Google ogłosiło dziś na swoim blogu dotyczącym bezpieczeństwa, że ​​będzie blokować logowanie z wbudowanych platform przeglądarki od czerwca. Mamy nadzieję, że taki ruch lepiej ochroni ludzi przed atakami man-in-the-middle (MITM).

Wbudowane ramy przeglądarki umożliwiają programistom dołączanie wystąpień internetowych do swoich aplikacji. Na przykład Spotify korzysta z wbudowanych ram przeglądarki, aby umożliwić ludziom logowanie się do ich kont na Facebooku. Ideą osadzonych platform przeglądarki jest poprawa komfortu użytkownika poprzez trzymanie ludzi w aplikacji zamiast kopania ich do pełnej przeglądarki, jeśli chcą zalogować się do usługi.

Problem polega na tym, że atak MITM może przechwycić dane logowania i inne czynniki. Według Google nie można „odróżnić legalnego logowania od ataku MITM” we wbudowanych przeglądarkach. Rozwiązaniem Google jest więc całkowite zablokowanie logowania z wbudowanych ram przeglądarki.

W rezultacie Google chce, aby programiści przeszli na oparte na przeglądarce uwierzytelnianie OAuth. W ten sposób aplikacje wyślą użytkowników do Chrome, Safari, Firefox lub innych przeglądarek mobilnych, jeśli chcą zalogować się do usługi.

Może się to wydawać bardziej niewygodne w stosunku do sposobu, w jaki teraz działają logowanie, ale dzisiejsze ogłoszenie oznacza, że ​​ludzie mogą zobaczyć pełny adres URL strony. W ten sposób ludzie wiedzą, czy strona, na której wpisują dane logowania, jest zgodna z prawem, czy nie.

Zachęcamy programistów korzystających z aplikacji wymagających dostępu do danych konta Google, aby dziś przełączyli się na uwierzytelnianie OAuth w przeglądarce.