Google Chrome에서 Google로 로그인하기

 (underpassapp.com)
1P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • 웹사이트 방문 시 많은 곳에서 “Sign in with Google” 배너가 표시됨
  • Safari나 Firefox와 달리 Google Chrome에서는 이 배너가 나타나지 않음
  • Chrome은 대신 “One Tap” 대화상자라는 별도의 사용자 인터페이스를 사용함
  • 이 대화상자는 웹 페이지 요소가 아니라 브라우저 네이티브 UI임으로, 일부 확장 프로그램에서 숨길 수 없음
  • Chrome 설정에서 “Block sign-in prompts from identity services” 를 선택해 이 대화상자 비활성화 가능

Sign in with Google에 대한 전체 요약

Google로 로그인 배너 현상

  • Yelp와 같은 많은 웹사이트에서 “Sign in with Google” 배너가 나타나 사용자 경험에 방해가 되는 현상임
  • Google에서는 이 기능을 One Tap 사용자 경험이라 명명함
  • StopTheMadness Pro와 같은 일부 브라우저 확장 프로그램에서는 이 배너를 숨겨줄 수 있음

Chrome, Safari, Firefox의 차이점

  • SafariFirefox 사용자는 이러한 배너를 직접적으로 볼 수 있음
  • 하지만 Google Chrome에서는 이러한 배너가 기본적으로 표시되지 않음
  • Safari의 웹 개발자 기능을 이용해 User-Agent를 Chrome으로 변경하면, Safari에서도 배너가 사라짐

Chrome의 별도 “One Tap” 대화상자

  • Chrome은 웹 페이지 요소가 아닌 자체 네이티브 UI로 One Tap 대화상자를 표시함
  • 이 대화상자는 StopTheMadness Pro 등 브라우저 확장 프로그램으로 숨길 수 없음
  • 대화상자가 표시되는 동안, 모든 Chrome 확장 프로그램 팝업 역시 차단

Chrome 설정에서의 비활성화 방법

Google 브라우저의 자사 우대 논란

  • 이 구조는 Google이 자사 Chrome 브라우저에 우위를 주는 사례로 볼 수 있음
  • 타 브라우저에서는 사용자가 원치 않는 배너를 피하기 어렵기 때문임
GN⁺ 2일전  [-]
Hacker News 의견

  • 포르노 사이트 같은 곳에서도 이런 팝업이 나타나는 건 솔직히 너무 침해적임을 느꼈음, 특히 모든 방문 때마다 거의 전체화면으로 등장하는 Google 로그인 팝업에 정말 놀랐음, 익명 모드로 들어가면 매번 새 세션이니 더 자주 나타남, Reddit에서 조차 이런 제3자 팝업 때문에 사용자 경험이 망가지는 게 이해가 안 됨, 만약 Facebook, GitHub 등 다른 사이트도 다 따라 하면 한 번에 배너 4개를 닫아야 할 판임, 아마 많은 사람이 프라이버시 확장 기능을 쓰지 않아 Reddit이 계속 사용자 추적 및 일회성 닫기 저장이 가능한 듯, 혹시 이런 팝업이 실제로 재방문 이용자 감소에 영향을 줄지 아는 사람 있는지 궁금함

    • 이런 팝업은 어느 사이트든 심각하게 침해적임을 느낌, Google 같은 회사가 내가 제공하는 모든 개인정보를 수집해 내 삶의 거의 모든 측면에 대한 개인 프로필을 구축한다는 사실을 계속 상기시켜줌

    • Google One Tap 덕분에 내 SaaS 웹 앱의 신규 가입자가 하룻밤 사이 8배 늘어남, 앱의 최소 기능은 계정 없이 쓸 수 있지만 가입 시 혜택을 받고 이메일로 사용자와 소통할 수 있는 루트도 열림, 그러니 사용자와 회사 모두에게 이득일 수 있다고 생각함

