Google、WebViewからのOAuth認証リクエストをブロックへ 2
ストーリー by hylom
複数アカウント使いが面倒臭くなりそう 部門より
複数アカウント使いが面倒臭くなりそう 部門より
あるAnonymous Coward曰く、
GoogleがGoogleアカウントにおけるOAuth認証について、利便性とセキュリティ強化のために仕様変更を行うことを明らかにした。具体的には、今後数ヶ月内にいわゆる「WebView」など、アプリケーションにWebブラウザの機能を組み込むためのコンポーネントからのOAuthリクエストを受け付けないよう変更するとのこと(Google Developers Blog)。代わりに、端末のWebブラウザ経由で認証を行う手法が推奨されている。
WebViewでのログインでは、アプリ毎にGoogleのログイン画面にアクセスしてアカウント名やパスワードを入力する必要があった。いっぽう、端末のWebブラウザ経由で認証を行うことで、アプリ毎にログインを行う必要がなくなり、一度Webブラウザでログインすればアプリ毎のログインは不要となる(ただし確認画面は表示される)点がメリットだとされている。
WebViewを使ったログインでは、以前から悪意のあるアプリがログイン画面を偽造してアカウント名やパスワードを盗み取る可能性が指摘されていた(OAuthの認証にWebViewを使うのはやめよう)。
意味あるか? (スコア:0)
まず「WebViewからの認証がブロックされた」ことを開発者でなくユーザーが理解しないとほとんど意味がない
たとえば悪意あるアプリがWebView経由でGoogleログインに偽装した画面を表示し、GoogleのIDとパスワードを剽窃する行為を防ぐには「WebViewとはどんな画面か」「そこにGoogleのID等をいれてはいけない」という事情をユーザー側が理解しないと結局防げないだろう
真っ当なアプリがWebViewを使わない仕様に変わったところで、それがどういう事情に根ざしてるかユーザーが理解しないでいれば、結局はID剽窃目的のアプリのカモにされうる、というリスクは殆ど変わらないわけだ
# この辺はTwitterのクライアントアプリがBASIC認証が禁止されてoAuthになったときの状況にかなり似てると思う
更に言うならブラウザから認証させるにしても「偽のブラウザ画面」を用意されたら割と騙されるよね
まあ偽のブラウザ画面を用意させる手間の分だけマルウェアが作りにくくなると思うけど、それはどこまで効果があるのか……
と、考えるとそもそも認証基盤そのものを抜本的に変更しない限り、この問題はいつまでも続くと思うなぁ
Re:意味あるか? (スコア:2)
地道に習慣を根付かせていくんじゃないですかね。
わかりやすいルールであれば、より根付きやすい。
ブラウザ経由であれば、一般的なブラウザ利用上の理解が通用するわけで、別途ルールを覚える必要がない。
サイト側が実施する従来からのセキュリティ上の配慮にしたって、必ずしもユーザーに広く理解されているとは限りませんよね。
中間者攻撃でログインフォームが改竄される可能性があるからと、サイトはログインフォームの段階からHTTPSで用意していても、理解のないユーザーは、HTTPアクセス時に改竄で挿入された偽ログインフォームを使ってしまうかもしれません。
偽サイトによるフィッシングが判別しやすいようにと、サイトは一貫したドメイン名を使っていても、理解のないユーザーは、似ているだけの、あるいは似てもいないドメイン名の偽サイトを使ってしまうかもしれません。
だからといって、これらに意味がないとはされていないはずで。
HTTPSとドメイン名、最低限のこの2つのルールだけはどうにか覚えて、どうにか確認してウェブを利用してほしいと。