Spoločnosť Google dnes na svojom blogu zabezpečenia oznámila, že od júna zablokuje prihlásenie do zabudovaných rámcov prehliadača. Dúfame, že takýto krok lepšie ochráni ľudí pred útokmi typu MITM.

Vstavané rozhrania prehliadača umožňujú vývojárom zahrnúť webové aplikácie do svojich aplikácií. Napríklad aplikácia Spotify používa zabudované rámce prehliadača, ktoré umožňujú ľuďom prihlásiť sa do svojich účtov Facebook. Myšlienka zabudovaných rámcov prehliadača je zlepšiť používateľské prostredie tým, že ľuďom v aplikácii ponechá miesto ich kopnutia do plného prehliadača, ak sa chcú prihlásiť do služby.

Problém je v tom, že útok MITM môže zachytiť prihlasovacie údaje a druhé faktory. Podľa spoločnosti Google nie je schopná vo vložených prehľadávačoch „rozlišovať medzi legitímnym prihlásením a útokom MITM“. Riešením spoločnosti Google je teda úplne zablokovať prihlásenie z integrovaných rámcov prehliadača.

Výsledkom je, že Google chce, aby vývojári prešli na autentifikáciu OAuth v prehliadači. Aplikácie tak pošlú používateľov do prehliadača Chrome, Safari, Firefox alebo iných mobilných prehliadačov, ak sa chcú prihlásiť do služby.

Môže sa to zdať nepohodlné v porovnaní s tým, ako funkcie prihlásenia fungujú teraz, ale dnešné oznámenie znamená, že ľudia môžu vidieť úplnú adresu URL stránky. Ľudia tak vedia, či stránka, do ktorej zadávajú svoje prihlasovacie údaje, je legitímna alebo nie.

Vývojárom s aplikáciami, ktoré vyžadujú prístup k údajom účtu Google, sa dnes odporúča prejsť na používanie overovania pomocou protokolu OAuth prostredníctvom prehliadača.