구글은 오늘 보안 블로그에서 6 월부터 임베디드 브라우저 프레임 워크에서 로그인을 차단할 것이라고 발표했다. 그러한 움직임이 사람들을 MITM (Man-in-the-Middle) 공격으로부터 더 잘 보호 할 수 있기를 희망합니다.

임베디드 브라우저 프레임 워크를 통해 개발자는 애플리케이션에 웹 인스턴스를 포함 할 수 있습니다. 예를 들어 Spotify는 내장 브라우저 프레임 워크를 사용하여 사람들이 Facebook 계정에 로그인 할 수 있도록합니다. 임베디드 브라우저 프레임 워크의 기본 개념은 사람들이 서비스에 로그인하려는 경우 풀 브라우저를 사용하지 않고 앱을 유지함으로써 사용자 경험을 향상시키는 것입니다.

문제는 MITM 공격이 로그인 자격 증명과 두 번째 요소를 가로 챌 수 있다는 것입니다. 구글에 따르면 임베디드 브라우저에서는 "정식 로그인과 MITM 공격을 구별 할 수 없다"고한다. 따라서 Google의 솔루션은 임베디드 브라우저 프레임 워크에서 로그인을 모두 차단하는 것입니다.

결과적으로 Google은 개발자가 브라우저 기반 OAuth 인증으로 전환하기를 원합니다. 이렇게하면 서비스에 로그인하려는 경우 앱이 사용자를 Chrome, Safari, Firefox 또는 기타 모바일 브라우저로 보냅니다.

현재 로그인 방식과 관련하여 불편한 것처럼 보이지만 오늘 발표에 따르면 사람들은 페이지의 전체 URL을 볼 수 있습니다. 그렇게하면 사람들은 자신의 로그인 자격 증명을 입력하는 페이지가 합법적인지 여부를 알 수 있습니다.

Google 계정 데이터에 액세스해야하는 앱이있는 개발자는 오늘 브라우저 기반 OAuth 인증을 사용하도록 전환하는 것이 좋습니다.