Pagine di login Oauth ospitate dall'app: cosa impedisce la contraffazione?

Esiste una RFC che si rivolge specificamente a oauth2 nelle app native: link

Tiene presente che l'app utilizza il browser del sistema operativo (Safari / Chrome) anziché mostrare la finestra di accesso in una visualizzazione web o gestire le credenziali nell'app.

In questo, tuttavia, è in gran parte utile addestrare l'utente a come dovrebbe apparire un login, piuttosto che fornire controlli specifici per impedire che l'app si comporti in modo anomalo.

Normalmente su applicazioni desktop o mobili se hai già effettuato l'accesso e hai una sessione non ti verrà richiesta una password, devi solo selezionare un account / utente. Questo normalmente accade con i login social come Facebook e Google.

Sui siti web desktop la nuova finestra visualizza ancora l'URL che tenta di connettersi, devi solo stare attento e controllare che se non hai una sessione (già loggato, come Google / Facebook).

Ci sono alcuni casi come l'applicazione OSX Mail, che integrano l'autenticazione di Google direttamente nella loro app, senza che tu possa confermare che si tratta di una pagina di google e non di una pagina dannosa. In questi casi, l'unico modo è affidarsi all'app.

Se disponi di una password univoca per ogni accesso social, l'autenticazione 2FA può costituire una barriera molto strong nel caso in cui si digiti la password in un sito Web / app dannoso.