Google、WebViewからのOAuth認証リクエストをブロックへ
2016年8月31日 14:13
あるAnonymous Coward曰く、 GoogleがGoogleアカウントにおけるOAuth認証について、利便性とセキュリティ強化のために仕様変更を行うことを明らかにした。具体的には、今後数ヶ月内にいわゆる「WebView」など、アプリケーションにWebブラウザの機能を組み込むためのコンポーネントからのOAuthリクエストを受け付けないよう変更するとのこと(Google Developers Blog)。代わりに、端末のWebブラウザ経由で認証を行う手法が推奨されている。
WebViewでのログインでは、アプリ毎にGoogleのログイン画面にアクセスしてアカウント名やパスワードを入力する必要があった。いっぽう、端末のWebブラウザ経由で認証を行うことで、アプリ毎にログインを行う必要がなくなり、一度Webブラウザでログインすればアプリ毎のログインは不要となる(ただし確認画面は表示される)点がメリットだとされている。
WebViewを使ったログインでは、以前から悪意のあるアプリがログイン画面を偽造してアカウント名やパスワードを盗み取る可能性が指摘されていた(OAuthの認証にWebViewを使うのはやめよう)。
スラドのコメントを読む | セキュリティセクション | Google | セキュリティ
関連ストーリー: 住信SBIネット銀行、OAuthによる外部サービスとの連携を開始 2016年03月26日 RSA Conference、参加登録者のTwitter認証情報を収集していたのではないかと疑われる 2016年01月24日 OAuthとOpenIDに脆弱性? 2014年05月08日 認可プロトコル OAuth にセキュリティホール見つかる 2009年04月27日