למי ששם לב או שלא, יש בGmail שירות משיכת דואל מחשבונות POP אחרים ישירות לתוך התיבה. פיצ'ר יעיל ומעניין, (בעיקר למפרסמים של גוגל, כך הם דואגים שכולם יצפו רק בפרסומות שלהם) שקיים בעוד תיבות רבות אחרות. אלא מה? בGmail הוסיפו גם את האפשרות לשלוח מייל מהחשבונות הנ"ל דרך התיבה. טוב ויפה, אלא שכדי לעשות את זה, צריך לבצע אימות בתהליך ההרשמה. באימות נשלח מייל לתיבה הנמשכת, ובו קוד/לינק לאימות, ואחרי שמשתמשים בו ניתן לשלוח מייל עם הכתובת. וכאן הטפשות; הרי אחרי שמגדירים את התיבה במייל, כל הדואר שנלח לתיבה ההיא, מגיע גם לתיבה בGmail! כולל הודעת האימות שזה כמו לשלוח מייל לתיבה בGmail... לצורך אימות.

אני מבין את ההגיון שבשליחת מייל אימות, אבל ההגיון גם אומר שאם יש לך את הסיסמא למייל הנמשך, (אותה מקלידים בתהליך ההרשמה) אז גם אין צורך באימות...

..

נכון... גם אני חושב שזה טיפשי למדי.
אבל אני חושב שעם כל הטוב ש-google מביאים לנו, אפשר להתעלם מהדבר הקטן הזה.

ברור.. אבל לפעמים מוזר שלא חושבים צעד אחד קדימה. כאילו, מי שבנה את השיטה, היה אמור לעלות על זה בפעם הראשונה שהוא ניסה את זה (אם בכלל.. מה שמסביר את העניין).

..

זו דרך מצוינת לוודא ששם המשתמש והסיסמה שהכנסת בנוגע לאותו חשבון אימייל הינם נכונים.
לא משנה להם אם הצלחת לקרוא את ההודעה עם לינק האקטיביזציה דרך ג'ימייל, WEBMAIL של אותו חשבון דואר או קליינט דואר חיצוני. מבחינתם העובדה שהקלקת על הלינק מהווה כנראה אסמכתא חזקה יותר לכך שהחשבון נמצא בבעלותך מאשר לוג של נסיון התחברות מוצלח לשרת ה-POP3 של אותו חשבון דואר.

חברי כנסת ישרים

א. זו לא דרך לוודא שום דבר. אם השם והסיסמא נכונים, המייל יגיע לתיבה בGMAIL בכל מקרה. אם הם לא, לא יהיה ניתן בכלל להגיע לשלב של אימות.
ב. לגבי "אסמכתא" או בעברית, כסת"ח, סבבה. אבל זה לא יעבור את מבחן בית המשפט למשל, אם יגיע לשם.

..

גישה של אדם כלשהו לתיבת דואר.
אפילו פורום פרש משתמש בשיטה כזו על מנת לאמת שכתובת הדוא"ל שנתת היא שלך (או לפחות, שיש לך גישה אליה).

חברי כנסת ישרים

אם זה כטענתך, הרי שבמקרה הזה זה לא "אימות", אלא מקסימום לחיצה על "אני מסכים" בתהליך הרשמה.

..

אם היה צ'ק בוקס שכתוב בו "אני מאשר כי אני בעל תיבת הדואר אולמרט@ביתהשימוש.אורג", אזי סימונו היה מוכיח כי מישהו מכתובת ה-IP שלך טוען שהוא בעל תיבת הדואר המבוקשת אך לא מוגיח דבר מעבר לכך.

אולם, אם במהלך התהליך נשלח מייל עם לינק יחודי לתיבת הדואר אולמרט@ביתהשימוש.אורג והדרך היחידה להמשיך בתהליך היא ע"י לחיצה על אותו לינק, הרי שהוכחת כי מי שהתחיל את התהליך יש לו גישה לאותה תיבת דואר.

משתמשים בשיטה הזאת לא רק בדוא"ל. לדוגמא, בסלולר כאשר רוצים לוודא שהמספר שהכנסת נמצא ברשותך (לא בבעלותך, אבל לפחות יש לך גישה למכשיר) אזי שולחים לך קוד יחודי לך ב-SMS וכדי להמשיך את התהליך אתה צריך להזין אותו באתר.

חברי כנסת ישרים

נראה לי שיש כאן חוסר הבנה מסויים. קראת טוב את ההודעה הראשונה?

