Google ने अपने सुरक्षा ब्लॉग पर आज घोषणा की कि वह जून से शुरू होने वाले एम्बेडेड ब्राउज़र फ्रेमवर्क से साइन-इन को ब्लॉक करेगा। उम्मीद यह है कि इस तरह के कदम से लोगों को इन-द-मिडल (MITM) हमलों से बेहतर सुरक्षा मिलेगी।
एंबेडेड ब्राउज़र फ्रेमवर्क डेवलपर्स को अपने अनुप्रयोगों में वेब इंस्टेंस को शामिल करने की अनुमति देते हैं। उदाहरण के लिए, Spotify एम्बेडेड ब्राउज़र फ्रेमवर्क का उपयोग करता है ताकि लोग अपने फेसबुक खातों में प्रवेश कर सकें। एम्बेडेड ब्राउज़र फ्रेमवर्क के पीछे का विचार यह है कि यदि वे किसी सेवा में साइन इन करना चाहते हैं तो लोगों को एक पूर्ण ब्राउज़र पर किक करने के बजाय ऐप में रखकर उपयोगकर्ता अनुभव को बेहतर बना सकते हैं।
समस्या यह है कि एक MITM हमला लॉगिन क्रेडेंशियल और दूसरे कारकों को रोक सकता है। Google के अनुसार, यह एम्बेडेड ब्राउज़रों में "वैध साइन-इन और MITM हमले के बीच अंतर" करने में असमर्थ है। Google का समाधान, तब साइन-इन को एम्बेडेड ब्राउज़र फ्रेमवर्क से पूरी तरह से ब्लॉक करना है।
परिणामस्वरूप, Google चाहता है कि डेवलपर्स ब्राउज़र-आधारित OAuth प्रमाणीकरण पर स्विच करें। इस तरह, ऐप उपयोगकर्ताओं को क्रोम, सफारी, फ़ायरफ़ॉक्स या अन्य मोबाइल ब्राउज़रों को भेजेंगे यदि वे किसी सेवा में साइन इन करना चाहते हैं।
यह साइन-इन अब कैसे काम करता है, इसके सापेक्ष अधिक असुविधाजनक लग सकता है, लेकिन आज की घोषणा का मतलब है कि लोग किसी पृष्ठ का पूरा URL देख सकते हैं। इस तरह, लोग जानते हैं कि जिस पृष्ठ पर वे अपनी लॉगिन क्रेडेंशियल टाइप कर रहे हैं वह वैध है या नहीं।
उन एप्लिकेशन वाले डेवलपर्स को Google खाता डेटा तक पहुंच की आवश्यकता होती है, जिन्हें आज ब्राउज़र-आधारित OAuth प्रमाणीकरण का उपयोग करने के लिए प्रोत्साहित किया जाता है।
