憑藉其新服務“使用 Apple 登入”去年 6 月 WWDC 會議期間提出的這項舉措,庫比蒂諾公司再次打出了個人資料保護牌。與 Facebook 和Google的身份驗證系統不同,蘋果的身份驗證系統將隱藏用戶的電子郵件地址,從而保護他們的隱私。這是個好主意。
然而,不太好的一點是,Apple 明顯忽略了其解決方案的 IT 安全性。無論如何,OpenID 基金會主席 Nat Sakimura 就是這麼認為的。該機構負責開發廣泛應用於網路產業的同名身分驗證標準。在寫給軟體工程副總裁 Craig Federighi 的一封信中,總統指出,蘋果公司在很大程度上受到了該標準的啟發,創建了自己的身份驗證系統…但沒有公開表示,最重要的是,沒有實施所有規範。結果:與 Apple 的連線已經存在多個安全漏洞。
攻擊和錯誤
因此,在一份線上文件中,基金會列出了三個實施錯誤,這些錯誤將允許攻擊者進行程式碼插入或「跨站請求偽造攻擊」攻擊。第四個實施錯誤也會降低對個人資料的保護,這是一種恥辱。作為一個好撒瑪利亞人,基金會也利用這份文件列出了蘋果協議中發現的大約十個錯誤。
Nat Sakimura認為,這種情況並不令人滿意。「OpenID Connect 和 Sign in with Apple 之間當前的差異減少了用戶使用 Sign in with Apple 的情況,並使他們面臨更大的安全和隱私風險。它還為 OpenID Connect 和 Sign in with Apple 的開發人員帶來了不必要的工作”,他寫道。在信的最後,他敦促蘋果不僅要糾正這些實施錯誤,還要正式加入 OpenID 基金會。但這很可能是一廂情願的想法。過去,蘋果一直對團隊遊戲不太感興趣。
來源:納特·薩基穆拉的來信(來自 ZDnet)
