De Stichting hat útjûn Iepenje ID Dizze wike stjoerde de non-profit in brief nei Craig Federighi, senior vice-presidint fan software-engineering fan Apple, wêryn't se bewearden dat it nije oanmeldsysteem dat it bedriuw in skoft lyn ûntbleate, bekend as Oanmelde mei Apple It liket sterk op syn OpenID Connect-protokol, mar it systeem fan Apple hat mazen yn 'e wet en kwetsberheden dy't brûkers bleatstelle kinne oan serieuze bedrigingen en is net genôch foar privacy en gegevensbeskerming.
De organisaasje priizge de ynspanningen fan Apple om brûkers yn steat te stellen yn te loggen by smartphone- en webapps fan tredden mei har Apple ID. It begon har brief mei in útlis oer har Connect-protokol, dat it omskreau as in modern, breed oannaam identiteitsprotokol basearre op OAuth 2.0, dat oanmeldingen fan tredden by apps mooglik makket en ûntwikkele is troch in grut oantal bedriuwen en yndustryeksperts binnen de organisaasje.
Kwetsberens yn 'e nije funksje fan Apple
Hoewol Apple dit protokol foar in grut part oannaam liket te hawwen mei har nije Oanmelde mei Apple-systeem, binne d'r in oantal ferskillen tusken it systeem fan Apple en OpenID dy't it oantal plakken (websides en tsjinsten) beheind hawwe wêr't it systeem fan Apple brûkt wurde kin en brûkers bleatstelle oan privacy- en feiligensbedrigingen. Derneist mist it systeem fan Apple in PKCE-kaai, wat brûkers kwetsber meitsje kin foar replay-oanfallen of koade-ynjeksje, lykas de OpenID-brief oanjout.
Neist dit alles is de Stichting fan betinken dat Apple syn nije systeem It leit in ûnnedige lêst op ûntwikkelders dy't wurkje mei sawol Connect as Sign in with Apple, foaral om't de koade fan 'e lêste net kompatibel is mei it OpenID Connect-sertifikaasjeprogramma.
Oan 'e ein fan 'e brief frege de OpenID Foundation Apple om de kwetsberheden yn har systeem oan te pakken en de Self-Certification Kit (SCT) te brûken. De stifting frege Apple ek om mei te dwaan, tegearre mei ferskate oare bedriuwen, benammen Google, Facebook, Microsoft, PayPal, Yahoo, en oare organisaasjes en bedriuwen.
Apple's nije oanmeldsysteem, Oanmelde mei Apple, sil letter dizze simmer lansearre wurde, tagelyk mei de lansearring fan iOS 13. Apple wol mei dizze technology mear privacy biede, ynstee fan brûkers ta te stean om yn te loggen fia oare akkounts lykas Google, Twitter en Facebook.
Tinke jo dat Apple de krêften gearwurkje moat mei syn konkurrinten op it mêd fan oanmeldtsjinsten? Sille de neamde mazen yn 'e wet de oansteande lansearring fan Oanmelde mei Apple hinderje?
Boarne:
9 reaksjes