Come posso verificare l'origine di una pagina di accesso in una visualizzazione Web? [duplicare]

4

Ho appena dovuto accedere al mio account google in un'app per iPhone. È una terza parte, che utilizza solo l'account google per l'autenticazione. La familiare pagina di accesso di Google è apparsa in una cosiddetta "visualizzazione Web", ovvero un browser incorporato nell'applicazione. Il problema che sto vedendo qui è che non vedo l'URL che viene caricato nella visualizzazione web. Potrebbe essere una pagina su un dominio completamente diverso che assomiglia alla pagina di accesso di Google. Anche se mostrasse un URL, non potrei essere sicuro che sia effettivamente ciò che pretende di essere, perché potresti semplicemente dare l'impressione che carichi google.com anche se non lo fosse. La pagina di accesso non deve essere caricata nel browser di sistema effettivo, cosa di cui mi fido e dove posso vedere l'URL e il certificato, e quindi reindirizzare in qualche modo all'app?

L'unico modo che posso pensare è installare MITMProxy sul mio computer e guardare il traffico mentre accedo per confermare che la mia password viene trasmessa solo a google. Però non è molto pratico.

Esiste una pratica migliore rispetto all'accesso tramite visualizzazione Web per le app (iPhone)?

    
posta eikes 29.09.2015 - 00:09
fonte

2 risposte

0

Sfortunatamente questo è il modo in cui lo stato triste di internet è ora. Con il single sign on, è come funziona. L'unico modo per essere sicuri che non vi sia un side offloading dell'ingresso è quello di collegare l'invio di dati con l'host remoto, acquistare anche allora potrebbe esserci un gruppo di invii in uscita.

    
risposta data 27.03.2016 - 22:47
fonte
-1

A corto di monitoraggio della connessione, non è possibile. La webview potrebbe essere facilmente sostituita dal server di connessione. Questo è il motivo per cui è importante fornire solo l'accesso API alle app di cui ti fidi.

    
risposta data 29.09.2015 - 01:28
fonte

Leggi altre domande sui tag