![Digest認証に対して中間者攻撃してみよう](https://i.ytimg.com/vi/fpdQAEjgxOc/hqdefault.jpg)
Googleは本日、セキュリティブログで、6月から組み込みブラウザフレームワークからのサインインをブロックすることを発表しました。希望は、そのような動きが中間者(MITM)攻撃から人々をより良く保護することです。
組み込みブラウザフレームワークにより、開発者はアプリケーションにWebインスタンスを含めることができます。たとえば、Spotifyは埋め込みブラウザフレームワークを使用して、ユーザーがFacebookアカウントにサインインできるようにします。組み込みブラウザフレームワークの背後にある考え方は、ユーザーがサービスにサインインしたい場合にフルブラウザにキックするのではなく、アプリ内にいることでユーザーエクスペリエンスを改善することです。
問題は、MITM攻撃がログイン資格情報と2番目の要因をインターセプトできることです。 Googleによると、組み込みブラウザでは「正当なサインインとMITM攻撃を区別すること」ができません。 Googleのソリューションは、組み込みブラウザフレームワークからのサインインを完全にブロックすることです。
その結果、Googleは開発者がブラウザベースのOAuth認証に切り替えることを望んでいます。これにより、ユーザーがサービスにサインインしたい場合、アプリはユーザーをChrome、Safari、Firefox、または他のモバイルブラウザーに送信します。
現在のログインの仕組みに比べて不便に思えるかもしれませんが、今日の発表は、ユーザーがページの完全なURLを見ることができることを意味します。そうすれば、ユーザーはログイン資格情報を入力しているページが正当かどうかを知ることができます。
Googleアカウントデータへのアクセスが必要なアプリを使用する開発者は、今日ブラウザベースのOAuth認証を使用するように切り替えることをお勧めします。