I wrapper del browser nel software sono dannosi per gli utenti?

Naviga le tue risposte
15

In questi giorni vedo molti wrapper del browser nel software. Ad esempio:

  • quando acquisti qualcosa nell'applicazione desktop di Steam e utilizzi PayPal, inserisci i tuoi dati di sicurezza PayPal nel frame del browser fornito da Steam.
  • quandoaccediall'appdesktopFigmaconGoogle,inserisciletuecredenzialiGoogleinunbrowserfornitodall'appdesktopFigma

Come fidarmi del mio browser, mi fido di queste applicazioni per non rovinare il sito web o il frame in alcun modo. Ad esempio, l'iniezione di javascript, che mostra una pagina di phishing, mostra HTTPS quando non c'è una connessione sicura.

Ciò di cui sono preoccupato è che gli utenti si abituino a questo tipo di presentazione. Sono esposti a questi tipi di wrapper del browser che potrebbero dare loro l'idea che sia giusto fidarsi di questi tipi di wrapper e inserire liberamente qualsiasi tipo di informazione lì. Non sapere che le applicazioni dirottate o dannose potrebbero indurre gli utenti a rinunciare ai loro dettagli.

Domanda: mi manca qualcosa qui o è una tendenza che deve essere fermata? (e invece serve solo pagine web nel browser web preferito degli utenti)

    
posta timothywalter 08.11.2018 - 18:16
fonte

3 risposte

3

I wrapper Web all'interno di un'app sono diventati abbastanza comuni tra le applicazioni e non cambieranno molto presto. Le seguenti misure saranno utili per proteggere l'account usato qui

  1. Accedi senza password : ad esempio, Google ti consente di accedere tramite il tuo telefono, Microsoft ti consente di autenticarti dalla sua app di autenticazione. Ciò impedirà a chiunque rintraccia la tua password.
  2. Utilizza l'autenticazione a due fattori : anche se la password inserita è compromessa, il tuo account sarà al sicuro.
  3. Non riutilizzare la password di questo account altrove.
  4. Cambia password frequentemente (almeno una volta in sei mesi).

is this a trend that needs to be put to halt?

Mentre il popup wrapper porta in sé una bella esperienza utente, ci sono alcune cose allarmanti come nascondere la barra degli indirizzi. Gli sviluppatori devono davvero smettere di nascondere l'URL nei prompt di autenticazione. Come faccio a sapere che sono nel sito giusto.

Risposta ai commenti

but that isn't any different from any web browser.

Non puoi nascondere la barra degli URL nei popup del browser moderno. [1]

Riferimenti

  1. StackOverflow - Nascondere la barra degli indirizzi nel browser
risposta data 04.12.2018 - 11:47
fonte
0

Per rispondere alla tua domanda, devi sapere come è implementato ...

Pensiamo in Steam-way : come implementerei questo tipo di autenticazione in un desktop, probabilmente app C / C ++ / Java? Per l'autenticazione dell'account Google, farò affidamento sui consigli di google. Dopo un po 'google, sembra che questo sia il ufficiale modo di autenticarsi usando Google per C ++ (quindi, credo, per app desktop). Immagino che lo stesso tipo di SDK sia disponibile per altri provider di autenticazione (Facebook, ...).

Gli interni sottostanti sono ora nelle mani di questo fornitore di autenticazione: se si sentissero a loro agio con questo meccanismo, allora credo che dovresti farlo anche tu. Se domani, in questo modo (alias browser wrapper) diventerà una vera minaccia, allora probabilmente cambieranno l'implementazione in qualcos'altro.

La vera minaccia, infatti, è che l'applicazione che hai citato è un'applicazione nativa che può accedere all'API di disegno di Windows a basso livello. Grazie a queste funzionalità, diventa facile imitare un browser Web e far sentire l'utente che sta utilizzando un'istanza di Chrome protetta, protetta da https.

Quindi sì, secondo me, questa è chiaramente una pratica che non dovrebbe essere incoraggiata ...

Di solito, questo tipo di applicazione offre la possibilità di creare un account dedicato sulla loro piattaforma, questa è, a mio avviso, l'opzione migliore.

    
risposta data 03.01.2019 - 20:13
fonte
0

Dal punto di vista tecnico, c'è anche il rischio che i browser incapsulati non ricevano patch [tempestive]. Quando gli sviluppatori impacchettano il motore del browser alla loro applicazione, spetta agli autori di ciascuno di spingere i suoi aggiornamenti.

È negativo che i browser incapsulati siano spinti attivamente da OAuth2.

    
risposta data 08.01.2019 - 15:22
fonte

Leggi altre domande sui tag

Esiste un elenco di "utenti" predefiniti, standard o di terze parti per Oracle? Qual è il modo migliore per distribuire le password a una base di dipendenti diversificata?