Безопасность кнопки Sign in with Apple поставили под сомнение

Илья Сидоров avatar | 8
FavoriteLoading В закладки
Безопасность кнопки Sign in with Apple поставили под сомнение

На WWDC 2019 Apple представила кнопку для входа Sign in with Apple. Компания заявляет, что это безопасный и конфиденциальный способ авторизации, но OpenID Foundation несогласна с ней.

Некоммерческая организация OpenID Foundation, которая разрабатывает одноименную систему аутентификации, отправила открытое письмо старшему вице-президенту по разработке программного обеспечения Apple Крейгу Федериги.

Протокол OpenID Connect был разработан сразу несколькими крупными компаниями. Его используют Google, Facebook, Microsoft, PayPal и многие другие.

В письме говорится, что Apple использовала многие возможности OpenID, но между Sign in with Apple и OpenID Connect остаются заметные различия. Они создают риски для безопасности и конфиденциальности пользователей.

Чтобы решить эти проблемы, организация призывает Apple устранить все несоответствия между Sign in with Apple и OpenID Connect, а также публично заявить, что кнопка Apple совместима с OpenID Connect.

Ранее разработчики критиковали Apple за то, что она обязала устанавливать свою кнопку выше остальных. [9to5Mac]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (13 голосов, общий рейтинг: 4.15 из 5)
Мы в Telegram
Форум
Избранное
Теги: Новости
(ещё...)
Теги: Новости
(ещё...)
undefined
iPhones.ru
Но не все так просто.
Илья Сидоров avatar

Илья Сидоров

Редактор новостей и автор статей на iPhones.ru.

👀 Читайте также. Всё по теме

#Apple
Прокомментировать

🙈 Комментарии 8

Получать комментарии к этому посту по электронной почте.
  1. Phonerz avatar
    Phonerz30 июня 2019
    2

    Лучше-бы действительно последовали общему стандарту. Так у общего стандарта уже годы позади по отлову ошибок в безопасности.

    gimlis avatar
    gimlis30 июня 2019
    1

    @Phonerz, стандарт != реализация

    sam901 avatar
    sam90130 июня 2019
    0

    @gimlis, зафейлить безопасность можно еще на стадии дизайна, что стандарт как раз решает. А проблему реализации решает использование популярной открытой реализации.

    gimlis avatar
    gimlis1 июля 2019
    7

    @sam901, Давайте два простых вопроса:
    1. С чего вы взяли, что OpenID Connect безопасна?
    2. С чего вы взяли, что Sign in with Apple небезопасен?

    Я пока вижу истерику со стороны OpenID Foundation, которые недовольны тем, что их не упоминают в Apple.

    Phonerz avatar
    Phonerz1 июля 2019
    0

    @gimlis, очень просто.
    1) Количество задействованных специалистов.
    Уже достаточно хорошо исследован многими специалистами по безопасности.
    2) Открытость стандарта.
    Специалисты имеют доступ и своевременно могут сообщить об обнаруженной ошибке.
    3) Дополнительная нагрузка на сайт решивший добавить отдельное решение от Apple (в данном смысле о нагрузке по обеспечению безопасности).
    4) Дополнительная нагрузка на пользователей.

    sam901 avatar
    sam9011 июля 2019
    0

    @gimlis, хороший список дали выше. OpenID это устоявшийся открытый стандарт, который прошел большой путь и испытание временем. По определению это более надежная и безопасная вещь, чем только что выдуманный велосипед эпл. Как и и криптография, безопасность проверяется только временем и количеством глаз и рук, которые попытались сломать изделие, а не обещаниями создателя, которые не стоят ничего в сфере безопасности. Это предельно очевидные вещи для любого специалиста, поэтому со стороны OpenID не “истерика”, а оправданные опасения, что эпл зачем-то выдумывает колесо заново. Понятно зачем, им не безопасность важна, а перетягивание на себя одеяла. Иначе бы они не требовали ставить свою кнопку выше остальных.

    LLIopT avatar
    LLIopT1 июля 2019
    4

    @sam901, текущий «стандарт безопасности» трекает всю вашу активность и передаёт гуглу/фейсбуку. Они знают что вам интересно и могут соотнести с вашим имейлом.
    Аппл генерирует уникальную почту на нажатие кнопки и не даёт такой возможности. По крайней мере по задумке

    sam901 avatar
    sam9011 июля 2019
    0

    @LLIopT, и какое это имеет отношение к сабжу? На серверной части между сервером аутентификации эпл и сервером, на котором юзер хочет зарегаться через appleid, эпл может делать что ей вздумается. В том числе рандомный адрес. По какой причине нужно было ладно хоть писать свою реализацию (что тоже сомнительное решение), так еще нарушать спецификацию с потенциальной угрозой безопасности (по ссылке в новости расписаны нарушения спеки)? Вот к этому и вопросы. Борьба со спамом/трекингом, для чего эпл и придумала эти рандомные адреса, и аутентификация – это разные и не пересекающиесяя задачи обеспечения безопаности.

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь
Задай вопрос - получи ответ
👈 капча обязательна
Отправить
Вопрос принят

В ближайшее время ожидайте ответ на нашем сайте :)

Вопрос не принят

Разрешите свои конфликты с google, он вас не пускает :(