Fundacja wydana Otwórz identyfikator Organizacja non-profit napisała w tym tygodniu list do „Craiga Fedraya”, starszego wiceprezesa działu inżynierii oprogramowania w Apple, argumentując, że nowy system logowania, który firma zaprezentowała jakiś czas temu, jest znany jako Zaloguj się za pomocą Apple Ma wiele podobieństw do protokołu OpenID Connect, ale system Apple zawiera luki i luki, które mogą narażać użytkowników na poważne zagrożenia, ponieważ nie jest wystarczający do ochrony prywatności i danych.
Fundacja pochwaliła wysiłki Apple, aby umożliwić użytkownikom logowanie się do smartfonów i aplikacji internetowych innych firm przy użyciu ich identyfikatora Apple ID i rozpoczęła swój list od wyjaśnienia własnego protokołu Connect, który opisała jako nowoczesny, szeroko stosowany protokół tożsamości oparty na Protokół OAuth 2.0, który umożliwia stronom trzecim. Od logowania po aplikacje, został opracowany przez wiele firm i ekspertów branżowych w organizacji.
Luki w nowej funkcji Apple
Chociaż wydaje się, że firma Apple w dużej mierze przyjęła ten protokół za pomocą nowego systemu logowania się za pomocą Apple ID Zaloguj się za pomocą Apple, istnieje szereg różnic między systemem Apple a OpenID, które spowodowały zmniejszenie liczby miejsc i usług „w którym można wykorzystać system Apple. Naraża również użytkowników na zagrożenia związane z prywatnością i bezpieczeństwem, a także na brak klucza lub kodu autoryzacyjnego„ PKCE ”w systemie Apple, co może pozostawić użytkowników przed powtórnymi atakami lub za pomocą kodu wtrysku, jak wspomniano w komunikacie OpenID.
Poza tym Fundacja to widzi Nowy system Apple Stanowi to niepotrzebne obciążenie dla programistów, którzy pracują zarówno z Connect, jak i Sign in with Apple, zwłaszcza, że ten drugi kod (Apple) jest niekompatybilny z programem certyfikacji protokołu OpenID Connect.
Pod koniec wystąpienia OpenID Foundation poprosiła Apple o uzupełnienie luk w swoim systemie i wykorzystanie pakietu self-pack do weryfikacji poprawności aplikacji SCT, a organizacja poprosiła Apple o przyłączenie się do wielu innych firm, z których najbardziej znana w tym Google, Facebook, Microsoft, PayPal, Yahoo i inne organizacje oraz inna firma.
Poinformowano, że nowy system logowania z Apple Sign in with Apple zostanie uruchomiony później tego lata, w połączeniu z uruchomieniem iOS 13, a Apple dąży do tego, aby skupić się na większej prywatności zamiast zezwalać swoim użytkownikom na logowanie się do za pośrednictwem kont innych witryn, takich jak Google, Twitter i Facebook.
Czy uważasz, że Apple powinien połączyć siły ze swoimi konkurentami w zakresie usług logowania? Czy wspomniane luki utrudnią wkrótce uruchomienie funkcji Zaloguj się przez Apple?
Źródło:
9 recenzji