أعلنت Google هذا الأسبوع أنها ستحظر محاولات تسجيل الدخول من أطر عمل المتصفح المدمجة لمنع هجمات التصيد الاحتيالي (MiTM).
يصعب اكتشاف هجمات التصيد الاحتيالي عن طريق حقن محتوى ضار في حركة مرور مشروعة عندما يستخدم المهاجمون إطار عمل مستعرض مضمن أو أي أداة تلقائية أخرى للمصادقة.
على سبيل المثال ، إطار عمل المتصفح المضمن يقدم Google إطار عمل Chromium Embedded Framework (CEF) يسمح بتضمين المتصفحات المستندة إلى Chromium في تطبيقات أخرى.
أعلنت Google أنه ابتداءً من يونيو ، ستحظر تسجيلات الدخول من هذه الأطر.
"ومع ذلك ، يصعب اكتشاف أحد أشكال الخداع ، والمعروفة باسم" رجل في الوسط "(MITM) ، عند استخدام إطار مستعرض مضمن (مثل Chromium Embedded Framework - CEF) أو نظام أساسي آخر للتشغيل الآلي للمصادقة. تقوم MITM باعتراض الاتصالات بين المستخدم وجوجل في الوقت الفعلي لجمع بيانات اعتماد المستخدم (بما في ذلك العامل الثاني في بعض الحالات) وتسجيل الدخول. "تقرأ مدونة منشورة تنشرها Google. "نظرًا لأنه لا يمكننا التمييز بين تسجيل الدخول المشروع وهجوم MITM على هذه الأنظمة ، سنمنع تسجيل الدخول من أطر عمل المتصفح المضمنة التي تبدأ في يونيو. يشبه هذا التقييد الذي تم تسجيله في أبريل 2016. "
جوجل الأمن MiTM
تقترح Google على المطورين الذين يستخدمون حاليًا CEF للمصادقة للتبديل إلى مصادقة OAuth المستندة إلى المستعرض.
تسمح مصادقة OAuth المستندة إلى المستعرض للمستخدمين أيضًا بمشاهدة عنوان URL الكامل للصفحة التي يدخلون فيها بيانات اعتمادهم ، مما قد يساعدهم على تجنب مواقع التصيد الاحتيالي التي تحاكي المواقع الشرعية.
"الحل للمطورين الذين يستخدمون حاليًا CEF للمصادقة هو نفسه: مصادقة OAuth المستندة إلى المستعرض. وبغض النظر عن كونها آمنة ، فإنها تتيح للمستخدمين أيضًا رؤية عنوان URL الكامل للصفحة التي يدخلون فيها بيانات اعتمادهم ، مما يعزز الممارسات الجيدة لمكافحة الخداع ، "تستمر Google.
"إذا كنت مطورًا مع تطبيق يتطلب الوصول إلى بيانات حساب Google ، فانتقل إلى استخدام مصادقة OAuth المستندة إلى المستعرض اليوم."
ليست هناك تعليقات:
إرسال تعليق