На WWDC 2019 Apple представила кнопку для входа Sign in with Apple. Компания заявляет, что это безопасный и конфиденциальный способ авторизации, но OpenID Foundation несогласна с ней.
Некоммерческая организация OpenID Foundation, которая разрабатывает одноименную систему аутентификации, отправила открытое письмо старшему вице-президенту по разработке программного обеспечения Apple Крейгу Федериги.
Протокол OpenID Connect был разработан сразу несколькими крупными компаниями. Его используют Google, Facebook, Microsoft, PayPal и многие другие.
В письме говорится, что Apple использовала многие возможности OpenID, но между Sign in with Apple и OpenID Connect остаются заметные различия. Они создают риски для безопасности и конфиденциальности пользователей.
Чтобы решить эти проблемы, организация призывает Apple устранить все несоответствия между Sign in with Apple и OpenID Connect, а также публично заявить, что кнопка Apple совместима с OpenID Connect.
Ранее разработчики критиковали Apple за то, что она обязала устанавливать свою кнопку выше остальных. [9to5Mac]
Войди и оставь комментарий
Или войди с помощью
Лучше-бы действительно последовали общему стандарту. Так у общего стандарта уже годы позади по отлову ошибок в безопасности.
@Phonerz, стандарт != реализация
@gimlis, зафейлить безопасность можно еще на стадии дизайна, что стандарт как раз решает. А проблему реализации решает использование популярной открытой реализации.
@sam901, Давайте два простых вопроса:
1. С чего вы взяли, что OpenID Connect безопасна?
2. С чего вы взяли, что Sign in with Apple небезопасен?
Я пока вижу истерику со стороны OpenID Foundation, которые недовольны тем, что их не упоминают в Apple.
@gimlis, очень просто.
1) Количество задействованных специалистов.
Уже достаточно хорошо исследован многими специалистами по безопасности.
2) Открытость стандарта.
Специалисты имеют доступ и своевременно могут сообщить об обнаруженной ошибке.
3) Дополнительная нагрузка на сайт решивший добавить отдельное решение от Apple (в данном смысле о нагрузке по обеспечению безопасности).
4) Дополнительная нагрузка на пользователей.
@gimlis, хороший список дали выше. OpenID это устоявшийся открытый стандарт, который прошел большой путь и испытание временем. По определению это более надежная и безопасная вещь, чем только что выдуманный велосипед эпл. Как и и криптография, безопасность проверяется только временем и количеством глаз и рук, которые попытались сломать изделие, а не обещаниями создателя, которые не стоят ничего в сфере безопасности. Это предельно очевидные вещи для любого специалиста, поэтому со стороны OpenID не “истерика”, а оправданные опасения, что эпл зачем-то выдумывает колесо заново. Понятно зачем, им не безопасность важна, а перетягивание на себя одеяла. Иначе бы они не требовали ставить свою кнопку выше остальных.
@sam901, текущий «стандарт безопасности» трекает всю вашу активность и передаёт гуглу/фейсбуку. Они знают что вам интересно и могут соотнести с вашим имейлом.
Аппл генерирует уникальную почту на нажатие кнопки и не даёт такой возможности. По крайней мере по задумке
@LLIopT, и какое это имеет отношение к сабжу? На серверной части между сервером аутентификации эпл и сервером, на котором юзер хочет зарегаться через appleid, эпл может делать что ей вздумается. В том числе рандомный адрес. По какой причине нужно было ладно хоть писать свою реализацию (что тоже сомнительное решение), так еще нарушать спецификацию с потенциальной угрозой безопасности (по ссылке в новости расписаны нарушения спеки)? Вот к этому и вопросы. Борьба со спамом/трекингом, для чего эпл и придумала эти рандомные адреса, и аутентификация – это разные и не пересекающиесяя задачи обеспечения безопаности.
Рекомендуем
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.