Con el fin de aumentar la protección de Chrome contra el rápido aumento de los ataques intermediarios man-in-the-middle (MitM), Google dijo que agregará oficialmente una función de bloqueo para iniciar sesión en estructuras integradas. en el navegador (marco de navegador integrado), utilizado aquí con algunas formas de fraude de junio.
Básicamente, las estructuras de navegador integradas permiten a los desarrolladores agregar capacidades de navegación a cualquier aplicación que creen. Un ejemplo común de un marco de navegador integrado es Chromium Embedded Framework (CEF), que permite a los desarrolladores integrar navegadores basados en Chromium en las aplicaciones.
- [Infographic] Cómo reconocer y prevenir los ataques de phishing
Sin embargo, los piratas informáticos, que están detrás de un ataque de phishing, pueden utilizar la estructura del navegador integrado para ejecutar JavaScript en una página web y, al mismo tiempo, automatizar la actividad de inicio de sesión del usuario. En el escenario de las campañas MitM, un atacante podría iniciar sesión automáticamente en el servicio real de Google después de capturar la información de inicio de sesión e incluso el código de autenticación de dos factores del usuario.
Es difícil detectar la estructura integrada en el navegador.
Jonathan Skelker, gerente de producto y seguridad de la cuenta en Google, dijo que no solo Google, sino la mayoría de los otros desarrolladores tienen problemas para distinguir entre una sesión de inicio de sesión legítima y una sesión de inicio de sesión de esos ataques MITM en las plataformas de servicio. Y la solución más eficaz a este problema es bloquear la actividad de inicio de sesión a través de plataformas de servicio específicas.
- Las campañas publicitarias maliciosas abusan de Chrome para robar 500 millones de sesiones a los usuarios de iOS
De hecho, este método es efectivo, pero puede afectar a muchos desarrolladores, porque ahora perderán automáticamente una forma fácil de proporcionar autenticación a la aplicación. mi. Una alternativa recomendada es utilizar la autenticación OAuth basada en navegador, que permite compartir datos de inicio de sesión al tiempo que garantiza la seguridad de información como nombres de usuario y contraseñas.
Además de mantener la seguridad, la autenticación OAuth también permite a los usuarios ver y administrar la URL completa de la página en la que ingresan la información de su cuenta, lo que fortalece las actividades anti-phishing efectivas. más, ‘Sr. Skelker dijo, al mismo tiempo, recomendar a los desarrolladores que implementen esta transición necesaria.
- Herramienta de autenticación en muchas aplicaciones VPN corporativas que los piratas informáticos ignoran
Movimientos esenciales de Google para proteger la información de inicio de sesión del usuario
Negar la autenticación de las estructuras integradas en el navegador es una medida similar a las limitaciones que Google anunció en 2016 en las vistas web, que también es un factor relacionado con los navegadores integrados.
- Google quiere bloquear archivos de descarga inseguros y potencialmente peligrosos en Chrome
La tendencia de brindar una experiencia de inicio de sesión más segura para los usuarios continúa siendo impulsada por Google a fines de octubre de 2018, cuando el gigante de Mountain View anunció que JavaScript debe estar habilitado en todos los navegadores al iniciar sesión en los servicios de Google. . Con JavaScript ejecutándose en la página de inicio de sesión, Google puede ejecutar análisis y solo permitir sesiones de acceso si todo está bien.
¿Qué opinas de esta decisión de Google? ¡Deje comentarios en la sección de comentarios a continuación!
Seguridad de Google Chrome MITM
Para aumentar la protección de Chrome contra el rápido aumento de los ataques intermediarios man-in-the-middle (MitM), Google dijo que agregará oficialmente una función de bloqueo para el inicio de sesión de marcos integrados. en el navegador (marco de navegador integrado), utilizado aquí con algunas formas de fraude de junio.
Básicamente, las estructuras de navegador integradas permiten a los desarrolladores agregar capacidades de navegación a cualquier aplicación que creen. Un ejemplo común de un marco integrado en el navegador es Chromium Embedded Framework (CEF), que permite a los desarrolladores integrar navegadores basados en Chromium en las aplicaciones.
- [Infographic] Cómo reconocer y prevenir ataques de phishing
Sin embargo, los piratas informáticos, que están detrás de un ataque de phishing, pueden utilizar la estructura del navegador integrado para ejecutar JavaScript en una página web y, al mismo tiempo, automatizar la actividad de inicio de sesión del usuario. En el escenario de las campañas MitM, un atacante podría iniciar sesión automáticamente en el servicio real de Google después de capturar la información de inicio de sesión e incluso el código de autenticación de dos factores del usuario.
Es difícil detectar la estructura integrada en el navegador.
Jonathan Skelker, gerente de producto y seguridad de la cuenta en Google, dijo que no solo Google, sino la mayoría de los otros desarrolladores tienen problemas para distinguir entre una sesión de inicio de sesión legítima y una sesión de inicio de sesión de esos ataques MITM en las plataformas de servicio. Y la solución más eficaz a este problema es bloquear la actividad de inicio de sesión a través de plataformas de servicio específicas ‘.
- Las campañas publicitarias maliciosas abusan de Chrome para robar 500 millones de sesiones a los usuarios de iOS
De hecho, este método es efectivo, pero puede afectar a muchos desarrolladores, porque ahora perderán automáticamente una forma fácil de proporcionar autenticación a la aplicación. mi. Una alternativa recomendada es utilizar la autenticación OAuth basada en navegador, que permite compartir datos de inicio de sesión al tiempo que garantiza la seguridad de información como nombres de usuario y contraseñas.
Además de mantener la seguridad, la autenticación OAuth también permite a los usuarios ver y administrar la URL completa de la página en la que ingresan la información de su cuenta, lo que fortalece las actividades antiphishing efectivas. más, ‘Sr. Skelker dijo, al mismo tiempo, recomendar a los desarrolladores que implementen esta transición necesaria.
- Herramienta de autenticación en muchas aplicaciones VPN corporativas que los piratas informáticos ignoran
Movimientos esenciales de Google para proteger la información de inicio de sesión del usuario
Negar la autenticación de las estructuras integradas en el navegador es una medida similar a las limitaciones que Google anunció en 2016 en las vistas web, que también es un factor relacionado con los navegadores integrados.
- Google quiere bloquear archivos de descarga inseguros y potencialmente peligrosos en Chrome
La tendencia de brindar una experiencia de inicio de sesión más segura para los usuarios continúa siendo impulsada por Google a fines de octubre de 2018, cuando el gigante de Mountain View anunció que JavaScript debe estar habilitado en todos los navegadores al iniciar sesión en los servicios de Google. . Con JavaScript ejecutándose en la página de inicio de sesión, Google puede ejecutar análisis y solo permitir sesiones de acceso si todo está bien.
¿Qué opinas de esta decisión de Google? ¡Deje comentarios en la sección de comentarios a continuación!