Para aumentar la protección contra ataques Man-in-the-middle (MitM), Google bloqueará en junio los inicios de sesión desde marcos de navegadores integrados, que se usan con algunas formas de phishing
Los marcos integrados del navegador permiten a los desarrolladores agregar capacidades de navegación a una aplicación. Un ejemplo es el Chromium Embedded Framework (CEF), que básicamente permite insertar navegadores basados en Chromium en las aplicaciones.
Un adversario que ejecuta un ataque de phishing puede usar un marco de navegador integrado para ejecutar JavaScript en una página y automatizar la actividad del usuario. En un escenario MitM , el atacante puede automatizar el inicio de sesión en el servicio real de Google después de capturar las credenciales e incluso los códigos de autenticación de dos factores.
Marcos de navegador incrustados difíciles de detectar
Jonathan Skelker, Product Manager y Account Security en Google, dice que Google "diferencia entre un inicio de sesión legítimo y un ataque MITM en estas plataformas". La solución a este problema es bloquear la acción de inicio de sesión a través de estas plataformas.
Esta medida afecta a los desarrolladores que pierden una forma fácil de ofrecer autenticación en sus aplicaciones. Una alternativa recomendada es usar la autenticación OAuth basada en el navegador, que permite compartir los datos de inicio de sesión mientras se mantienen seguros el nombre de usuario y la contraseña.
"Además de ser seguro, también permite a los usuarios ver la URL completa de la página donde están ingresando sus credenciales, lo que refuerza las buenas prácticas contra el phishing", dice Skelker, y recomienda encarecidamente a los desarrolladores que hagan el cambio.
Los pasos de Google para proteger los inicios de sesión de los usuarios.
La denegación de la autenticación desde marcos de navegadores integrados es una medida similar a la restricción que Google anunció en 2016 en las vistas web, que también son navegadores integrados.
La tendencia a una experiencia de inicio de sesión más segura continuó a finales de octubre de 2018, cuando Google anunció que JavaScript debería estar habilitado en el navegador al iniciar sesión en los servicios de Google.
Con JavaScript activo en la página de inicio de sesión, Google puede ejecutar un análisis y permitir el acceso solo si todo se ve bien.
Fecha actualización el 2021-04-19. Fecha publicación el 2019-04-19. Categoría: google Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil