Peningkatan keamanan pengguna di alur OAuth melalui pembatasan skema URI Kustom OAuth yang baru

OKT 02, 2023
Vikrant Rana Product Manager

Skema URI Kustom OAuth 2.0 diketahui rentan terhadap serangan peniruan identitas aplikasi. Sebagai bagian dari komitmen berkelanjutan Google terhadap keselamatan pengguna dan pencarian cara untuk menjadikan penggunaan aplikasi pihak ketiga yang mengakses data pengguna Google lebih aman, kami akan membatasi penggunaan metode skema URI kustom. Metode skema tersebut tidak akan diizinkan untuk ekstensi Chrome baru dan tidak lagi didukung untuk aplikasi Android secara default.

Melarang metode pengalihan skema URI Kustom untuk Ekstensi Chrome baru

Untuk melindungi pengguna dari pelaku jahat yang mungkin meniru ekstensi Chrome dan mencuri kredensial mereka, kami tidak lagi mengizinkan ekstensi baru menggunakan metode skema URI Kustom OAuth. Sebagai gantinya, terapkan OAuth menggunakan Chrome Identity API, cara yang lebih aman untuk memberikan respons OAuth 2.0 ke aplikasi Anda.

Apa yang perlu dilakukan developer?

Ekstensi Chrome baru akan diperlukan untuk menggunakan metode Chrome Identity API untuk autorisasi. Meskipun konfigurasi klien OAuth yang ada tidak akan terpengaruh oleh perubahan ini, kami sangat menyarankan Anda untuk memigrasikannya ke metode Chrome Identity API. Ke depannya, kami mungkin melarang metode skema URI Kustom dan mengharuskan semua ekstensi menggunakan metode Chrome Identity API.

Menonaktifkan metode pengalihan skema URI Kustom untuk klien Android secara default

Secara default, aplikasi Android baru tidak lagi diizinkan menggunakan skema URI Kustom untuk membuat permintaan autorisasi. Sebagai gantinya, pertimbangkan untuk menggunakan Google Identity Services untuk Android SDK untuk mengirimkan respons OAuth 2.0 langsung ke aplikasi Anda.

Apa yang perlu dilakukan developer?

Kami sangat menyarankan untuk mengganti aplikasi yang ada menggunakan Google Identity Services untuk Android SDK. Jika Anda membuat aplikasi baru dan alternatif yang disarankan tidak sesuai dengan kebutuhan Anda, Anda dapat mengaktifkan metode skema URI Kustom untuk aplikasi Anda di bagian “Advanced Settings” pada halaman konfigurasi klien di Konsol API Google.

Pesan error yang ditampilkan kepada pengguna

Pengguna mungkin melihat pesan error “invalid request” jika mencoba menggunakan aplikasi yang membuat permintaan tidak sah menggunakan metode skema URI Kustom. Pengguna dapat mempelajari lebih lanjut tentang error ini dengan mengklik link "Learn more" di pesan error.

Chrome-Identity-API-release-2
Contoh pesan error yang ditampilkan kepada pengguna

Pesan error yang ditampilkan kepada developer

Developer akan dapat melihat informasi error tambahan saat menguji alur pengguna untuk aplikasi mereka. Mereka dapat memperoleh informasi lebih lanjut tentang error tersebut dengan mengklik link “see error details”, termasuk akar permasalahannya dan link ke petunjuk tentang cara mengatasi error tersebut.

2
Contoh error yang ditampilkan kepada developer