Re:意味あるか？ (#3072914) | Google、WebViewからのOAuth認証リクエストをブロックへ

「Google、WebViewからのOAuth認証リクエストをブロックへ」記事へのコメント

記事ページを表示すべてのコメント取得

検索17コメント Log In/Create an Account

意味あるか？ (スコア:1)

by Anonymous Coward

まず「WebViewからの認証がブロックされた」ことを開発者でなくユーザーが理解しないとほとんど意味がない
たとえば悪意あるアプリがWebView経由でGoogleログインに偽装した画面を表示し、GoogleのIDとパスワードを剽窃する行為を防ぐには「WebViewとはどんな画面か」「そこにGoogleのID等をいれてはいけない」という事情をユーザー側が理解しないと結局防げないだろう
真っ当なアプリがWebViewを使わない仕様に変わったところで、それがどういう事情に根ざしてるかユーザーが理解しないでいれば、結局はID剽窃目的のアプリのカモにされうる、というリスクは殆ど変わらないわ
- Re: (スコア:2)
  
  by Y-taro (38255)
  
  地道に習慣を根付かせていくんじゃないですかね。
  わかりやすいルールであれば、より根付きやすい。
  ブラウザ経由であれば、一般的なブラウザ利用上の理解が通用するわけで、別途ルールを覚える必要がない。
  サイト側が実施する従来からのセキュリティ上の配慮にしたって、必ずしもユーザーに広く理解されているとは限りませんよね。
  中間者攻撃でログインフォームが改竄される可能性があるからと、サイトはログインフォームの段階からHTTPSで用意していても、理解のないユーザーは、HTTPアクセス時に改竄で挿入された偽ログインフォームを使ってしまうかもしれません。
  偽サイトによるフィッシングが判別しやすいようにと、サイトは一貫したドメイン名を使っていても、理解のないユーザーは、似ているだけの、あるいは似てもいないドメイン名の偽サイトを使ってしまうかもしれません。
  だからといって、これらに意味がないとはされていないはずで。
  HTTPSとドメイン名、最低限のこの2つのルールだけはどうにか覚えて、どうにか確認してウェブを利用してほしいと。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    「ブラウザ経由なら」という点に誤解がある
    従来は偽ログインページをWebViewで表示させていたのを、偽Androidブラウザを作って表示させる仕様にされたら、たとえ「認証はブラウザから」というのが普及しても騙される可能性が高いから。
    なにせ偽ブラウザだからURL表示はいくらでも誤魔化せるしね。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      アプリを偽造出来るところまで侵入されていたらどのみちアウトのような気が。
      - Re:意味あるか？ (スコア:0)
        
        by Anonymous Coward on 2016年08月31日 10時55分 (#3072914)
        
        このストーリー、もともとアプリからGoogleアカウントに紐付けるためのログインにWebViewを使うや否やという話だと思うけど？
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Google、WebViewからのOAuth認証リクエストをブロックへ More ログイン

「Google、WebViewからのOAuth認証リクエストをブロックへ」記事へのコメント

意味あるか？ (スコア:1)

Re: (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re:意味あるか？ (スコア:0)

スラド