De kop had moeten zijn: Thunderbird-update wegens Microsoft 375 probleem nog altijd niet automatisch uitgerold
Mijn aanbeveling is gebruik geen enkele Microsoft dienst als je omgeving open source is want Microsaoft rules niet jij!
Vroeg of laat loop je tegen flinke problemen aan. Dan hebben we het nog niet over de belachelijke Microsoft CAL's voor elk Linux device.

Wat een onzin. Thunderbird implementeert OAuth2-authenticatie in M365 nog niet goed, waardoor problemen ontstaan. Genoeg andere software leveranciers die dit wel op orde hebben.
Verder is je post offtopic.

Thunderbird vind ik best zonde want het idee is niet alleen goed maar ook belangrijk. Maar het was dusdanig security paranoia dat ik zelfs als ik zelf een password voor een email account had veranderd, ik begot niet meer kon vinden hoe je dat dan in Thunderbird verandert. Naast altijd maar meldingen over certificaten. Er zijn nu eenmaal van die momenten dat je zelf wat wil doen met software en niet met de mening van programmeurs.

Dat is in mijn dagelijks gebruik van Thunderbird zo doorgeschoten dat ik maar ergens een, vermoedelijk gepikte, activatiecode voor de oude lokale Outlook heb gekocht voor een paar tientjes. Voor cloud diensten moeten ze eerst maar onder mijn bed komen liggen want dat is een hele harde vloer.

Het is wel jammer dat er weinig of geen goeie email clients zijn waar mee te werken valt als je, zoals ik, een stuk of tien emailadressen hebt. Waar overal er eentje tussen kan zitten van een gebruiker die ergens mee zit en wat je gewoon zo snel mogelijk wilt oplossen. Zeker ook omdat het hele email protocol al zo oud is. Eigenlijk is het allemaal onpraktische rommel zodat ik echt op de grens zit om dan maar het mail commando in Linux te gaan gebruiken. Al moet ik dan de knop even 50 jaar terugzetten en denken hoe dat ook al weer precies ging. Want echt handig was dat ook al niet. Roundcube gaat nog, maar niet voor meerdere accounts tegelijk. Blijft allemaal wat raar want email is bijna zo antiek als telefoon over koperlijnen.

Nee....

TB heeft tijdens het aanpassen bij OAuth2-authenticatie richting M365 een probleem gecreëerd en daarom besloten om de update niet uit te rollen.
Blijkbaar zoals verwacht, is opensource geen garantie dat de code zonder grote security fouten is en ondanks dat iedereen de code kan zien, dit nog steeds niet opgelost.

Maar de fout zit hem dus volledig bij Thunderbird en niet Microsoft.

CAL's zijn trouwens ook niet vreemd, maar bij de juiste licentie in Azure vaak ook niet meer noodzakelijk ook niet meer voor Linux of andere andere devices.

Vroeg of laat komt in ieder topic dit soort onzin weer voorbij.

Slecht geformuleerde zin, zou moeten zijn:

Een beveiligingsupdate voor e-mailclient Thunderbird is wegens slechte implementatie van OAuth2 in Thunderbird nog altijd niet automatisch uitgerold.

Het probleem zit niet bij Microsoft maar bij Mozilla.

Tja. Misschien heb je gelijk. Echter, Microsoft heeft een historie om bestaande/standaard protocollen op eigen wijze te interpreteren en implementeren, waardoor het lijkt alsof ze interoperabel met de rest van de wereld zijn, maar dat in de praktijk niet zijn. En omdat ze zo groot zijn, komen ze er doorgaans mee weg en moet de wereld zich maar aan hen aanpassen. Ik zeg niet dat het nu ook het geval is (want dat weet ik niet, en misschien ligt het probleem inderdaad bij Mozilla), maar ik zou me daarom kunnen voorstellen dat veel mensen denken dat het toch bij MS ligt.

Ik heb 102.7.0 al draaien vanaf 20 januari 2023. Dat kwam omdat ik altijd op updates controleer een of twee keer per dag. [Help] -> [About Thunderbird] -> en dan wordt de laatste versie al aangeboden. Ik vertrouw er niet op dat alle programma's dat uit zichzelf goed doen. Op het moment dat het kan. Niet gebruikte programma's gaan er ook weer af als er een nieuwe versie is. Zoals Libre Office 7.4.3 recentelijk, dat gebruik ik maar een of twee keer per jaar. Het is niet de moeite voor mij om die altijd bij de hand te houden.

