Вход с помощью встроенного браузера является очень полезной функцией для разработчиков и пользователей. Тем не менее, такой способ подключения подвержен атакам посредника.

Сегодня в своем блоге по безопасности Goolge объявили, что начиная с июня, они будут блокировать входы из встроенных браузеров в приложениях. Они считают, что такой шаг поможет лучше защитить людей от атак посредника (MITM).

Встроенные фреймы браузера позволяют разработчикам включать веб страницы в свои приложения. Например, Spotify использует это для того, чтобы люди могли войти в аккаунт, используя учетную запись Facebook. Смысл фреймов состоит в том, чтобы не открывать полноценный браузер, если пользователю нужно войти в службу, тем самым удерживая его в приложении.

Проблема состоит в том, что, используя такой способ подключения, злоумышленники могут перехватить данные учетных записей и другую важную информацию. По словам Google, во встроенных браузерах невозможно определить защищено ли подключение. Исходя из этого, Google приняли решение полностью блокировать входы из встроенных браузеров.

Взамен Google хотят, чтобы разработчики использовали аутентификацию OAuth на основе браузера. Таким образом, приложения смогут отправлять пользователей в Chrome, Safari, Firefox и другие мобильные браузеры, если им требуется вход в службу.

Конечно, старый способ был более удобый в использовании, но за то теперь люди смогут видеть полный URL-адрес страницы, на которую они зашли. Так они смогут узнать, защищено ли подключение на странице, где они вводят данные своей учетной записи.

Разработчикам приложений, которым требуется доступ к данным аккаунта Google, рекомендуется начать использовать аутентификацию OAuth.