Al iniciar sesión en sitios web utilizando el inicio de sesión federado, es fácil verificar que el sitio en el que estoy ingresando mis credenciales en el sitio del proveedor de identidades vea la barra de direcciones y se asegure de que el certificado sea válido.
Sin embargo, en muchas aplicaciones, las credenciales se solicitan directamente en la aplicación. Si bien la probabilidad de que una aplicación de transmisión de YouTube esté tratando de enganchar mis credenciales es baja, sigue siendo desconcertante y hasta ahora no he estado dispuesto a iniciar sesión en estas aplicaciones.
Suponiendo que la aplicación está utilizando las API adecuadas, ¿existe una buena manera de validar la seguridad del formulario de credenciales?