Alles werkt goed, want ik ben niet afhankelijk van Microsoft voor mijn mail accounts ;-) Kijk naar Internet Explorer 4 in het verleden en hoe ze daar hetzelfde deden als hier met Thunderbird. Het hele ontwikkelbeleid is gericht op vendor lock-in. Apple is niet beter trouwens met hun rare stekkertjes.

Microsoft heeft het protocol verkracht. Niet zo lang geleden werkte het nog met Thunderbird.
Standaard MS actie om een vendor lock te creëren. Zo proberen ze regelmatig een open source client buiten de deur te houden door zelf te veranderen.

Klets geen onzin. Je moet voor elke Microsoft dienst of het nu AD DNS DHCP SMTP etc betreft een CAL betalen voor elk Linux device! Natuurlijk kan alles worden afgekocht maar dan betaal je de hoofdprijs voor deze bullshit licentie economie.

Ik ben blij trouwens dat ik geen Microsoft maar Google en XS4ALL gebruik voor mijn email zodat mijn Thunderbird client up2date blijft werken.

TL;DR: Dat Microsoft stopt met open standaarden als IMAPS en SMTPS (en "app passwords") is pure vendor lock-in en bedoeld om klanten weg te trekken bij third-party mail clients waaronder Thunderbird.



Precies!

Microsoft misbruikt OAuth2 voor authenticatie terwijl RFC 6749 [1] eerder een leidraad dan een standaard is voor een autorisatie-protocol.

Dit is pure vendor-lock-in. Microsoft was er dan ook als de kippen bij om de veilige (lange en random gegenereerde) "app passwords" [2] ASAP om zeep te helpen.

David Harris, de auteur van Pegasus Mail, beschrijft hier [3] de problematiek voor ontwikkelaars van (niet-Microsoft) e-mail clients.

Niets belet Microsoft om interfaces naar believen te veranderen, zie maar dat je je aanpast en de juiste toegangscodes (GUIDs) van Microsoft koopt.

Als ik het goed begrijp werkte het, als gevolg van een wijziging door Microsoft, ook niet meer voor Thunderbird. Uit de blog post hierover [4]:

Er is niets mis met de secure versies (TLS-gebruikend) van IMAP, POP3 en (authenticated) SMTP.

Toegegeven, veel mensen gebruiken zwakke wachtwoorden [5], maar dat probleem zelf los je niet op met Microsoft's OAuth2 implementatie. Sterker, Oauth leidt tot een hele nieuwe categorie aan beveiligingsrisico's waar gebruikers bewust van zullen moeten worden gemaakt ([6], [7]).

Het excuus van Microsoft om beproefde, universele, internetstandaarden om zeep te helpen, is dat inloggen met OAuth2 "veiliger" zou zijn, "want MFA".

Echter, MFA is niet zo ideaal als steevast wordt geroepen [8] en de zwaar door MS gepromote en "strong" genoemde Microsoft Authenticator [9] (in [10] gelijkgesteld met "Windows Hello", "FIDO2 hardware keys" en "Client certificates") - waar voortdurend aan gesleuteld moet worden [11] en die überhaupt niet beschermt tegen "evil proxy" [12] aanvallen.

Sterker, de meest veilige vorm van authenticeren is, volgens de meeste experts (incl. de USA overheid) met een client certificaat [13] - mits je dan niet tevens (als noodoplossing) op een minder veilige wijze kunt inloggen - want dan kan een AitM (Attacker in the Middle), via een evil proxy, een "downgrade attack" uitvoeren (naast dat er heel veel mis kan gaan bij de uitgifte van client certificaten).

In deze Microsoft pagina [14] (archief [15]), onder "Unsupported scenarios", staat momenteel echter nog:
Nb. "CBA" staat voor Certificate Based Authentication.

Oftewel, gebruikers - en dus ook aanvallers - kunnen altijd nog met een wachtwoord inloggen. Dit bevestigt Microsoft in [16] (archief: [17]):

Trouwens, [7] begint ook veelzeggend:

Conclusie
Dat Microsoft stopt met open standaarden als IMAPS en SMTPS (en "app passwords") is pure vendor lock-in en bedoeld om klanten weg te trekken bij third-party mail clients waaronder Thunderbird.


