¿Cómo se supone que debo verificar el origen de una página de inicio de sesión en una vista web? [duplicar]

4

Simplemente tuve que iniciar sesión en mi cuenta de Google en una aplicación de iPhone. Es un tercero, que solo usa la cuenta de Google para la autenticación. La conocida página de inicio de sesión de Google apareció en lo que se conoce como "vista web", es decir, un navegador que está integrado en la aplicación. El problema que estoy viendo aquí es que no veo la URL que se está cargando en la vista web. Podría ser una página en un dominio completamente diferente que se parece a la página de inicio de sesión de Google. Incluso si muestra una URL, no puedo estar seguro de que realmente sea lo que dice ser, porque puedes hacer que parezca que carga google.com incluso si no lo hiciera. ¿No debería cargarse la página de inicio de sesión en el navegador del sistema real, en el que confío y donde puedo ver la URL y el certificado, y luego, de alguna manera, redirigir a la aplicación?

La única forma en la que puedo pensar es mediante la instalación de MITMProxy en mi computadora y ver el tráfico al iniciar sesión para confirmar que mi contraseña solo se transmite a Google. Aunque eso no es muy práctico.

¿Existe una práctica mejor que el inicio de sesión a través de la vista web para aplicaciones (iPhone)?

    
pregunta eikes 29.09.2015 - 00:09
fuente

2 respuestas

0

Lamentablemente, así es como está el triste estado de Internet. Con el inicio de sesión único, es cómo funciona. La única forma de asegurarse de que no haya ninguna descarga lateral del inicio de sesión es vincular el envío de datos con el host remoto, incluso si existe un grupo de envíos salientes.

    
respondido por el Munchen 27.03.2016 - 22:47
fuente
-1

A falta de monitorizar la conexión, no puedes. La vista web podría ser fácilmente reemplazada por el servidor de conexión. Es por esto que es importante que solo otorgue acceso API a las aplicaciones en las que confía.

    
respondido por el Stephen P. 29.09.2015 - 01:28
fuente

Lea otras preguntas en las etiquetas