Google объявила сегодня в своем блоге по безопасности, что начиная с июня, она будет блокировать вход со встроенных браузерных сред. Надежда состоит в том, что такой шаг лучше защитит людей от атак «человек посередине» (MITM).

Встроенные структуры браузера позволяют разработчикам включать веб-экземпляры в свои приложения. Например, Spotify использует встроенные рамки браузера, чтобы позволить людям войти в свои учетные записи Facebook. Идея встроенных каркасов браузеров состоит в том, чтобы улучшить взаимодействие с пользователем, удерживая людей в приложении, а не выводить их в полнофункциональный браузер, если они хотят войти в службу.

Проблема в том, что атака MITM может перехватить учетные данные и второстепенные факторы. По словам Google, во встроенных браузерах невозможно «провести различие между законным входом в систему и MITM-атакой». Таким образом, решение Google состоит в том, чтобы полностью блокировать входы из встроенных браузерных сред.

В результате Google хочет, чтобы разработчики переключились на аутентификацию OAuth на основе браузера. Таким образом, приложения будут отправлять пользователей в Chrome, Safari, Firefox или другие мобильные браузеры, если они захотят войти в службу.

Это может показаться более неудобным по сравнению с тем, как работают входы, но сегодняшнее объявление означает, что люди могут видеть полный URL-адрес страницы. Таким образом, люди знают, является ли страница, на которой они вводят свои учетные данные, законной или нет.

Разработчикам приложений, которым требуется доступ к данным аккаунта Google, рекомендуется сегодня перейти на использование OAuth-аутентификации на основе браузера.