بنیاد OpenID: ورود با اپل آیدی اشکالات امنیتی جدی دارد
بنیاد OpenID از اپل خواست در فناوری ورود با اپل آیدی خود تجدیدنظر کند. بهعقیدهی آنها، این فناوری کاربران را در معرض حملات متعددی قرار میدهد.
اخیرا بنیاد اوپن آیدی (OpenID Foundation) نامهای سرگشاده به کریگ فدریگی، مدیر بخش مهندسی نرمافزار اپل نوشته و گفته است استاندارد «Sign in with Apple» که قرار است در آیندهای نزدیک به اجرا درآید، شباهتهای زیادی با «OpenID Connect» دارد؛ اما این دو استاندارد از نظر اهداف مربوطبه توسعه، حفظ حریم خصوصی و امنیت کاربران بههیچوجه با هم برابر نیستند. اوپن آیدی، با استفاده از SSO یا شناسایی یگانه (Single Sign-On) بهعنوان روشی استاندارد برای احراز هویت کاربران برای ورود یا دسترسی به وبسایتها یا اپلیکیشنها شناخته میشود و نیاز آنها را برای بهیادسپردن نام کاربری و رمزهای عبور متعدد برای ورود به برنامهها و سایتهای مختلف برطرف میکند.
نامهی مزبور با این جمله آغاز میشود:بنیاد اوپن آیدی، تلاشهای اپل مبنیبر اجازهدادن به کاربرانش برای ورود با اپل آیدی به یک گوشی همراه شخص ثالث و اپلیکیشنهای تحت وب با استفاده از OpenID Connect را میستاید.
در ادامهی نامه آمده است: «Connect یک پروتکل هویتی مدرن و بسیار پرکاربرد در OAuth 2.0 است که ورود شخص ثالث به اپلیکیشنها را ممکن میکند و بهدست تعداد زیادی از شرکتها و کارشناسان صنعتی در این بنیاد طراحی و توسعه یافته است.»
در نامهی بنیاد اوپن آیدی به این نکته اشاره شده است درعینحال که به نظر میرسد اپل در طراحی این قابلیت کاربردی توجه زیادی به ویژگیهای Connect داشته، اما باید به این هم اهمیت داد که تفاوتهای زیاد آنها موجب کاهش موارد استفاده از سیستم اپل میشود و آن را در معرض تهدیدهای امنیتی و حریم خصوصی قرار میدهد. مثالی از این مورد، فقدان PKCE در نوع اعطای کد احراز هویت است که واقعا میتواند مردم را در معرض حملههای تزریق کد و بازپخش یا تکرار (replay attack) قرار بدهد.
همچنین گفته میشود این تفاوتهای تأثیرگذار که باعث ایجاد دودستگی بین آنها شده، «فشاری غیرضروری» روی دوش توسعهدهندگانی گذاشته است که با هردوی Connect و Sign in with Apple همکاری میکنند؛ این فشار بهویژه از زمانی بیشتر شده که سازگاری بین کدهای اپل با نرمافزار OpenID Connect Relying Party از بین رفته است. در این نامه با گفتن این موضوع که Sign in with Apple با نرمافزار OpenID Connect Relying Party سازگار است، از اپل خواسته شده که با استفاده از ابزار تست مجوز کانکت (Open ID Connect Self Certification Test Suite) به این شکافها پاسخ بدهد و درنهایت به بنیاد اوپن آیدی بپیوندند.
تست قابلیت جدید اپل در اواخر تابستان و پیش از عرضهی iOS 13 در پاییز آینده آغاز خواهد شد. قرار است توجه فناوری ورود با اپل آیدی بیشتر روی حفاظت از حریم خصوصی کاربران معطوف باشد و بتوان آن را جایگزین دکمههای ورود فیسبوک، گوگل و توئیتر کرد؛ اما، کارشناسان اپل را بهخاطر اجباری کردن پشتیبانی از این فناوری در صورت وجود گزینههای شخص ثالث دیگر برای ورود به سایتها و اپلیکیشنها مورد انتقاد قرار دادهاند.