谷歌為何要禁用通過嵌入式瀏覽器框架的登錄方式？

去年年底的時(shí)候，谷歌強(qiáng)制要求用戶在其瀏覽器上啟用 JavaScript 來登錄賬戶，以便能夠?qū)崟r(shí)評(píng)估相關(guān)的風(fēng)險(xiǎn)。

這項(xiàng)措施的終極目標(biāo)，旨在保護(hù)用戶免受網(wǎng)絡(luò)釣魚攻擊 —— 當(dāng) Google 的安全系統(tǒng)檢測到可疑活動(dòng)時(shí)，此舉有助于阻止高風(fēng)險(xiǎn)的登錄過程。

隨著形勢變得愈加嚴(yán)峻，谷歌產(chǎn)品經(jīng)理 Jonathan Skelker 在一篇博客文章中宣布：從 2019 年 6 月份起，該公司將不再允許通過嵌入瀏覽器框架的登錄行為。

據(jù)悉，此舉旨在解決某種類型的網(wǎng)絡(luò)釣魚（亦稱“中間人攻擊”/ MITM）。

近年來，其構(gòu)成的威脅已日益嚴(yán)重。簡而言之，別有用心者可借助中間人攻擊來攔截通訊雙方的實(shí)時(shí)信息傳遞。

這家搜索巨頭承認(rèn)，當(dāng)在嵌入式瀏覽器框架（如 Chromium Embedded Framework）上進(jìn)行驗(yàn)證時(shí)，風(fēng)控系統(tǒng)很難發(fā)現(xiàn)這種類型的攻擊。除了移除這種框架，該公司別無選擇。

此前，谷歌還宣布過其他打擊網(wǎng)絡(luò)釣魚工具的舉措。比如 2017 年 5 月的時(shí)候，該公司加強(qiáng)了反網(wǎng)絡(luò)釣魚和垃圾郵件工具，聲稱可實(shí)現(xiàn) 99.9% 的檢出率。

當(dāng)月早些時(shí)候，針對(duì)通過 Google Docs 文件進(jìn)行網(wǎng)絡(luò)釣魚詐騙的問題，該公司還更新了其 Web Apps 的審核流程。