وجود نقص های امنیتی مهم در قابلیت Sign in with Apple

سازمان OpenID این هفته نامه ای سرگشاده برای مدیر بخش نرم افزار اپل یعنی کرگ فدریگی نوشته است. در این نامه آمده قابلیت Sign in with Apple به کمک اپل آیدی که این شرکت به همراه iOS 13 معرفی کرد شباهت بسیاری به OpenID Connect دارد، اما نه آنقدر که برای اهداف حریم شخصی، امنیت و توسعه کافی باشد.

در این نامه از اپل خواسته شده به سازمان OpenID بپیوندد

در ابتدای این نامه آمده «سازمان OpenID تلاش های اپل برای فراهم کردن امکان وارد شدن کاربران به برنامه های شخص ثالث و وبسایت ها به کمک اکانت اپل و استفاده از OpenID Connect را تشویق می کند» و شرح می دهد که کانکت «یک پروتکل مدرن و مورد استقبال برای احراز هویت است که بر پایه OAuth 2.0 توسعه یافته و امکان ورود به شکل شخص ثالث به برنامه ها را در دسترس قرار می دهد» و «به دست تعداد زیادی از شرکت ها و صنایع متخصص» عضو این سازمان توسعه یافته است.

با اینکه به نظر می رسد اپل تا حد زیادی از قابلیت های کانکت در سیستم Sign in with Apple استفاده کرده، تفاوت های زیادی میان این دو سیستم وجود دارد که منجر به محدود شدن کاربردهای سیستم اپل شده و آن را در برابر تهدید های امنیتی و حریم شخصی آسیب پذیر می کند. یکی از این کمبودها غیاب سیستم تایید PKCE در فرایند دریافت کد تایید است که می تواند افراد را در مقابل حملات تزریق کد و بازپخش آسیب پذیر کند.

اپل آیدی

این قابلیت از اپل آیدی کاربران برای ورود به وبسایت ها استفاده می کند، اما اطلاعات آن ها را با سازنده به اشتراک نمی گذارد

این اختلافات باری اضافه روی دوش توسعه دهندگانی می گذارد که می خواهند با هر دو سیستم OpenID Connect و Sign in with Apple سازگار باشند، دلیل اصلی اش هم عدم تطابق کدهای اپل با نرم افزاری است که ارتباط بین سرورهای Open ID Connect و برنامه های ثالث (Relying Party software) را ممکن می کند. در این نامه از اپل خواسته شده این خلاء های امنیتی را مورد توجه قرار دهد، از سیستم تایید شخصی OpenID Connect استفاده کند، اعلام کند Sign in with Apple با Relying Party software سازگار است و نهایتا به سازمان OpenID بپیوندد.

تست های سرویس Sign in with Apple از اواخر تابستان و پیش از عرضه iOS 13 در پاییز شروع خواهند شد. هدف این سیستم فراهم کردن گزینه ای برای ورود به برنامه ها به کمک اپل آیدی و بدون به اشتراک گذاشتن اطلاعات کاربران و حفاظت از حریم شخصی آنهاست. اگرچه از اپل به علت ملزم کردن توسعه دهنده ها به قرار دادن این امکان در برنامه هایشان انتقاد شده است.

منبع:
Apple Insider
خرید بلیط هواپیما
برچسب ها

مطالب مرتبط

تائید هویت دو مرحله ای برای اپل آیدی به iOS 10.3 می آید

به نظر می رسد کمپانی اپل می خواهد جدیت بسیار بیشتری در امنیت آیفون اعمال کند و برای این منظور سیستم تایید هویت دو مرحله ای جدیدی را به نسخه بتای iOS 10.3 اضافه کرده است. به گزارش وب سایت 9to5Mac، تایید هویت دو مرحله ای لایه امنیتی تازه ای برای تلفن های هوشمند کوپرتینویی است... ادامه مطلب

آموزش قدم به قدم ساخت اپل آیدی مطابق با آخرین تغییرات آیتونز

مدت زیادی می شود که کاربران ایرانی به دلیل مسدود بودن آی پی های (IP) ایران در ساخت اپل آیدی (Apple ID) مشکل دارند. پس از رفع برخی تحریم های نرم افزاری و سخت افزاری نیز هنوز مشکلات قبل پا برجاست و کاربران برای ساخت این حساب کاربری یا باید دست به دامان فروشندگان شوند... ادامه مطلب

آموزش قدم به قدم ساده ترین روش ها برای ساخت اپل آیدی

مدت زیادی می شود که کاربران ایرانی به دلیل مسدود بودن آی پی های (IP) ایران در ساخت اپل آیدی (Apple ID) مشکل دارند. پس از رفع برخی تحریم های نرم افزاری و سخت افزاری نیز هنوز مشکلات قبل پا برجاست و کاربران برای ساخت این حساب کاربری یا باید دست به دامان فروشندگان شوند... ادامه مطلب

ویژگی جدید iOS 11.3، امنیت رمز اپل آیدی کاربر را افزایش می دهد

اوایل امروز در کنار عرضه نسخه پیش نمایش iOS 11.3 برای توسعه دهندگان، لیستی از تغییرات این سیستم عامل منتشر شد که هر چند شامل اطلاعات زیادی بود اما به نظر می رسد که حاوی تمام قابلیت های جدید آخرین نسخه از آی او اس نیست. یکی از ویژگی هایی که اپل به آن ها اشاره... ادامه مطلب

چگونه برای خود حساب اپل آیدی ایجاد کنیم؟

اپل آیدی حسابی شخصی است که امکان دسترسی به سرویس های مختلف اپل همچون اپ استور، آیتونز و دیگر سرویس های گسترده و متنوع اپل را ممکن می سازد. ساخت و راه اندازی اپل آیدی چندان وقت شما را نخواهد گرفت، اما با ایجاد این حساب می توانید از سرویس های بی شمار اپل بهره... ادامه مطلب

فعال کردن تایید دو مرحله ای در نسخه بتای iOS 10 به از دست دادن گذرواژه اپل آیدی منجر خواهد شد

اگر به استفاده از روش تایید هویت دو مرحله ای علاقه دارید، توصیه می کنیم در حال حاضر فکر امتحان کردن نسخه ی بتا از iOS 10 را فراموش کنید، چرا که تعداد زیادی از کاربران گزارش داده اند با فعال کردن روش ورود دو مرحله ای دسترسی آنها به Apple ID قطع شده است. بخش... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود
x