    • 개인적으로 포르노 사이트 접속시에는 그와 비슷한 사이트들에만 로그인 상태를 유지함, 그 기능을 옹호하는 건 아니지만 최소한 상식적으로 비판적으로 접근하길 바람, 내가 모바일에서 이 팝업을 제일 싫어하는 이유는 사이트 로딩 직후(0.5~2초) 바로 손가락 밑에 떠서 실수로 누르게 되고, 정보가 바로 공유되어 되돌릴 방법이 전혀 없기 때문임, 데스크톱서도 싫지만 모바일에선 콘텐츠를 완전히 가리니 실수로 더 쉽게 눌릴 수 있음, 이걸 Google 계정 혹은 Google Workspace에서 끌 수 있었던 걸로 기억함, 다른 이유도 많음, Apple이나 Firefox, Microsoft, Meta 등 주요 아이디 제공업체들도 이걸 제안할 수 있겠지만, 그렇게 되면 Sign in with Google, Apple, Facebook, Microsoft, Firefox 등 5개 팝업이 동시에 뜨는 사태가 생길 것임, 이런 점에서 공유지의 비극 현상 같음, 그래도 쉽고 빠른 가입, 로그인은 매력적이긴 해서 프라이버시에 집중한 Web API가 있다면 나쁘지 않다고 생각, 하지만 구글 특유의 팝업은 없애거나 금지됐으면 함

    • 포르노 사이트 등에서의 팝업? 솔직히 이런 서비스는 팝업, 광고, 클릭재킹 등 온갖 방해 요소가 있어도 컨텐츠가 충분히 매력적이면 사용자는 결국 계속 방문하기 마련임을 보여줌

    • 그래서 나는 Meta와 Google이 웹에서 권력이 너무 막강한 문제적 플레이어라고 보고, 중립/보유 입장으로 주식을 가지고 있음

  • Chrome에서 나타나는 경험은 Federated Credential Management(이하 FedCM)라는 새로운 표준에 기반함, 브라우저가 매개가 되어 ID 제공자와 웹앱이 필요한 정보를 주고받으면서도 인터넷상의 트래킹을 방지하는 방식임, 이 주제로 글을 쓰고 있음, 더 관심 있으면 최근 인증 컨퍼런스 영상(https://m.youtube.com/watch?v=FBAD4x7MWdI) 참고 바람(참고로 내가 진행함), 표준은 활발히 개발 중이고 Firefox도 도입 예정, Edge는 이미 지원 중임, ID 제공자 피드백 기다리는 중, 더 정보(https://github.com/w3c-fedid/FedCM), 매주 화요일 모임도 열림

    • Mozilla가 정식으로 동의한 건 아닌데 공식 표준 포지션은 중립적임(https://mozilla.github.io/standards-positions/#fedcm), 관련 이슈 트래커에서 관심을 보이지만 여러 우려도 적혀 있음(https://github.com/mozilla/standards-positions/issues/618), Apple은 3년 전에 애매하게 관심 있다고 했으나 더 진전된 입장은 없음(https://github.com/WebKit/standards-positions/issues/309), 이후 입장 변화가 있었는지 궁금함

    • 이게 새로운 표준이라면 업계 전반의 지지가 있어야 맞다고 봄, 그런데 깃허브 참여자(https://github.com/w3c-fedid/FedCM/graphs/contributors)를 보면 대부분 Google 소속임

    • 기본적으로 이메일 주소 공유를 차단할 수 있으면 좋겠음, Google 로그인 쓸 때마다 내 동의 없이 사이트/앱이 스팸 메일을 보내는 게 너무 빈번하게 발생함, 이런 이유로 나는 Google 로그인을 아예 안 씀, 이유는 스팸 때문임

    • 약간 OpenID(지금은 사라짐)를 떠올리게 하는데, 이번엔 브라우저 네이티브로 통합된 점이 다름

    • "계속하려면 Google.com이 이름, 이메일, 프로필 사진을 공유하겠다"는 메시지가 있는데, 이게 어떻게 '프라이버시 보장 현대 표준'과 양립 가능한지 궁금함, 전혀 프라이버시 친화적으로 보이지 않음

  • 팝업 때문에 여러 번 잘못 눌러서 신뢰하지 않는 제3자에게 내 PII(개인 식별 정보)가 내 동의 없이 전송되어버림, 이건 범죄에 가까운 일이라고 생각함

    • 참고로, uBlock Origin에서 아래 필터를 적용하면 문제를 해결할 수 있음:

      ||accounts.google.com/gsi/iframe
##iframe[src^="http://accounts.google.com/gsi/iframe";]
##iframe[src^="https://accounts.google.com/gsi/iframe";]
##iframe[src^="//accounts.google.com/gsi/iframe"]
###credential_picker_container

      출처: stackoverflow, 마지막 규칙은 팝업이 보여지지 않아도 내용을 막는 용도로 내가 추가함

    • 잘못 눌렀다고 너무 걱정 안 해도 됨, 어차피 Google은 웹페이지가 로딩될 때 이미 방문정보를 추적함, Google One Tap은 여기 가이드처럼 구글 서버에서 script 태그로 작동함

