Test

Dit is een popup

Google begint met het blokkeren van inlogpogingen via embedded browsers

Google zal Embedded Browsers gaan blokkeren omwille van man-in-the-middle aanvallen. Met de embedded browsers wist Google de beveiliging (nog) niet te waarborgen. Dat moet nu veranderen.

Nu alle pijlen zijn gericht op de beveiliging bij de diverse diensten wereldwijd, zet Google volledig in op de beveiliging van zijn diensten. Een van de maatregelen die de zoekgigant zal nemen is het vanaf juni blokkeren van alle inlogpogingen via ‘embedded browsers’. Je kent ze wel, de browsers die zich openen om even in te loggen op je Google-account vanuit allerhande andere diensten. Helaas blijkt het ook vrij gemakkelijk om misbruik te maken via deze browsers. Embedded browsers zijn namelijk niet te beschermen tegen phishing-aanvallen. Gezien de zoekgigant niet kan achterhalen of het zou gaan om een phishing-aanval of een legitieme login, besluit het om de inlogmethode nu af te sluiten.

Er zijn veel soorten ‘Embedded browsers’, waaronder het Chromium Embedded Framework. Hackers kunnen deze browsers met gemak injecteren met een eigen, schadelijke, code. Zonder dat mensen het doorhebben, wordt het mogelijk om inloggegevens realtime te volgen. In sommige gevallen is het ook mogelijk de tweetrapsauthenticatie-code te achterhalen, al is dat voor Google-accounts toch wat lastiger. Met de inloggegevens kan de hacker vervolgens binnentreden in het account, waar mogelijk allerhande persoonlijke gegevens in aanwezig zijn. Met de maatregel vanuit Google zal dit niet meer mogelijk zijn, maar zal je juist direct naar eender welke andere browser gestuurd.

OAuth-verificatiemethode

Google raadt ontwikkelaars aan om snel naar de browser-gebaseerde inlogmethode te wisselen. In elk geval voor juni 2019: diensten die tegen die tijd nog niet gewisseld zijn, komen met het probleem te zitten dat gebruikers niet meer in kunnen loggen. Ontwikkelaars wordt aangeraden om van het OAuth-protocol gebruik te maken, daarmee kan de gebruiker ook direct de gehele link van de website zien. Met deze stap probeert de zoekgigant wederom de veiligheid van zijn gebruikers te waarborgen. Eerder liet het bedrijf al weten dat ontwikkelaars verplicht zijn om Javascript te gebruiken bij het inloggen. Met Javascript wordt het voor Google gemakkelijker om het inlogproces constant in de gaten te houden.

Nu alle pijlen zijn gericht op de beveiliging bij de diverse diensten wereldwijd, zet Google volledig in op de beveiliging van zijn diensten. Een van de maatregelen die de zoekgigant zal nemen is het vanaf juni blokkeren van alle inlogpogingen via ‘embedded browsers’. Je kent ze wel, de browsers die zich openen om even in te loggen op je Google-account vanuit allerhande andere diensten. Helaas blijkt het ook vrij gemakkelijk om misbruik te maken via deze browsers. Embedded browsers zijn namelijk niet te beschermen tegen phishing-aanvallen. Gezien de zoekgigant niet kan achterhalen of het zou gaan om een phishing-aanval of een legitieme login, besluit het om de inlogmethode nu af te sluiten.

Er zijn veel soorten ‘Embedded browsers’, waaronder het Chromium Embedded Framework. Hackers kunnen deze browsers met gemak injecteren met een eigen, schadelijke, code. Zonder dat mensen het doorhebben, wordt het mogelijk om inloggegevens realtime te volgen. In sommige gevallen is het ook mogelijk de tweetrapsauthenticatie-code te achterhalen, al is dat voor Google-accounts toch wat lastiger. Met de inloggegevens kan de hacker vervolgens binnentreden in het account, waar mogelijk allerhande persoonlijke gegevens in aanwezig zijn. Met de maatregel vanuit Google zal dit niet meer mogelijk zijn, maar zal je juist direct naar eender welke andere browser gestuurd.

OAuth-verificatiemethode

Google raadt ontwikkelaars aan om snel naar de browser-gebaseerde inlogmethode te wisselen. In elk geval voor juni 2019: diensten die tegen die tijd nog niet gewisseld zijn, komen met het probleem te zitten dat gebruikers niet meer in kunnen loggen. Ontwikkelaars wordt aangeraden om van het OAuth-protocol gebruik te maken, daarmee kan de gebruiker ook direct de gehele link van de website zien. Met deze stap probeert de zoekgigant wederom de veiligheid van zijn gebruikers te waarborgen. Eerder liet het bedrijf al weten dat ontwikkelaars verplicht zijn om Javascript te gebruiken bij het inloggen. Met Javascript wordt het voor Google gemakkelijker om het inlogproces constant in de gaten te houden.

Beveiliginggoogleinloggenjavascriptmitmmobielontspanning

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!