image

Google gaat inloggen blokkeren van browsers binnen applicaties

vrijdag 19 april 2019, 09:48 door Redactie, 9 reacties

Om gebruikers tegen man-in-the-middle-aanvallen te beschermen gaat Google vanaf juni alle inlogpogingen blokkeren die afkomstig zijn van zogeheten "embedded browser frameworks". Dit zijn frameworks waarmee een browser-engine aan een applicatie kan worden toegevoegd.

Een bekend voorbeeld is het Steam-gamingplatform, dat een aangepaste versie van het Chromium Embedded Framework (CEF) gebruikt. Op deze manier biedt Steam aan gebruikers de mogelijkheid om vanuit de applicatie te browsen. Als gebruikers via dergelijke browsers op hun Google-account inloggen is het volgens de internetgigant lastig om man-in-the-middle-aanvallen te detecteren.

"Omdat we op deze platformen een legitieme inlogpoging niet van een man-in-the-middle-aanval kunnen onderscheiden, zullen we vanaf juni logins van embedded browser frameworks blokkeren", zegt Jonathan Skelker van Google. Applicaties die van dergelijke frameworks gebruikmaken wordt aangeraden om browsergebaseerde OAuth-authenticatie toe te passen. Zo kunnen gebruikers de volledige url zien van de pagina waar ze inloggen.

Reacties (9)
19-04-2019, 09:58 door Anoniem
Dat betekent waarschijnlijk ook dat Rambox niet meer werkt. Jammer!
19-04-2019, 10:20 door Anoniem
Teveel voor woorden dit. Waar zijn de aanvallen dan? Ze doen dit waarschijnlijk gewoon om andere platformen in de rug te steken
19-04-2019, 11:18 door Anoniem
Door Anoniem: Teveel voor woorden dit. Waar zijn de aanvallen dan? Ze doen dit waarschijnlijk gewoon om andere platformen in de rug te steken
Dus doet google iets om de security te verhogen, is het ook weer niet goed.

Volgens sommige mensen is het genoeg..... Google kan het zo te zien nooit goed doen met dit soort argumenten, want er zit altijd iets achter.
zo jammer... zo jammer....
19-04-2019, 11:54 door Anoniem
Ja, prima toch?
Alleen op je google account kan je dan vanuit steam niet inloggen, maar wel gewoon in steam.

Zodra ze ALLE logins en form posts in embedded applicaties gaan blokkeren word het een issue.
19-04-2019, 12:16 door Anoniem
Bedoelen ze ook frameworks als Cordova?
19-04-2019, 12:19 door Anoniem
Google weer lekker voor Google bezig dus, net zoals het versluieren van link pagina's,
zodat alleen de originele link bron te zien valt.
Google duikt weg voor zoveel mogelijk profijt en zo weinig mogelijk tax.

J.O.
19-04-2019, 14:32 door Anoniem
Door Anoniem: Teveel voor woorden dit. Waar zijn de aanvallen dan? Ze doen dit waarschijnlijk gewoon om andere platformen in de rug te steken
Steam kan OAuth-authenticatie ondersteuning toevoegen en dan werkt het gewoon.

Het is heel fijn dat grote spelers als Google dit doen, want dan komen de andere bedrijven daadwerkelijk in beweging om hun security op te hogen.
19-04-2019, 14:35 door Anoniem
Gaat wel ver hoor. Goed dat Google (behalve data tappen) ook veel aan security doet maar dit gaat wel ver.
23-04-2019, 10:39 door Anoniem
Door Anoniem: Teveel voor woorden dit. Waar zijn de aanvallen dan?

Ik ben echt blij voor jou. Dat je die aanvallen niet ziet.
Ik krijg voor zowel mijn Google account als de G Suite omgeving die ik beheer regelmatig meldingen over aanvallen.
Gelukkig pas 1 account echt moeten blokkeren omdat de aanwijzingen te sterk waren dat er ook echt ingelogd was door de aanvallen.

Door Anoniem: Gaat wel ver hoor. Goed dat Google (behalve data tappen) ook veel aan security doet maar dit gaat wel ver.

Kun jij mij uitleggen hoe Google data tapt? Ik ben er van op de hoogte dat de NSA Google data tapt. Een indicatie dat Google zelf tapt, heb ik nog nergens kunnen vinden.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.