谷歌将于6月开始阻止嵌入式浏览器框架的登录

根据威瑞森的报告，网络钓鱼——一种用伪装的恶意网页和电子邮件攻击个人数据的方案——占2016年所有网络攻击的70%以上。为了打击他们，谷歌去年宣布，将要求用户在谷歌账户登录期间启用JavaScript，以便它可以运行攻击检测风险评估，而今天，该公司表示将开始阻止所有签名——从6月份开始，在嵌入式浏览器框架(如Chromium Embedded Framework)中的ins。

对于不熟悉的嵌入式浏览器框架，开发者可以在自己的应用中加入基本的网页浏览功能，使用HTML、CSS、JavaScript等Web语言来创建这些应用的界面(或部分界面)。它们通常是跨平台的——Chromium嵌入式框架运行在Linux、Windows和macOS上——它们支持一系列语言绑定。

“我们一直在努力改善我们的网络钓鱼保护，以确保您的信息安全，”帐户安全产品经理乔纳森斯凯尔在一篇博客文章中写道。“这是现有保护措施(如安全浏览警告、Gmail垃圾邮件过滤器和帐户登录质询)之外的又一层保护。”

随着这一变化，谷歌专门针对中间人(MITM)攻击，据说这种攻击特别难以从嵌入式浏览器框架等自动化平台中发现。MITM实时拦截用户和服务器之间的数据交换以收集凭据——谷歌无法区分合法登录尝试的行为。

作为嵌入式浏览器框架的替代方案，Google建议开发人员使用基于浏览器的OAuth认证，这使得用户能够查看他们输入凭据的页面的完整地址。“如果你是一名应用程序需要访问谷歌账户数据的开发者，请立即改用基于浏览器的OAuth认证，”Skelker说。

在今天发布的大约两年后，谷歌使用web view或移动应用捆绑浏览器来限制登录。在2月份的相关开发中，谷歌表示，它正在积极测试Gmail中改进的钓鱼和恶意软件过滤模型，并声称现在每天阻止超过1亿条垃圾邮件。