Vlákno názorů k článku Mark Risher (Google): Hesla jsou hrozná, ale pohodlná. Budeme je potřebovat stále méně od polygon - Ano, současná ochrana je špatná. Především u google....

Ano, současná ochrana je špatná. Především u google. Třeba tak triviální věc, jako pop3/imap připojení nepodporuje TLS, ale jen SSL o kterém se již léta ví, že je nebezpečné a některé emailové klienty takovou volbu nabízí vlastně už jen proto, aby fungoval gmail. Navíc s nutností nastavit explicitně přístup "less secure" aplikací, tedy jakéhosi zbavení se odpovědnosti je to pikantní.
Oauth snad nemá smysl ani rozebírat. Kdo někdy zkoušel použít, tak ví, že bez api napsaném google se prakticky vzato neobejde, consent screen, pokud se podaří jej vyvolat, se ptá na věci, které programátor nežádal, plno bugů včetně memory leaků, atd. Celá léta nahlášené a neopravené.
Nedávný únik dat z plus je už jen třešnička na dortu.

S tim TLS vs. SSL nemate pravdu. Rozdil neni mezi samotnymi verzemi sifrovaciho protokolu, ale v tom, jestli se pres TLS rovnou navaze spojeni (tomu obvykle klienti rikaji "SSL"), a nebo jestli se nejprve navaze nesifrovane napr. IMAP spojeni, ktere se ihned, jeste pred prenesenim hesla, povysi na sifrovane spojeni (tomu aplikace obvykle rikaji "TLS", technicky spravny nazev by mohlo byt napr. "STARTTLS" podle toho, jak se to technologicky dela).

Rozdil v bezpecnosti mezi temito dvema metodami neni vubec zadny.

Mate samozrejme pravdu v tom, ze googli terminologie "enable less secure applications" je snaha o vendor lock-in a nahaneni do historicky proprietarnich protokolu (ahoj XOAUTH2).

Díky za vysvětlení.