这些天来,我在软件中看到了很多浏览器包装器。例如:
就像信任我的浏览器一样,我相信这些应用程序不会以任何方式干扰网站或框架。例如注入 javascript、显示网络钓鱼页面、在没有安全连接时显示 HTTPS。
我担心的是用户习惯了这种展示方式。他们接触到这些类型的浏览器包装器可能会让他们认为可以信任这些类型的包装器并在那里自由输入任何类型的信息。不知道被劫持或恶意应用程序可能会诱使用户放弃他们的详细信息。
问题:我在这里遗漏了什么,还是需要停止这种趋势?(而只是在用户首选的网络浏览器中提供网页)
应用程序中的 Web 包装器在应用程序中变得非常普遍,并且不会很快改变。以下措施将有助于保护此处使用的帐户
这是一种需要制止的趋势吗?
虽然包装弹出窗口带来了一些不错的用户体验,但也有一些令人担忧的事情,例如隐藏位置栏。开发人员确实需要停止在身份验证提示中隐藏 URL。我怎么知道我在正确的网站上。
对评论的回应
但这与任何网络浏览器没有任何不同。
您不能在现代浏览器弹出窗口中隐藏 URL 栏。[1]
参考
要回答您的问题,需要知道这是如何实现的......
让我们以Steam 方式思考:我将如何在桌面(可能是 C/C++/Java 应用程序)中实现这种身份验证?对于 Google 帐户身份验证,我将依赖 google 的建议。在google了一下之后,看起来这是使用Google for C++进行身份验证的官方方式(所以,我猜,对于桌面应用程序)。我猜想其他身份验证提供程序(Facebook,...)也可以使用相同类型的 SDK。
底层内部现在掌握在这个身份验证提供者手中:如果他们对这种机制感到满意,那么我想你也应该这样做。如果明天,这种方式(又名包装浏览器)成为真正的威胁,那么他们可能会将实现更改为其他方式。
事实上,真正的威胁在于你提到的应用程序是一个可以访问低级 Windows 绘图 API 的本机应用程序。有了这些功能,就可以很容易地模仿网络浏览器,让用户觉得他们正在使用一个安全的、受 https 保护的 chrome 实例。
所以,是的,在我看来,这显然是一种不应该被鼓励的做法......
通常,这种应用程序提供了在其平台上创建专用帐户的可能性,在我看来,这是更好的选择。
从技术角度来看,打包的浏览器也存在未收到 [及时] 补丁的风险。当开发人员将浏览器引擎捆绑到他们的应用程序时,每个人的作者都可以推送其更新。
包装浏览器被 OAuth2 主动推送是很糟糕的。