..

אתה רוצה לשלוח דואר מכתובת אחרת שיש לך, נכון?
כדי לעשות זאת אתה צריך לבצע תהליך של אימות ע"י שליחת לינק לאותה תיבת דואר.

זה ממש לא משנה אם אתה מקבל את הלינק לתוכנת OUTLOOK בה הגדרת את פרטי החשבון שלך או לחשבון ה-GMAIL שלך בו הגדרת את אותם פרטים.

לכתוב מכתובת דואר אחרת אתה יכול גם היא לא הוגדרה ככתובת ממנה אתה מושך דואר ל-GMAIL ולכן דרוש תהליך שליחת הלינק.

אתה שואל מדוע לא לוותר על תהליך זה כאשר מדובר בחשבון אותו הגדרת ב-GMAIL לקבלת דואר באמצעות POP3?

אני מניח שזה קושר לתיעוד ההוכחה שיש לך גישה לאותו חשבון דוא"ל.
אם ג'ימייל ירצו להסתמך על כך שאתה הכנסת משתמש וסיסמה נכונים והצלחת למשוך דואר מהתיבה, הם יאלצו לשמור בלוג את תהליך ההתקשרות, כולל שם המשתמש והסיסמה ואת תגובת השרת כי האימות בוצע, שזה עלול להיות בעיה מבחינת אבטחה.
כמו כן, אם יערך משפט בנושא הדבר יחייב את גוגל להציג זאת בבית המשפט וזה עלול להיות דבר בעל השלכות לא נעימות (תחשוב על לקוח שסיסמתו באותה תקופה היתה cheating_on_my_wife).

בנוסף לכך הם יאלצו לבנות שתי מערכות שונות, אחת שתשמור את תיעוד הלינקים במידה ואתה לא רוצה להגדיר את אותו חשבון למשיכת דואר אל ג'ימייל ב-POP3 והשני שישמור את תיעוד הצלחת התקשרות עם השרת במשיכת דואר משרת ה-POP3 אותו הגדרת.

חברי כנסת ישרים

אם כך (הבנת נכון) אז נחזור לדוגמא המוצלחת שלך עם הSMS. תחשוב שהייתה אפשרות באתר אורנג' (נניח) למשוך SMSים מהסלולארי, וכדי לשלוח מהאתר, צריך לבצא אימות. אתה מבצע אימות, ומקבל את הקוד באתר אורנג', שבו אתה צריך להקליד אותו... הגיוני? אתה אפילו לא מוכיח שיש לך גישה למכשיר (שזו המקבילה של הגישה למייל ההוא)

..

כאשר אתה מושך דואר דרך POP3 (ולא משנה אם מדובר בקליינט דואר כמו OUTLOOK או דרך האתרא של ג'ימייל) אתה צריך למסור שם משתמש וסיסמה.
נכון, אתה צריך להגדיר אותם רק פעם אחת (אלא אם כן ביקשת שלא לשמור אותם), אולם הם נשלחים בכל פעם ופעם שאתה מבקש לבדוק דואר.

עכשיו, מן הסתם אתר אורנג' לא יתן לך למשוך SMSים ללא תהליך זיהוי, הרי שמבחינתו SMS שקראת מהאתר הינו שווה ערך ל-SMS שקראת מהמכשיר מבחינת זיהוי הלקוח.

חברי כנסת ישרים

ואתה לא מסכים שדבר כזה הוא מטופש?

..

כלומר, זה לא גורם לבעית אבטחה כלשהי.

אני מניח שהסיבות האפשריות שהם משתמשים בכך הן:
א) בגלל שיש אפשרות לכתוב מכתובת נוספת שלך גם אם לא הגדרת למשוך ממנה הודעות דרך POP3 (נניח שיש לך את הכתובות הבאות: ZIVTHEKING@GMAIL.COM ו-ZIVTHEKING@FRESH.CO.IL. עכשיו, אתה רוצה שתוכל לכתוב הודעות דרך הג'ימייל מהכתובת ZIVTHEKING@FRESH.CO.IL מבלי שתקבל לחשבון הגי'מייל את ההודעות שנשלחו לאותה כתובת כי התיבה מלאה בכל מני הצקות של שימי על כך שכותבים שואלים על בעיות בגודל הפונט באינטרנט אקספלורר בפורום רשתות) , הם חייבים להשתמש בשיטה של שליחת לינק כדי לוודא שהיא נמצאת בבעלותך המערכת בעצם קיימת. נכון שאם הגדרת גם למשוך הודעות מאותה תיבה דרך POP3 היה ניתן לשמור לוג של ההתקשרות הכולל את שם המשתמש והסיסמה ואת התשובה החיובית מהשרת שהם נכונים, אבל למה ליצור שתי מערכות נפרדות לכך?

