Googles Entwickler arbeiten ständig daran, die Konten der Nutzer weiter abzusichern und alle Eventualitäten auszuschließen, mit denen die Accounts der Nutzer angegriffen werden könnten. Im Zuge dessen wird es in den kommenden Monaten eine weitere Maßnahme geben, die den Login-Prozess absichern soll. Ab Juni wird es nicht mehr möglich sein, den Login über ein eingebettetes Formular durchzuführen.
Interessanterweise arbeiten Googles Ingenieure in zwei Richtungen, die sich aber in der Praxis nicht unbedingt widersprechen müssen: Einerseits soll der Login immer sicherer werden und andererseits soll es für den Nutzer auch komfortabler werden. Dazu wurde erst vor wenigen Tagen die Möglichkeit geschaffen, das Smartphone als Sicherheitsschlüssel zu verwenden, das dann den separaten Hardware-Schlüssel ersetzt.
Um die Sicherheit der Nutzerkonten weiter zu steigern, werden Googles Server ab Juni den Login über eingebettete Formulare (auch über das Chrome Embedded Framework) nicht mehr akzeptieren. Da diese Methode häufig bei Man-in-the-Middle Attacken bzw. Phishing zum Einsatz kommt und es bessere Alternativen gibt, ist das ein logischer Schritt, um den Nutzer zu schützen. Stattdessen empfiehlt Google Entwicklern die Nutzung des browserbasierten OAuth.
Für Nutzer bedeutet diese Änderung, dass möglicherweise einige ältere Apps nicht mehr funktionieren werden bzw. den Login in das Google-Konto nicht mehr durchführen können. Moderne Apps hingegen sollten entweder nicht betroffen sein bzw. werden von den Entwicklern mit etwas Glück noch rechtzeitig aktualisiert.
Erst im vergangenen Jahr hatte Google den Login dahingehend geändert, dass JavaScript zwingend aktiviert sein muss, damit noch vor dem Login eine Risiko-Analyse stattfinden kann.
» Ankündigung im Google Security-Blog
Siehe auch
» Zu große Sicherheitsbedenken: Apple und Mozilla sträuben sich gegen Googles ‚falsche‘ AMP-URLs