OpenID Foundation wytyka Apple błędy w Sign in with Apple
Podczas keynote otwierającego konferencję WWDC Apple zaprezentowało nową usługę Sign in with Apple, umożliwiającą użytkownikom logowanie się do różnych serwisów za pomocą Apple ID. Zdaniem fundacji OpenID Foundation rozwiązanie Apple przypomina bardzo to opracowane przez nią, czyli OpenID Connect, ma jednak kilka wad, które czynią je podatnym na ataki i utrudniają pracę deweloperom chcącym je wdrożyć.
Nat Sakimura, prezes OpenID Foundation z jednej strony chwali wysiłki Apple mające na celu umożliwienie użytkownikom łatwego logowania się do różnych serwisów za pośrednictwem Apple ID, które jego zdaniem korzysta właśnie z opracowanego przez fundację rozwiązania OpenID Connect. Wciąż jednak pomiędzy nimi są pewne znaczące różnice. Zostały one wymienione w na bieżąco aktualizowanym dokumencie w serwisie BitBucket. Wspomina się w nim m.in. o braku implementacji techniki zwanej Proof Key for Code Exchange. Jej brak może zdaniem deweloperów OpenID Foundation wystawiać użytkowników na ataki m.in. poprzez wstrzykiwanie złośliwego kodu. Z kolei inne różnice będą wymuszać na deweloperach sporo dodatkowej pracy przy implementacji Sign with Apple.
Sakimura nawołuje więc Apple do ujednolicenia kodu, tak by Sign with Apple było w pełni kompatybilne z OpenID Connect i przyłączenia się do OpenID Foundation.
Źródło: AppleInsider za OpenID Foundation