أصدرت مؤسسة OpenID الغير ربحية هذا الأسبوع خطاباً إلى “كريج فيدراي” نائب الرئيس الأول في إدارة هندسة البرمجيات بشركة أبل، بحجة أن نظام تسجيل الدخول الجديدة والتي كشفت عنه الشركة منذ فترة والمعروف بإسم Sign in with Apple يحمل الكثير من التشابه مع بروتوكول OpenID Connect التابع لها ولكن نظام أبل يحتوي على فجوات وثغرات قد تعرض المستخدمين لتهديدات خطيرة كما أنه غير كافي ليتم استخدامه في حماية الخصوصية والبيانات.
وأشادت المؤسسة بجهود أبل للسماح للمستخدمين بتسجيل الدخول إلى تطبيقات الهاتف الذكي والويب التابعة لجهة خارجية بإستخدام معرف أبل الخاص بهم واستهلت رسالتها بتوضيح البروتوكول الخاص بها Connect والتي وصفته بأنه بروتوكول هوية حديث تم اعتماده على نطاق واسع كما أنه يستند على بروتوكول OAuth 2.0 والذي يمكّن الجهات الخارجية من تسجيل الدخول للتطبيقات وقد تم تطويره بواسطة عدد كبير من الشركات وخبراء الصناعة داخل المؤسسة.
الثغرات بميزة أبل الجديدة
وبينما يبدو أن شركة أبل قد تبنت إلى حد كبير هذا البروتوكول من خلال النظام الجديد لتسجيل الدخول باستخدام معرف أبل Sign in with Apple إلا أن هناك مجموعة من الإختلافات بين منظومة أبل و OpenID تسببت في تقليل الأماكن “مواقع وخدمات” التي يمكن فيها استخدام نظام أبل كما أنه يُعرض المستخدمين لتهديدات بشأن الخصوصية والأمان فضلاً عن أن نظام أبل يفتقر لوجود مفتاح أو كود التفويض PKCE”” والذي قد يترك المستخدمين أمام هجمات من نوع إعادة الإرسال (replay attacks) أو من خلال البرمجة بالحقن (code injection) كما ذكرت رسالة OpenID.
بجانب كل ذلك، ترى المؤسسة أن نظام أبل الجديد يضع عبئاً غير ضرورياً على المطورين الذين يعملون مع كلاً من Connect و Sign in with Apple خاصة وأن كود الأخيرة (أبل) غير متوافق مع برنامج الإعتماد الخاص ببروتوكول OpenID Connect.
في نهاية الخطاب طلبت مؤسسة OpenID من أبل معالجة الثغرات بنظامها وأن تستخدم الحزمة الذاتية للتحقق من صحة التطبيقات SCT وطلبت المؤسسة من أبل الإنضمام لها مع العديد من الشركات الأخرى وأشهرها جوجل وفيسبوك ومايكروسوفت وباي بال وياهو وغيرها من المنظمات والشركة الأخرى.
يُذكر أن نظام تسجيل الدخول الجديد من أبل Sign in with Apple سوف يتم إطلاقه في وقت لاحق هذا الصيف بالتزامن مع إطلاق iOS 13 وتهدف أبل من تلك التقنية التركيز على مزيد من الخصوصية بدلا من السماح لمستخدميها بتسجيل الدخول عليها عبر حسابات لمواقع أخرى مثل جوجل وتويتر وفيسبوك.
هل ترى أن على أبل توحيد الجهود مع منافسيها بشأن خدمات تسجيل الدخول؟ وهل ستعيق الثغرات المذكورة إطلاق Sign in with Apple قريباً؟
المصدر:
شكرا لكم على هذا الموضوع الجميل
بالرغم إن الخدمة لا زالت تحت التجربة ولم تصدر رسمياً إلا أن هتافات الفشل تجتاز الحدود!!!
معك حق اخي الكريم
يا ناس صبرو تراها اصدار تجريبي والنظام كله اصدار تجريبي بيتا
اذا صدر للعامة وفيه مشاكل تكلمو عنها اما اهو ما صدر بشكل رسمي ليش تقولون ان فيه مشاكل
هذا المقال لا فائدة منه
ولا معنى له
فميزة ابل الجديدة هدفها
إعطاء حساب وهمي للمواقع
وقطع الطريق على جوجل وفيسبوك
وكان اجدر بالكاتب المبتدئ المغمور
ان يشرح ميزة ابل الجديدة
واهدافها بدل من النقل واللصق
من المواقع المغمورة ومن المتضررين
من خدمات ابل وأعدائها
ايضا
وبصفة عامة
على الكتاب الجدد الابتعاد عن سياسة
مهاجمة ابل والتطبيل لاجهزة الاندرويد
الحقيرة لزيادة التعليقات وإثارتها
فتوجد آلاف المواقع خاصة بذلك
ولستم في حاجة للانضمام اليهم
😂😂😂
لازم ننبه القراء ان باي بال وقوقل ومايكروسوفت هم من اعضاء هذه المنظمة التي تقول ان خدمة تسجيل الدخول بواسطة حساب ابل تحتوي على ثغرات .. يبدو ان قوقل تواجه منافسة شرسة من خدمة تسجيل الدخول بواسطة ابل لذلك بدأت التقارير التي تفيد بان الخدمة تحتوي على ثغرات 😂😂😂😂😂
👍
على آبل ان تتعاون بشأن نظام الدخول الجديد من خلال الشراكة والاستفادة من الخبرات ، وإلا فإن منظومة التوثيق من آبل – ككل – ستكون محل تشكيك لدى المستخدم .
شكراً لكم ايفون اسلام .
آبل وعالمها الموازي… كل هذه الصعوبات منشؤها أن آبل تعزل نفسها وزبائنها في كوكب آخر مغاير للكوكب الذي تعيش فيه بقية المجتمع التقني.