    • 이 팝업을 uBlock으로 몇 년째 차단해왔음

    • 이 스레드를 PM들이 꼭 읽었으면 좋겠음, 트레이드오프 판단을 잘못했다고 생각함

    • Google 계정을 삭제하면 이런 문제가 아예 생기지 않음

  • 이건 FedCM API를 말하는 듯(https://developer.mozilla.org/en-US/docs/Web/API/FedCM_API), Google 말고도 타 업체 지원이 가능하지만 아직 실제 구현은 없음, Google's One Tap library가 새로운 api를 쓰고, 미지원 브라우저에선 기존 팝업으로 대체됨, Chrome에선 "sign in with google.com"이 뜨고 보통 One Tap에선 "sign in with Google"이 뜨는 차이가 있음, Mozilla도 개발 진행 중이지만 시스템이 복잡해서 시간이 걸릴 듯, 인기 많아지면 Safari도 추가할 걸로 예상함

    • 나 FedCM 미팅 참석함, Firefox 쪽 담당 개발자가 꾸준히 참여 중, Safari 팀이 "괜찮은 아이디어 같다, 검토하겠다"라고 한 포스팅 몇 개 봤으나 그 이후 별 액션은 포착 못 함, Edge는 이미 지원 중이고, 다른 Chromium 계열 브라우저에도 비교적 도입이 쉬움

    • 대체 대책이 무엇인지 궁금함, 3rd party 쿠키가 이미 차단/퇴출됐을텐데 gsi 스크립트가 어떻게 Google 세션 정보를 받아오는 건지 궁금함

  • 정말 의아한 점은 이 팝업이 DOM 구조 일부가 아니라 브라우저가 페이지 위로 직접 그려올린다는 점임, 만약 브라우저 툴바 같은 곳에 들어있었다면 신경 안 썼겠는데, 페이지 콘텐츠를 가려버리는 건 명백히 독점 금지 소송감임, 이 팝업 때문에 6개월 전 Chrome을 떠나 Brave로 넘어옴, chrome://settings/content/federatedIdentityApi와 내 구글 계정 세팅 양쪽에서 꺼도 결국 계속 띄워짐

    • 독점행위 소송 운운에 대해, 다른 댓글을 참고하면 사실 이건 오픈 스탠다드이고 Google뿐 아니라 여러 신원 제공업체에 개방된 구조임(관련 설명)

  • ||accounts.google.com/gsi/*$xhr,script,3p
    이 UBO 필터로 전부 차단 가능함, 혹은 "annoyances" 리스트 활성화하면 쿠키 배너 등 귀찮은 것도 숨김, 노스크립트도 추가 추천함

    • 노스크립트는 uBlock Origin을 쓰면 사실상 중복임, 자세한 비교는 여기 참고 바람

  • 다수와 달리 나처럼 이걸 좋아하는 사람 있음, 회원가입 절차가 너무 귀찮고 못 만든 경우가 많기 때문에 이를 건너뛰는 경험이 마음에 들었음

  • Safari나 Firefox를 쓸 땐 이 배너가 안 뜬다는 점을 알지 못하는 경우가 많음, 그래서 많은 사이트가 괜찮다고 느끼는 걸지도 모름, 법원이나 반독점 규제 기관이 이런 사례를 주시해야 함, Google이 Chrome을 통해 자사 브라우저에 유리하게 할 뿐 아니라 SSO/데이터 수집 플랫폼에서도 자신들에게 유리하게 만드는 대표적인 예임

  • 웹사이트 콘텐츠 영역 위에 오버레이를 띄우는 걸 금기시한다고 알고 있었는데, 왜냐하면 누구나 HTML/CSS로 그럴듯하게 가짜 다이얼로그를 만들고 악용할 수 있기 때문임

  • ‘Sign in with Google’ 프롬프트가 매우 싫음, 실수 혹은 무심결에 눌러 내 이메일 주소와 신원이 신뢰하지 않는 임의의 웹사이트에 공유될까봐 걱정됨, 브라우저가 신원 관리를 해주는 아이디어는 꽤 괜찮은데, 이메일 공유 등 다른 정보까지 엮이는 현재 구현은 사용자의 실수 유도를 키워서 진정 사용자 친화적이지 않음

답변달기