גוגל הודיעה היום בבלוג האבטחה שלה כי תחסום כניסות ממסגרות הדפדפן המוטבעות החל מיוני. התקווה היא שמהלך כזה יגן טוב יותר על אנשים מפני התקפות של איש-באמצע (MITM).
מסגרות דפדפן משובצות מאפשרות למפתחים לכלול מופעי אינטרנט ביישומים שלהם. לדוגמה, Spotify משתמשת במסגרות דפדפן משובצות כדי לאפשר לאנשים להיכנס לחשבונות הפייסבוק שלהם. הרעיון העומד מאחורי מסגרות הדפדפן המוטמע הוא לשפר את חווית המשתמש על ידי שמירה על אנשים באפליקציה במקום לבעוט בהם לדפדפן מלא אם הם רוצים להיכנס לשירות.
הבעיה היא שתקיפת MITM יכולה ליירט אישורי כניסה וגורמים שניים. לדברי גוגל, היא אינה מסוגלת "להבדיל בין כניסה לגיטימית להתקפת MITM" בדפדפנים משובצים. אם כן, הפיתרון של גוגל הוא חסימת כניסות לחלוטין ממסגרות הדפדפן המוטמע.
כתוצאה מכך, גוגל רוצה שמפתחים יעברו לאימות OAuth מבוסס דפדפן. ככה יישומים ישלחו משתמשים ל- Chrome, Safari, Firefox או לדפדפנים ניידים אחרים אם הם רוצים להיכנס לשירות.
זה אולי נראה לא נוח יחסית לאופן פעולת הכניסה כעת, אך ההודעה של היום פירושה שאנשים יכולים לראות את כתובת האתר המלאה של הדף. באופן כזה, אנשים יודעים אם הדף בו הם מקלידים את תעודות ההתחברות שלהם לגיטימי או לא.
מפתחים עם אפליקציות הדורשות גישה לנתוני חשבון Google מעודדים לעבור היום באמצעות אימות OAuth מבוסס דפדפן.
