Mejorar la seguridad del usuario en los procesos de OAuth a través de las nuevas restricciones del esquema URI personalizado de OAuth

OCT 02, 2023
Vikrant Rana Product Manager

Se sabe que los esquemas URI personalizados de OAuth 2.0 son vulnerables a los ataques de suplantación de aplicaciones. Como parte del compromiso continuo de Google con la seguridad de los usuarios y la búsqueda de formas que permitan hacer que el uso de aplicaciones de terceros que acceden a los datos de los usuarios de Google sea más seguro, restringiremos el uso de métodos de esquema URI personalizados. Ya no se permitirán para las nuevas extensiones de Chrome y, de forma predeterminada, no serán compatibles con las apps de Android.

Método de redireccionamiento del esquema URI personalizado para las nuevas extensiones de Chrome no permitido

Para proteger a los usuarios de los actores maliciosos que podrían hacerse pasar por extensiones de Chrome y robar sus credenciales, dejamos de permitir que las nuevas extensiones utilicen los métodos de esquema URI personalizado de OAuth. En su lugar, implementa OAuth con la Chrome Identity API, una forma más segura de ofrecer una respuesta de OAuth 2.0 a tu aplicación.

¿Qué deben hacer los desarrolladores?

Se requerirán nuevas extensiones de Chrome para usar el método de Chrome Identity API a la hora de procesar la autorización. Si bien las configuraciones de cliente de OAuth existentes no se ven afectadas por este cambio, te recomendamos que las migres al método Chrome Identity API. Es posible que, en el futuro, no permitamos los métodos de esquema URI personalizados y requiramos que todas las extensiones utilicen el método Chrome Identity API.

Deshabilitar de forma predeterminada el método de redireccionamiento del esquema URI personalizado para clientes de Android

De forma predeterminada, las nuevas apps de Android ya no podrán usar esquemas URI personalizados para realizar solicitudes de autorización. En su lugar, considera usar el SDK para Android de servicios de identidad de Google a fin de que la respuesta de OAuth 2.0 se entregue directamente a tu aplicación.

¿Qué deben hacer los desarrolladores?

Recomendamos cambiar las aplicaciones existentes para usar el SDK para Android de servicios de identidad de Google. Si te encuentras creando una nueva aplicación y la alternativa recomendada no se adapta a tus necesidades, puedes habilitar el método de esquema URI personalizado para tu aplicación en la sección "Configuración avanzada" de la página de configuración del cliente en la consola de API de Google.

Mensaje de error para el usuario

Es posible que los usuarios vean un mensaje de error de "solicitud no válida" si intentan usar una aplicación que realiza solicitudes no autorizadas mediante el método de esquema URI personalizado. Se puede obtener más información sobre este error al hacer clic en el enlace "Más información" del mensaje de error.

Chrome-Identity-API-release-2
Ejemplo de error para el usuario

Mensaje de error para el desarrollador

Los desarrolladores podrán ver información adicional sobre el error al probar los flujos de usuarios de sus aplicaciones. Se puede obtener más información sobre el error al hacer clic en el enlace "ver detalles del error", incluso la causa raíz y los enlaces a las instrucciones sobre cómo resolver el error.

2
Ejemplo de error para el desarrollador