[1] https://www.rfc-editor.org/rfc/rfc6749

[2] https://support.microsoft.com/en-us/account-billing/using-app-passwords-with-apps-that-don-t-support-two-step-verification-5896ed9b-4263-e681-128a-a6f2979a7944

[3] https://www.pmail.com/devnews.htm

[4] https://blog.thunderbird.net/2023/01/important-message-for-microsoft-office-365-enterprise-users/

[5] https://tweakers.net/plan/3806/met-project-no-more-leaks-voorkomt-de-politie-veel-schade-bij-bedrijven.html?showReaction=18289856#r_18289856

[6] https://www.bleepingcomputer.com/news/security/microsoft-disables-verified-partner-accounts-used-for-oauth-phishing/

[7] https://learn.microsoft.com/en-us/azure/active-directory/manage-apps/protect-against-consent-phishing

[8] https://tweakers.net/nieuws/205770/bitwarden-neemt-zweedse-start-up-voor-wachtwoordloos-inloggen-over.html?showReaction=18369164#r_18369164

[9] https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-passwordless#microsoft-authenticator

[10] https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-methods

[11] https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/

[12] https://security.nl/posting/773644

[13] https://tweakers.net/nieuws/204348/stabiele-chrome-versie-krijgt-ondersteuning-voor-op-fido-gebaseerde-passkeys.html?showReaction=18232048#r_18232048

[14] https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-certificate-based-authentication#what-is-azure-ad-cba

[15] https://archive.is/zTGdH

[16] https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-methods

[17] https://archive.is/GD2yb

Wachtwoorden?
Instellingen > Privacy en beveiliging > Opgeslagen wachtwoorden

Eens, microsoft wil vooral z'n aandeelhouders tevreden houden.
Jawel, daar verdient microsoft niets aan, je moet gewoon outlook kopen, of beter nog, een heel office pakket.

Microsofts verificatieproces misbruikt voor OAuth-phishingaanval
woensdag 1 februari 2023, 10:03 door Redactie

https://www.security.nl/posting/783858/Microsofts+verificatieproces+misbruikt+voor+OAuth-phishingaanval

Thunderbird was zo slim om het toch maar te fixen, samen met een andere matige implementatie
https://www.security.nl/posting/783948/Thunderbird+controleerde+niet+of+S_Mime-certificaten+waren+ingetrokken

Hoe moet ik dit precies zien Erik?

Hoe wordt dit precies misbruikt?

Right, Outlook is lekker veilig!

Omdat, aldus Microsoft:
wordt, bij alle mails die naar verluidt afkomstig zijn van afzenders die als "safe sender" zijn gemarkeerd (nb. jouw contacten zijn automatisch "safe senders"), DMARC genegeerd en worden phishing-mails niet gereject! (https://security.nl/posting/767981).

Dat los van https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-113/Microsoft-Outlook.html.

S/MIME is ook maar een 'matig' protocol voor end-to-end e-mail encryptie. Het wordt vooral gebruikt omdat het in Outlook zit.

Als je Thunderbird met end-to-end encryptie gebruikt, ga je waarschijnlijk voor https://www.security.nl/posting/669301/MZLA+lanceert+Thunderbird+met+ingebouwde+OpenPGP-support. Dan hoef je ook geen certificaat te kopen bij een certificaat verstrekker.

Het voordeel van S/MIME is dat het een geaccepteerde standaard is bij organisaties.

We hadden het hier niet over Outlook, maar dat is wat de Linux fanboys altijd doen, proberen harder te schoppen als hun eigen clubje steken laat vallen..

Alleen ben ik geen Linux fanboy.

En ik kan nergens vinden dat Outlook OCSP gebruikt (wel CRL) - maar sowieso is certificate-revocation een puinhoop. Naast dat S/MIME certificaten compleet flauwe kul zijn als deze op een "domain validation"-achtige manier worden afgegeven; lekker betrouwbaar na BEC.

Last but not least begon jij over andere bugs in Thunderbird, niet ik.

Voor zover ik kan zien is het geen "slechte implementatie" maar ligt het aan een nieuwe OAUTH2 client id die meegestuurd wordt door TB 102.7 ; bij de meeste business Office365 users moet een nieuwe OAUTH2 client id goed gekeurd worden door iemand binnen de organisatie met Office385 admin rechten. Geen goedkeuring, geen toegang.
Hierdoor werkt na de update TB niet meer met Office365, zoals ik zelf heb ondervonden.

Bij wie ligt deze fout? tja, welke malloot heeft dit OAUTH2 client id verhaal verzonnen? MS. Welke malloot heeft niet ervoor gezorgd dat een gebruiker zelf een client id kan ingeven (zoals bij Evolution wel kan) ? Mozilla. Dus wie zit er fout? Allebei een beetje.