Google ประกาศในบล็อกความปลอดภัยในวันนี้ว่าจะบล็อกการลงชื่อเข้าใช้จากกรอบเบราว์เซอร์ที่ฝังตัวซึ่งเริ่มต้นในเดือนมิถุนายน ความหวังก็คือการเคลื่อนไหวดังกล่าวจะช่วยปกป้องผู้คนจากการโจมตีของคนที่อยู่ตรงกลาง (MITM) ได้ดียิ่งขึ้น
เฟรมเวิร์กของเบราว์เซอร์ในตัวช่วยให้นักพัฒนาสามารถรวมเว็บอินสแตนซ์ในแอปพลิเคชันของตน ตัวอย่างเช่น Spotify ใช้เฟรมเวิร์กของเบราว์เซอร์ในตัวเพื่ออนุญาตให้ผู้ใช้ลงชื่อเข้าใช้บัญชี Facebook ของตน แนวคิดเบื้องหลังเบราว์เซอร์แบบฝังตัวคือการปรับปรุงประสบการณ์การใช้งานของผู้ใช้ด้วยการทำให้ผู้คนอยู่ในแอพแทนที่จะส่งไปยังเบราว์เซอร์เต็มรูปแบบหากพวกเขาต้องการลงชื่อเข้าใช้บริการ
ปัญหาคือว่าการโจมตี MITM สามารถสกัดกั้นข้อมูลรับรองการเข้าสู่ระบบและปัจจัยที่สอง ตามที่ Google ไม่สามารถ“ แยกความแตกต่างระหว่างการลงชื่อเข้าใช้ที่ถูกต้องและการโจมตี MITM” ในเบราว์เซอร์ที่ฝังตัว วิธีแก้ปัญหาของ Google คือการบล็อกการลงชื่อเข้าใช้จากเฟรมเวิร์กของเบราว์เซอร์ที่ฝังตัวไว้ทั้งหมด
ดังนั้น Google ต้องการให้นักพัฒนาซอฟต์แวร์เปลี่ยนไปใช้การตรวจสอบสิทธิ์ OAuth ที่ใช้เบราว์เซอร์ ด้วยวิธีนี้แอปจะส่งผู้ใช้ไปยัง Chrome, Safari, Firefox หรือเบราว์เซอร์มือถืออื่น ๆ หากต้องการลงชื่อเข้าใช้บริการ
มันอาจดูไม่สะดวกขึ้นเมื่อเทียบกับการทำงานของการลงชื่อเข้าใช้ในขณะนี้ แต่การประกาศของวันนี้หมายความว่าผู้คนสามารถเห็น URL แบบเต็มของหน้าเว็บ ด้วยวิธีนี้ผู้คนจะทราบว่าหน้าเว็บที่พวกเขากำลังพิมพ์ข้อมูลรับรองการเข้าสู่ระบบนั้นถูกต้องหรือไม่
นักพัฒนาซอฟต์แวร์ที่มีแอพที่ต้องการเข้าถึงข้อมูลบัญชี Google ได้รับการสนับสนุนให้เปลี่ยนไปใช้การรับรองความถูกต้อง OAuth บนเบราว์เซอร์ในปัจจุบัน
