A Google ma a biztonsági blogjában bejelentette, hogy júniusban blokkolja a beágyazott böngészőkeretekbe történő bejelentkezést. A remény az, hogy egy ilyen lépés jobban megvédi az embereket a középtávú (MITM) támadásoktól.
A beágyazott böngészőkeretek lehetővé teszik a fejlesztők számára, hogy webes példányokat vonjanak be alkalmazásukba. A Spotify például beágyazott böngészőkeretet használ, hogy lehetővé tegyék az emberek bejelentkezéshez a Facebook-fiókjukat. A beágyazott böngésző keretrendszerének célja az, hogy javítsa a felhasználói élményt azáltal, hogy az embereket egy alkalmazásban tartja, ahelyett, hogy teljes böngészőbe rúgja őket, ha szolgáltatásba akarnak bejelentkezni.
A probléma az, hogy egy MITM támadás megszakíthatja a bejelentkezési hitelesítő adatokat és a második tényezőket. A Google szerint a beágyazott böngészőkben nem képes megkülönböztetni a törvényes bejelentkezés és az MITM támadást. A Google megoldása tehát a beágyazott böngészőkeretekből történő bejelentkezések teljes letiltása.
Ennek eredményeként a Google azt akarja, hogy a fejlesztők váltsanak át böngésző alapú OAuth hitelesítésre. Ilyen módon az alkalmazások elküldik a felhasználókat a Chrome, a Safari, a Firefox vagy más mobil böngészőkhöz, ha egy szolgáltatásba akarnak bejelentkezni.
Kényelmetlenebbnek tűnhet a bejelentkezések működése szempontjából, de a mai bejelentés azt jelenti, hogy az emberek láthatják az oldal teljes URL-jét. Ilyen módon az emberek tudják, hogy az az oldal, amelybe bejelentkezési adataikat beváltják - jogszerű-e.
A fejlesztők olyan alkalmazásokkal történő fejlesztésére, amelyek hozzáférést igényelnek a Google Fiók adataihoz, arra ösztönzik ma, hogy váltsanak ma böngésző alapú OAuth hitelesítésre.