Google bugün Güvenlik Blog’unda, haziran ayından itibaren yerleşik tarayıcı çerçevelerinde oturum açmayı engelleyeceğini açıkladı. Umut, böyle bir hareketin insanları ortadaki adam (MITM) saldırılarından daha iyi koruyacağı yönündedir.

Gömülü tarayıcı çerçeveleri, geliştiricilerin uygulamalarına web örnekleri eklemelerine izin verir. Örneğin, Spotify, kişilerin Facebook hesaplarında oturum açmasına izin vermek için yerleşik tarayıcı çerçevelerini kullanır. Gömülü tarayıcı çerçevelerinin ardındaki fikir, bir serviste oturum açmak istiyorlarsa, insanları tam bir tarayıcıya tekmelemek yerine bir uygulamada tutarak kullanıcı deneyimini geliştirmek.

Sorun, MITM saldırısının giriş bilgilerini ve ikinci faktörleri engelleyebilmesidir. Google’a göre, gömülü tarayıcılarda “meşru bir oturum açma ile bir MITM saldırısı arasında ayrım yapamıyorum”. Google’ın çözümü öyleyse, gömülü tarayıcı çerçevelerindeki oturum açmaları tamamen engellemektir.

Sonuç olarak, Google, geliştiricilerin tarayıcı tabanlı OAuth kimlik doğrulamasına geçmesini istiyor. Bu yolla, uygulamalar bir serviste oturum açmak istiyorlarsa kullanıcıları Chrome, Safari, Firefox veya diğer mobil tarayıcılara gönderir.

Şimdi oturum açma işlemlerinin nasıl çalıştığına bağlı olarak daha uygunsuz görünebilir, ancak bugünkü duyuru, kişilerin bir sayfanın tam URL’sini görebileceği anlamına gelir. Bu şekilde, kullanıcılar giriş kimlik bilgilerini yazdıkları sayfanın yasal olup olmadığını bilirler.

Google Hesabı verilerine erişim gerektiren uygulamalara sahip geliştiricilerin, bugün tarayıcı tabanlı OAuth kimlik doğrulamasını kullanmaya geçmeleri teşvik edilir.