Google kunngjorde i dag på sin sikkerhetsblogg at den vil blokkere pålogginger fra innebygde nettleserammer fra og med juni. Håpet er at et slikt grep bedre vil beskytte folk mot menneske-i-midten-angrep (MITM).

Innebygde nettleserammer gjør det mulig for utviklere å inkludere nettforekomster i applikasjonene sine. Spotify bruker for eksempel innebygde nettleserammer for å la folk logge seg på Facebook-kontoene sine. Tanken bak innebygde nettleserammer er å forbedre brukeropplevelsen ved å holde folk i en app i stedet for å sparke dem til en full nettleser hvis de vil logge seg på en tjeneste.

Problemet er at et MITM-angrep kan avskjære påloggingsinformasjon og andre faktorer. Ifølge Google er det ikke i stand til å "skille mellom et legitimt pålogging og et MITM-angrep" i innebygde nettlesere. Googles løsning er da å blokkere pålogginger fra innebygde nettleserammer.

Som et resultat ønsker Google at utviklere skal bytte til nettleserbasert OAuth-godkjenning. På den måten vil apper sende brukere til Chrome, Safari, Firefox eller andre mobilnettlesere hvis de vil logge seg på en tjeneste.

Det kan virke mer upraktisk i forhold til hvordan påmeldinger fungerer nå, men dagens kunngjøring betyr at folk kan se en sides hele URL. På den måten vet folk om siden de skriver inn påloggingsinformasjon, er legitim eller ikke.

Utviklere med apper som krever tilgang til Google-kontodata oppfordres til å bytte til å bruke nettleserbasert OAuth-godkjenning i dag.