パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Google、WebViewからのOAuth認証リクエストをブロックへ」記事へのコメント

  • by Anonymous Coward

    まず「WebViewからの認証がブロックされた」ことを開発者でなくユーザーが理解しないとほとんど意味がない
    たとえば悪意あるアプリがWebView経由でGoogleログインに偽装した画面を表示し、GoogleのIDとパスワードを剽窃する行為を防ぐには「WebViewとはどんな画面か」「そこにGoogleのID等をいれてはいけない」という事情をユーザー側が理解しないと結局防げないだろう
    真っ当なアプリがWebViewを使わない仕様に変わったところで、それがどういう事情に根ざしてるかユーザーが理解しないでいれば、結局はID剽窃目的のアプリのカモにされうる、というリスクは殆ど変わらないわ

    • 地道に習慣を根付かせていくんじゃないですかね。
      わかりやすいルールであれば、より根付きやすい。
      ブラウザ経由であれば、一般的なブラウザ利用上の理解が通用するわけで、別途ルールを覚える必要がない。

      サイト側が実施する従来からのセキュリティ上の配慮にしたって、必ずしもユーザーに広く理解されているとは限りませんよね。

      中間者攻撃でログインフォームが改竄される可能性があるからと、サイトはログインフォームの段階からHTTPSで用意していても、理解のないユーザーは、HTTPアクセス時に改竄で挿入された偽ログインフォームを使ってしまうかもしれません。
      偽サイトによるフィッシングが判別しやすいようにと、サイトは一貫したドメイン名を使っていても、理解のないユーザーは、似ているだけの、あるいは似てもいないドメイン名の偽サイトを使ってしまうかもしれません。

      だからといって、これらに意味がないとはされていないはずで。
      HTTPSとドメイン名、最低限のこの2つのルールだけはどうにか覚えて、どうにか確認してウェブを利用してほしいと。

      • by Anonymous Coward

        マジ迷惑です。

        ユーザーにとっては、PokemonGOの認証がこの仕様になって、
        会社のメールアカウントでログインしているつもりが
        勝手に個人のメールボックスにはや代わりしていたりして、
        混乱の元にしかなっていません。

        Googleは勝手に個人IDと統合しようとする癖があるので、
        管理者側も被害者にしかならないと思うので、やめてほしい。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...