https://rs.rottenswamp.ru/Internet/google-REALIZUET-NOVUYU-MERU-ZASHCHITY-OT-FISHINGOVYKH-ATAK/ С июня компания начнет блокировать авторизацию из встроенных в приложения браузеров. С целью обеспечения лучшей защиты от атак типа «человек посередине» («man in the middle», MitM) компания Google будет блокировать попытки авторизации, инициированные из встроенных фреймворков для web-браузинга, которые нередко используются в фишинговых атаках. Речь идет о Chromium Embedded Framework (CEF), XULRunner и тому подобных инструментах. Встроенные фреймворки браузеров позволяют разработчикам добавлять в приложения функции браузера. К примеру, CEF предоставляет возможность встраивать в приложен Подробностиия браузерный движок Chromium. Как пояснил директор по продукции Google Джонатан Скелкер (Jonathan Skelker) в блоге компании, фишеры могут использовать такие фреймворки для выполнения скрипта JavaScript на web-странице и автоматизации пользовательской активности. В рамках атаки «человек посередине» злоумышленник, владеющий учетными данными и кодами двухфакторной аутентификации, может автоматизировать авторизацию в настоящих сервисах Google. Подобные атаки сложно обнаружить, и блокировка попыток авторизации с этих платформ должна решить проблему. «Поскольку мы не можем заметить разницу между легитимной авторизацией и MitM-атакой на данные платформы, начиная с июня, мы будем блокировать попытки авторизации с встроенных браузерных фреймворков», - пишет Скелкер. Данная мера коснется разработчиков, которым придется изъять такие фреймворки из своих приложений. Им Google рекомендует перейти на использование Oauth-аутентификации. Sun, 21 Apr 2019 16:04:31 UTC en