Las páginas de inicio de sesión de Oauth alojadas en la aplicación: ¿qué detiene la falsificación?

Hay una RFC que se dirige específicamente a oauth2 en aplicaciones nativas: enlace

Indica que la aplicación utiliza el navegador del sistema operativo (Safari / Chrome) en lugar de mostrar la ventana de inicio de sesión en una vista web o manejar las credenciales de la aplicación.

Pero en este sentido, su objetivo principal es entrenar al usuario en el aspecto de un inicio de sesión, en lugar de proporcionar controles específicos para evitar que la aplicación se comporte mal.

Normalmente, en la aplicación de escritorio o móvil, si ya ha iniciado sesión y tiene una sesión, no se le pedirá una contraseña, solo tiene que seleccionar una cuenta / usuario. Esto normalmente ocurre con el inicio de sesión social como Facebook y Google.

En los sitios web de escritorio, la nueva ventana aún muestra la URL que intenta conectarse, solo debes tener cuidado y ver si no tienes una sesión (ya iniciada sesión, como Google / Facebook).

Hay algunos casos como la aplicación OSX Mail, que integran la autenticación de Google directamente en su aplicación, sin una forma de confirmar que realmente se trata de una página de Google y no de una página maliciosa. En estos casos, la única forma es confiar en la aplicación.

Si tiene una contraseña única para cada inicio de sesión social, tener autenticación 2FA puede poner una barrera muy fuerte en caso de que escriba su contraseña en un sitio web / aplicación malintencionada.