/answer/12379384?hl=zh-Hans
https://developers.google.com/identity/protocols/oauth2/resources/oob-migration
自从 Foxmail 不再支持 Gmail 后,我便换了 Thunderbird,用了大半年有余,感觉不错。
但当我把 Thunderbird 推荐给朋友时,我们两个“新时代互联网冲浪者”竟然被同一个问题卡住了:如何把 Thunderbird 的全局数据/配置文件夹从默认 C 盘改为其他路径。
身为两个(自封的)“新时代互联网冲浪者”,自认为是身经百战了,比如:
- 熟练从一堆搜索结果中排除广告和内容农场
- 熟练从下载站满屏花花绿绿按钮中找到正确的下载按钮
- 判断文件格式、16 进制文件头关键字查询
- 熟练通过安装包签名、大小、属性等多维度综合判断软件是否正确
- 熟知各种有的没的软件配置,比如改各种 INI
- 熟练使用各种乱七八糟的“黑窗口”(命令行、终端云云)
但我俩在设置页面找了半天,愣是没找到解决方法;后来用搜索引擎搜了一下才解决。
正常的邮件客户端
正常的邮件客户端,设置流程一般是这样的:
设置 -> 存储 -> 设置全局存储位置/当前用户存储位置 -> 弹出窗口:是否迁移旧数据。
这个流程对用户非常友好,且各个菜单的位置均在用户认知范围内。
奇葩的 Thunderbird
回过头来看 Thunderbird,你需要这么做:
点击右上角三横线:
展开菜单中,点击帮助:
帮助子菜单中,点击排障信息:
拉到页面底部,找到配置文件:
点击 about:profiles,进入配置文件页:
点击创建新配置文件,选择新配置文件夹:
一定要先输入配置文件名,再选择文件夹,否则对配置文件名的修改会替换掉选择的路径
设为默认配置文件(新版默认设置),并点击新实例启动:
关掉旧的窗口,在新实例中再次按照上述顺序打开配置文件夹页;
处理旧的配置文件;
重启 APP。
有啥问题
Thunderbird 架构是没问题的:每个用户一个配置文件和文件夹,存储自己的邮箱数据。
但它为啥不把“配置文件”页面放到设置里呢?
普通用户根本想不到,要从排障信息页进入配置文件页面。
用户:“排障信息”这四个字,怎么可能和修改配置文件沾边嘛
另外,虽然有快捷方法进入该页面,但并没有考虑普通用户的易用性:
通过 APP 的 /p 参数,可以方便的打开 Profile Manager 并创建或切换配置文件
./thunderbird.exe -p
普通用户:?
关于安全性
有些旧时代的邮箱客户端/邮件服务商可能存在安全隐患,比如:
- 默认不选中 SSL 加密,使用明文进行 SMTP 等协议的通信;
- 客户端将用户名/密码存储在本地。
OAuth2.0 使用 HTTPS/TLS 加密的 Web 认证页面申请 Token,客户端采用 Token 与 Server 通信,邮件头中不再需要放置邮箱和密码。
因此,哪怕 Token 泄露,影响范围也有限(至少不会关联用户密码)。
当然,如果使用了精心构造的虚假客户端,照样可以被抓到用户密码(eg:通过内嵌的浏览器内核在认证界面嵌入窃取代码;HTTPS 中间人攻击等)
使用无篡改的浏览器以 Web 的形式访问邮箱站点,并时刻关注证书是否匹配/可信/有效,才是最安全的。
引用资料
- [mozilla] Using Multiple Profiles
- [mozilla] Where Thunderbird stores your messages and other user data