گوگل نے آج اپنے سیکیورٹی بلاگ پر اعلان کیا ہے کہ وہ جون میں شروع ہونے والے ایمبیڈڈ براؤزر فریم ورکس سے سائن ان کو روک دے گی۔ امید ہے کہ اس طرح کے اقدام سے لوگوں کو انسانوں میں درمیانی (ایم آئی ٹی ایم) حملوں سے بہتر طور پر تحفظ ملے گا۔
ایمبیڈڈ براؤزر فریم ورک ڈویلپرز کو ان کی ایپلی کیشنز میں ویب مثال شامل کرنے کی اجازت دیتے ہیں۔ مثال کے طور پر ، اسپوٹیفی ایمبیڈڈ براؤزر فریم ورک کا استعمال کرتے ہیں تاکہ لوگوں کو اپنے فیس بک اکاؤنٹس میں سائن ان کرسکیں۔ ایمبیڈڈ براؤزر فریم ورک کے پیچھے خیال یہ ہے کہ اگر وہ کسی خدمت میں سائن ان کرنا چاہتے ہیں تو انہیں پورے براؤزر پر لات مارنے کے بجائے کسی ایپ میں رکھنے سے صارف کے تجربے کو بہتر بنانا ہے۔
مسئلہ یہ ہے کہ MITM حملہ لاگ ان کی اسناد اور دوسرے عوامل کو روک سکتا ہے۔ گوگل کے مطابق ، ایمبیڈڈ براؤزرز میں "جائز سائن ان اور MITM اٹیک کے درمیان فرق" کرنے سے قاصر ہے۔ گوگل کا حل تو ، سرایت شدہ براؤزر فریم ورکس سے سائن ان کو مکمل طور پر روکنا ہے۔
نتیجے کے طور پر ، گوگل چاہتا ہے کہ ڈویلپرز براؤزر پر مبنی OAuth کی توثیق پر جائیں۔ اس طرح ، اگر وہ کسی خدمت میں سائن ان کرنا چاہتے ہیں تو اطلاقات صارفین کو کروم ، سفاری ، فائر فاکس ، یا دوسرے موبائل براؤزرز میں بھیج دیں گی۔
یہ سائن انس کے کام کرنے کے طریقہ کار سے کہیں زیادہ تکلیف دہ ہوسکتا ہے ، لیکن آج کے اعلان کا مطلب ہے کہ لوگ کسی صفحے کا پورا URL دیکھ سکتے ہیں۔ اس طرح ، لوگ جانتے ہیں کہ جس صفحہ میں وہ لاگ ان کی سندیں لکھ رہے ہیں وہ جائز ہے یا نہیں۔
ایپلیکیشنس والے ڈویلپرز جن کو گوگل اکاؤنٹ کے ڈیٹا تک رسائی درکار ہوتی ہے انہیں آج براؤزر پر مبنی OAuth تصدیق کا استعمال کرتے ہوئے سوئچ کرنے کی ترغیب دی جاتی ہے۔
