Безопасность кнопки Sign in with Apple поставили под сомнение

Илья Сидоров avatar | 8
FavoriteLoading В закладки
Безопасность кнопки Sign in with Apple поставили под сомнение

На WWDC 2019 Apple представила кнопку для входа Sign in with Apple. Компания заявляет, что это безопасный и конфиденциальный способ авторизации, но OpenID Foundation несогласна с ней.

Некоммерческая организация OpenID Foundation, которая разрабатывает одноименную систему аутентификации, отправила открытое письмо старшему вице-президенту по разработке программного обеспечения Apple Крейгу Федериги.

Протокол OpenID Connect был разработан сразу несколькими крупными компаниями. Его используют Google, Facebook, Microsoft, PayPal и многие другие.

В письме говорится, что Apple использовала многие возможности OpenID, но между Sign in with Apple и OpenID Connect остаются заметные различия. Они создают риски для безопасности и конфиденциальности пользователей.

Чтобы решить эти проблемы, организация призывает Apple устранить все несоответствия между Sign in with Apple и OpenID Connect, а также публично заявить, что кнопка Apple совместима с OpenID Connect.

Ранее разработчики критиковали Apple за то, что она обязала устанавливать свою кнопку выше остальных. [9to5Mac]

Рейтинг поста:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (4.18 из 5, оценили: 11)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Но не все так просто.
Прокомментировать

🙈 Комментарии 8

  1. Phonerz avatar
    Phonerz30 июня в 19:56
    2

    Лучше-бы действительно последовали общему стандарту. Так у общего стандарта уже годы позади по отлову ошибок в безопасности.

    gimlis avatar
    gimlis30 июня в 20:46
    1

    @Phonerz, стандарт != реализация

    sam901 avatar
    sam90130 июня в 21:41
    0

    @gimlis, зафейлить безопасность можно еще на стадии дизайна, что стандарт как раз решает. А проблему реализации решает использование популярной открытой реализации.

    gimlis avatar
    gimlis1 июля в 1:16
    7

    @sam901, Давайте два простых вопроса:
    1. С чего вы взяли, что OpenID Connect безопасна?
    2. С чего вы взяли, что Sign in with Apple небезопасен?

    Я пока вижу истерику со стороны OpenID Foundation, которые недовольны тем, что их не упоминают в Apple.

    Phonerz avatar
    Phonerz1 июля в 1:27
    0

    @gimlis, очень просто.
    1) Количество задействованных специалистов.
    Уже достаточно хорошо исследован многими специалистами по безопасности.
    2) Открытость стандарта.
    Специалисты имеют доступ и своевременно могут сообщить об обнаруженной ошибке.
    3) Дополнительная нагрузка на сайт решивший добавить отдельное решение от Apple (в данном смысле о нагрузке по обеспечению безопасности).
    4) Дополнительная нагрузка на пользователей.

    sam901 avatar
    sam9011 июля в 3:39
    0

    @gimlis, хороший список дали выше. OpenID это устоявшийся открытый стандарт, который прошел большой путь и испытание временем. По определению это более надежная и безопасная вещь, чем только что выдуманный велосипед эпл. Как и и криптография, безопасность проверяется только временем и количеством глаз и рук, которые попытались сломать изделие, а не обещаниями создателя, которые не стоят ничего в сфере безопасности. Это предельно очевидные вещи для любого специалиста, поэтому со стороны OpenID не “истерика”, а оправданные опасения, что эпл зачем-то выдумывает колесо заново. Понятно зачем, им не безопасность важна, а перетягивание на себя одеяла. Иначе бы они не требовали ставить свою кнопку выше остальных.

    LLIopT avatar
    LLIopT1 июля в 8:09
    4

    @sam901, текущий «стандарт безопасности» трекает всю вашу активность и передаёт гуглу/фейсбуку. Они знают что вам интересно и могут соотнести с вашим имейлом.
    Аппл генерирует уникальную почту на нажатие кнопки и не даёт такой возможности. По крайней мере по задумке

    sam901 avatar
    sam9011 июля в 12:46
    0

    @LLIopT, и какое это имеет отношение к сабжу? На серверной части между сервером аутентификации эпл и сервером, на котором юзер хочет зарегаться через appleid, эпл может делать что ей вздумается. В том числе рандомный адрес. По какой причине нужно было ладно хоть писать свою реализацию (что тоже сомнительное решение), так еще нарушать спецификацию с потенциальной угрозой безопасности (по ссылке в новости расписаны нарушения спеки)? Вот к этому и вопросы. Борьба со спамом/трекингом, для чего эпл и придумала эти рандомные адреса, и аутентификация – это разные и не пересекающиесяя задачи обеспечения безопаности.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь