Google na svém blogu zabezpečení dnes oznámil, že od června zablokuje přihlášení z integrovaných prohlížečových rámců. Doufáme, že takový krok lépe ochrání lidi před útoky typu člověk-uprostřed (MITM).
Integrované prohlížečové rámce umožňují vývojářům zahrnout webové aplikace do svých aplikací. Například Spotify používá vestavěné prohlížečové rámce, které umožňují lidem přihlásit se k jejich účtům na Facebooku. Myšlenkou zabudovaných rámců prohlížečů je zlepšit uživatelský dojem tím, že lidi v aplikaci budou udržovat místo toho, aby je kopali do plného prohlížeče, pokud se chtějí přihlásit do služby.
Problém je v tom, že útok MITM může zachytit přihlašovací údaje a druhé faktory. Podle společnosti Google nelze ve vestavěných prohlížečích „rozlišovat mezi legitimním přihlášením a útokem MITM“. Řešením společnosti Google je tedy zcela zablokovat přihlášení z integrovaných rámců prohlížeče.
Výsledkem je, že Google chce, aby vývojáři přepnuli na ověřování OAuth v prohlížeči. Aplikace tak pošlou uživatele do prohlížeče Chrome, Safari, Firefox nebo jiných mobilních prohlížečů, pokud se chtějí přihlásit ke službě.
Může se to zdát nepohodlnější vzhledem k tomu, jak přihlášení nyní funguje, ale dnešní oznámení znamená, že lidé uvidí úplnou adresu URL stránky. Lidé tak vědí, zda stránka, do které zadávají přihlašovací údaje, je legitimní nebo ne.
Vývojářům s aplikacemi, které vyžadují přístup k údajům účtu Google, se dnes doporučuje přejít na ověřování OAuth pomocí prohlížeče.