Google heeft vandaag op zijn Beveiligingsblog aangekondigd dat het logins van ingebedde browserframes vanaf juni blokkeert. De hoop is dat een dergelijke stap mensen beter zal beschermen tegen man-in-the-middle (MITM) aanvallen.

Met ingebedde browserframes kunnen ontwikkelaars webinstanties in hun toepassingen opnemen. Spotify gebruikt bijvoorbeeld ingebedde browserkaders om mensen toe te staan ​​zich aan te melden bij hun Facebook-accounts. Het idee achter ingebedde browserframes is om de gebruikerservaring te verbeteren door mensen in een app te houden in plaats van ze naar een volledige browser te schoppen als ze zich bij een service willen aanmelden.

Het probleem is dat een MITM-aanval inloggegevens en tweede factoren kan onderscheppen. Volgens Google is het niet in staat om "onderscheid te maken tussen een legitieme aanmelding en een MITM-aanval" in ingebedde browsers. De oplossing van Google is dan ook om log-ins van ingesloten browserkaders volledig te blokkeren.

Daarom wil Google dat ontwikkelaars overschakelen naar browsergebaseerde OAuth-authenticatie. Op die manier sturen apps gebruikers naar Chrome, Safari, Firefox of andere mobiele browsers als ze zich bij een service willen aanmelden.

Het lijkt misschien onhandiger in vergelijking met hoe inloggen nu werkt, maar de aankondiging van vandaag betekent dat mensen de volledige URL van een pagina kunnen zien. Op die manier weten mensen of de pagina waarop ze hun inloggegevens typen, legitiem is of niet.

Ontwikkelaars met apps die toegang tot Google-accountgegevens vereisen, worden aangemoedigd om vandaag over te schakelen naar het gebruik van browsergebaseerde OAuth-authenticatie.