ב) לעניות דעתי תיעוד של הקלקה על הלינק שנשלח לתיבת הדואר שלך הוא הרבה יותר פרקטי מאשר תיעוד של לוג התקשרות לשרת POP3.

חברי כנסת ישרים

א) אם כך, אפשר לומר שיש מקום לתחכום יתר, ושהתיבה ב Gmail תזהה את הודעה האימות, ולא תמשוך אותה יחד עם שאר הדואר.

ב) כמו שאמרתי, כסת"ח. מסכים.

..

אם כבר הייתי מבין טענה שלך בנוגע לכך שלא יהיה צריך לקיים אימות עבור כתיבת הודעות דרך כתובת דוא"ל אשר הגדרת לג'ימייל למשוך הודעות ממנה דרך POP3 ושפשוט ישתמשו בעובדה שברגע שג'ימייל הצליח להתחבר לשרת ה-POP3 עם שם המשתמש והסיסמה שלך בתור הוכחה שתיבת הדואר שלך.

לגבי נושא הכסת"ח, חברה עיסקית חייבת לדאוג להגן על עצמה בפני תביעות.
כאשר מדובר בלינק אקטיביזציה הנושא מאוד פשוט ואלגנטי. כל מה שהיא צריכה להראות זה שנשלח מייל אקטיביזציה לתיבת דואר XXX@BLABLA.ORG המכילה לינק שהינו בלעדי לפעולה זו, ושמישהו הקליק על הלינק (ניתן גם להוסיף את כתובת ה-IP וחתימת הזמן אם רוצים).
אפשר להציג במקום זא לוג של התחברות לשרת POP3 עם שם המשתמש והסיסמה של הלקוח ואת אישור השרת, אבל אז אתה צריך לחשוף את סיסמתו של הלקוח.

חברי כנסת ישרים

תראה...
אני אסביר טוב טוב...

יש ב-GMAIL אפשרות למשוך דרך POP דוא"ל ממשתמשים אחרים. ויש אפשרות לשלוח דוא"ל ממשתמשים אחרים. כדי לשלוח דוא"ל צריך לעבור את האישור. לעומת זאת, משיכת הדוא"ל (POP) מאפשרת גם שליחה וגם קבלת דוא"ל ממשתמש מסוים, אבל תהליך זה לא דורש אישור.
עכשיו, בהנחה והפעלת את שירות ה-POP אתה תקבל את המיילים, ואז החלטת להפעיל את שירות שליחת הדוא"ל מהמשתמש הרצוי שזה דורש אישור. אתה תקבל את הדואר אישור אל תיבת המייל שלך (שאליה אתה מושך את הדוא"ל ב-POP).
לכן... הודעת האישור לא שימושית!

זה לא מטומטם בכלל. המקרה שלך הוא מקרה מיוחד. ברוב המקרים בנאדם רוצה להציג את עצמו באימייל אחר בלי למשוך את אותו אימייל ב-POP. אנחנו, לדוגמא, עושים FORWARD AND DISCARD מהחשבון המקורי...

וגם אם אתה מצליח להוריד דואר ב-POP, זה לא אומר שהסיסמה שנתת לא שונתה מאז, או שהחשבון קונפג בצורה מטומטמת שמאפשרת הורדת ההודעות הישנות אך חדשות עוברות לאיזה מקום אחר או קופצות בשל חוסר מקום או כל סיבה אחרת. אתה מקבל את האימייל אישור משמע מגביר את הסיכוי שמישהו בעתיד שיגיב לאימייל שלך יוכל לתקשר איתך עם אותה כתובת, כי גוגל הצליחו להעביר לך לשם מסר בעצמם.

כתב ויתור על כתב ויתור:
המידע הניתן בהודעה זו הינו אמת וקדוש ואינו בגדר המלצה בלבד. אני אחראי אישית על כל נזק שייגרם לך באופן ישיר ו/או עקיף כתוצאה משימוש במידע הניתן בהודעה זו.
את התלונות נא להדפיס על נייר טואלט איכותי כגון לילי / שָרְמִין-אולטרא ולשלוח אליי בדואר אקספרס.