Door Anoniem: Google doet zijn uiterste best om alsmaar slechtere diensten te leveren. IMAP is niet onveilig, IMAP werkt gewoon en zorgt voor interoperabiliteit en dat is slecht voor Google want straks krijgt de gebruiker nog keuze.
Het gaat niet om de onveiligheid van het protocol, het gaat om de onveiligheid van de inlogmethode.
Username/password is goed om een “mens” toegang te geven, het is niet geschikt om een app toegang te geven omdat credentials vaak opgeslagen worden, en het is nu net niet de bedoeling om een wachtwoord ergens op te slaan voor makkelijk gebruik.
Als je toch een app toegang wil geven, moet je dat niet met een username/wachtwoord doen, maar met een API token of iets soortelijk die uniek is voor iedere app.
Hierdoor kan je:
1. Verschillende apps uit elkaar houden en indien nodig individuele apps de toegang ontzeggen.
2. Per API token de nodige toegangsrechten inregelen. (Best volgens het “least privilege” principe.)
Je kan dus perfect IMAP gebruiken maar i.p.v. te authenticeren met een username en opgeslagen PW, gebruik je een unieke API token. En dat API token heeft enkel genoeg rechten om mail te lezen.
Als je app dan toch gehackt wordt of je verliest je smartphone, kan je die specifieke API token ongeldig maken heb je niet je username/pw weggegeven zodat die elders misbruikt kunnen worden.
De meeste IMAP servers ondersteunen authenticatie via OAUTH, hetgeen exact doet zoals hierboven beschreven.
Bron: Security.nl