reklama

„Sign In with Apple“ není zcela bezpečné, upozorňuje OpenID Foundation

„Sign In with Apple“ není zcela bezpečné, upozorňuje OpenID Foundation
2019-06-30T19:15:17+01:00
• 30. 6. 2019

Apple představil nedávno novinku „Sign In with Apple“, což je nová metoda na přihlašování do aplikací a služeb. V podstatě se jedná o konkurenci pro OpenID, Google, Facebook, Twitter a jiné služby, které nahrazují proprietární systém přihlášení. Apple navíc donutí vývojáře aplikací pro jeho platformy, aby museli použít „Sign In with Apple“, pokud aplikace obsahuje například Google přihlášení. Apple se chlubil při představení například vysokou mírou zabezpečení. Nyní se ale ozývá OpenID Foundation a doslova uvádí, že novinka není tak bezpečná, jak by se mohlo zdát.

OpenID Foundation vs. Apple?

OpenID Foundation je nezisková organizace stojící za protokolem OpenID Connect, který je postavený na základech OAuth 2.0. Mezi partnery organizace patří největší technologické firmy jako PayPal, Google, Microsoft, Akamai, Cisco a další, ale Apple zde nenajdete. OpenID Foundation se zaměřil na novinku a v otevřeném dopise pro Craiga Federighini (Senior Vice President of Software Engineering v Applu) je konstatováno, že „Sign In with Apple“ vykazuje bezpečnostní rizika, která se dotýkají i soukromí. 

Apple totiž postavil svou novinku na základech OpenID Connect, ale udělal si vlastní změny a implementace, které vytváří mnoho rozdílů mezi OpenID Connect a Sign In with Apple. Například OpenID Foundation vytýká Applu, že je služba omezená a lze ji využívat na omezeném množství míst. V hlavním dokumentu se například upozorňuje na chyby nebo nedostatky v implementaci a práci s API. Jednou takovou ukázkou je například chybějící dokumentace k Sign In with Apple na stránkách appleid.apple.com/.well-known/openid-configuration, přičemž vývojáři si musí vše dohledat v hlavní dokumentaci.

Většina vytýkaných bodů směřuje přímo na API a lze najít zmínky, kdy je nedostatečná implementace, což by mohlo vést k útokům a podvrhnutí. Navíc OpenID Foundation vyzývá Apple, aby se připojil a spolupracoval na vývoji nejen své metody přihlašování. Také aby používal OpenID Connect Self Certification Test Suite pro vylepšení interoperability a zabezpečení přihlášení.

Otázkou je, jestli Apple uposlechne nebo prověří vytýkané body organizací, která se zabývá právě systémy pro přihlášení.

Zdroje: 9to5mac.com, fortune.com

reklama
reklama

Přemysl Vaculík

Androiďák, šéfredaktor, tvůrce @dotekomanie a +dotekomanie.cz. Také milovník adrenalinových sportů, na které nemá čas.

Komentáře

Dotekománie.cz

Přidat komentář

Pro komentování se musíte přihlásit

Tmavý režim