أصدرت مؤسسة OpenID الغير ربحية هذا الأسبوع خطاباً إلى “كريج فيدراي” نائب الرئيس الأول في إدارة هندسة البرمجيات بشركة أبل، بحجة أن نظام تسجيل الدخول الجديدة والتي كشفت عنه الشركة منذ فترة والمعروف بإسم Sign in with Apple يحمل الكثير من التشابه مع بروتوكول OpenID Connect التابع لها ولكن نظام أبل يحتوي على فجوات وثغرات قد تعرض المستخدمين لتهديدات خطيرة كما أنه غير كافي ليتم استخدامه في حماية الخصوصية والبيانات.
وأشادت المؤسسة بجهود أبل للسماح للمستخدمين بتسجيل الدخول إلى تطبيقات الهاتف الذكي والويب التابعة لجهة خارجية بإستخدام معرف أبل الخاص بهم واستهلت رسالتها بتوضيح البروتوكول الخاص بها Connect والتي وصفته بأنه بروتوكول هوية حديث تم اعتماده على نطاق واسع كما أنه يستند على بروتوكول OAuth 2.0 والذي يمكّن الجهات الخارجية من تسجيل الدخول للتطبيقات وقد تم تطويره بواسطة عدد كبير من الشركات وخبراء الصناعة داخل المؤسسة.
الثغرات بميزة أبل الجديدة
وبينما يبدو أن شركة أبل قد تبنت إلى حد كبير هذا البروتوكول من خلال النظام الجديد لتسجيل الدخول باستخدام معرف أبل Sign in with Apple إلا أن هناك مجموعة من الإختلافات بين منظومة أبل و OpenID تسببت في تقليل الأماكن “مواقع وخدمات” التي يمكن فيها استخدام نظام أبل كما أنه يُعرض المستخدمين لتهديدات بشأن الخصوصية والأمان فضلاً عن أن نظام أبل يفتقر لوجود مفتاح أو كود التفويض PKCE”” والذي قد يترك المستخدمين أمام هجمات من نوع إعادة الإرسال (replay attacks) أو من خلال البرمجة بالحقن (code injection) كما ذكرت رسالة OpenID.
بجانب كل ذلك، ترى المؤسسة أن نظام أبل الجديد يضع عبئاً غير ضرورياً على المطورين الذين يعملون مع كلاً من Connect و Sign in with Apple خاصة وأن كود الأخيرة (أبل) غير متوافق مع برنامج الإعتماد الخاص ببروتوكول OpenID Connect.
في نهاية الخطاب طلبت مؤسسة OpenID من أبل معالجة الثغرات بنظامها وأن تستخدم الحزمة الذاتية للتحقق من صحة التطبيقات SCT وطلبت المؤسسة من أبل الإنضمام لها مع العديد من الشركات الأخرى وأشهرها جوجل وفيسبوك ومايكروسوفت وباي بال وياهو وغيرها من المنظمات والشركة الأخرى.
يُذكر أن نظام تسجيل الدخول الجديد من أبل Sign in with Apple سوف يتم إطلاقه في وقت لاحق هذا الصيف بالتزامن مع إطلاق iOS 13 وتهدف أبل من تلك التقنية التركيز على مزيد من الخصوصية بدلا من السماح لمستخدميها بتسجيل الدخول عليها عبر حسابات لمواقع أخرى مثل جوجل وتويتر وفيسبوك.
هل ترى أن على أبل توحيد الجهود مع منافسيها بشأن خدمات تسجيل الدخول؟ وهل ستعيق الثغرات المذكورة إطلاق Sign in with Apple قريباً؟
المصدر:
9 تعليق