Η Google ανακοίνωσε σήμερα στο Blog της Ασφάλειας ότι θα μπλοκάρει τις εισόδους από ενσωματωμένα πλαίσια περιήγησης που θα ξεκινήσουν τον Ιούνιο. Η ελπίδα είναι ότι μια τέτοια κίνηση θα προστατεύσει καλύτερα τους ανθρώπους από τις επιθέσεις "άνθρωπος-στη-μέση" (MITM).

Τα ενσωματωμένα πλαίσια περιήγησης επιτρέπουν στους προγραμματιστές να συμπεριλαμβάνουν τις εφαρμογές ιστού στις εφαρμογές τους. Για παράδειγμα, το Spotify χρησιμοποιεί ενσωματωμένα πλαίσια προγράμματος περιήγησης για να επιτρέψει στους χρήστες να συνδεθούν στους λογαριασμούς τους στο Facebook. Η ιδέα πίσω από τα ενσωματωμένα πλαίσια των προγραμμάτων περιήγησης είναι να βελτιωθεί η εμπειρία των χρηστών, κρατώντας τους ανθρώπους σε μια εφαρμογή αντί να τους κλωτσούν σε ένα πλήρες πρόγραμμα περιήγησης αν θέλουν να συνδεθούν σε μια υπηρεσία.

Το πρόβλημα είναι ότι μια επίθεση MITM μπορεί να παρεμποδίσει τα διαπιστευτήρια σύνδεσης και τους δεύτερους παράγοντες. Σύμφωνα με την Google, δεν είναι σε θέση να "κάνει διάκριση μεταξύ νόμιμης σύνδεσης και επίθεσης MITM" στα ενσωματωμένα προγράμματα περιήγησης. Στη συνέχεια, η λύση της Google είναι να αποκλείει εντελώς τις συνδέσεις από ενσωματωμένα πλαίσια προγράμματος περιήγησης.

Ως αποτέλεσμα, η Google θέλει οι προγραμματιστές να μεταβούν στον έλεγχο ταυτότητας OAuth με βάση το πρόγραμμα περιήγησης. Με αυτόν τον τρόπο, οι εφαρμογές θα στέλνουν χρήστες σε Chrome, Safari, Firefox ή σε άλλα προγράμματα περιήγησης για κινητά, αν θέλουν να συνδεθούν σε μια υπηρεσία.

Μπορεί να φαίνεται πιο ενοχλητικό σε σχέση με τον τρόπο λειτουργίας των εισερχομένων, αλλά η σημερινή ανακοίνωση σημαίνει ότι οι χρήστες μπορούν να δουν την πλήρη διεύθυνση URL μιας σελίδας. Με αυτόν τον τρόπο, οι άνθρωποι γνωρίζουν αν η σελίδα στην οποία πληκτρολογούν τα διαπιστευτήριά τους σύνδεσης είναι νόμιμη ή όχι.

Οι προγραμματιστές με εφαρμογές που απαιτούν πρόσβαση σε δεδομένα Λογαριασμού Google ενθαρρύνονται να μεταβούν σήμερα χρησιμοποιώντας τον έλεγχο ταυτότητας OAuth που βασίζεται στον browser.