برای توسعهدهندگان، حملات «مرد میانی» همیشه نگرانی بزرگی برای محافظت از اطلاعات حساب کاربران هنگام ورود به وبسایتها به شمار میآیند. به همین خاطر گوگل تصمیم گرفته که با ارائه راهکاری جدید، مرورگر کروم را از نفوذپذیری نسبت به این حملات مصون نگه دارد.
اهالی مانتین ویو اعلام کردهاند که از ماه ژوئن ورود به حسابهای کاربری از طریق مرورگرهای جاسازیشده (Embedded) همچون فریمورک جاسازیسازی شده کرومیوم را مسدود خواهند کرد. این موضوع سبب میشود که کاربران نسبت به حملات فیشینگ مصونیت بیشتری داشته باشند، هر چند که این اقدام محدودیتهایی را هم به دنبال خواهد داشت.
اگر کروم را از درون یک اپلیکیشن دیگر (مثل تلگرام) باز کنید، در واقع شما در حال استفاده از فریمورک جاسازیسازی شده کرومیوم (Chromium Embedded Framework) هستید. به لطف این گزینه توسعهدهندگان میتوانند امکانات مرورگر را به اپلیکیشنهای خود بیاورند تا بدون نیاز به خروج از اپ بتوانید اطلاعات لازم برای ورود به حسابهای کاربری گوگل خود را وارد کنید.
گوگل اعلام کرده که حملههای مرد میانی «به سختی» قابل تشخیص هستند
به عنوان مثال اگر در حال اجرای بازی موبایلی باشید که از گوگل پلی گیمز پشتیبانی میکند، صفحه کرومیوم از درون بازی ظاهر میشود تا بلافاصله قادر به ورود به حساب کاربری گوگلتان باشید. این به خودی خود یک مزیت به حساب میآید، اما گوگل اعلام کرده که ورود به حساب کاربری از طریق مرورگرهای جاسازیشده میتواند خطرات امنیتی خاص خود را هم به همراه داشته باشد که یکی از شایعترین آنها حمله مرد میانی است.
گوگل با انتشار یک پست وبلاگی اعلام کرده که این حملههای از جنس فیشینگ «به سختی» قابل تشخیص هستند و تدابیر امنیتی کروم همیشه توانایی مقابله با آنها را ندارند. بنابراین گوگل در عوض تقویت تمهیدات امنیتی، تصمیم گرفته که به طور کامل ورود از طریق مرورگرهای جاسازیشده در کروم را مسدود کرده و راهکار دیگری را به توسعهدهندگان پیشنهاد کند.
پیشنهاد جایگزین گوگل سیستم احراز هویت OAuth نام دارد که به عقیده گوگل ضمن مقاومت به حملات مرد میانی، آدرس اینترنتی کامل صفحه بارگذاری شده را برای کاربران به نمایش درمیآورد. با این حساب در آینده میتوانید احراز هویت به شیوه OAuth را بیشتر از گذشته مشاهده کنید.
