وجود نقص های امنیتی مهم در قابلیت Sign in with Apple

وجود نقص های امنیتی مهم در قابلیت Sign in with Apple

سازمان OpenID این هفته نامه ای سرگشاده برای مدیر بخش نرم افزار اپل یعنی کرگ فدریگی نوشته است. در این نامه آمده قابلیت Sign in with Apple به کمک اپل آیدی که این شرکت به همراه iOS 13 معرفی کرد شباهت بسیاری به OpenID Connect دارد، اما نه آنقدر که برای اهداف حریم شخصی، امنیت و توسعه کافی باشد.

در این نامه از اپل خواسته شده به سازمان OpenID بپیوندد

در ابتدای این نامه آمده «سازمان OpenID تلاش های اپل برای فراهم کردن امکان وارد شدن کاربران به برنامه های شخص ثالث و وبسایت ها به کمک اکانت اپل و استفاده از OpenID Connect را تشویق می کند» و شرح می دهد که کانکت «یک پروتکل مدرن و مورد استقبال برای احراز هویت است که بر پایه OAuth 2.0 توسعه یافته و امکان ورود به شکل شخص ثالث به برنامه ها را در دسترس قرار می دهد» و «به دست تعداد زیادی از شرکت ها و صنایع متخصص» عضو این سازمان توسعه یافته است.

با اینکه به نظر می رسد اپل تا حد زیادی از قابلیت های کانکت در سیستم Sign in with Apple استفاده کرده، تفاوت های زیادی میان این دو سیستم وجود دارد که منجر به محدود شدن کاربردهای سیستم اپل شده و آن را در برابر تهدید های امنیتی و حریم شخصی آسیب پذیر می کند. یکی از این کمبودها غیاب سیستم تایید PKCE در فرایند دریافت کد تایید است که می تواند افراد را در مقابل حملات تزریق کد و بازپخش آسیب پذیر کند.

اپل آیدی
این قابلیت از اپل آیدی کاربران برای ورود به وبسایت ها استفاده می کند، اما اطلاعات آن ها را با سازنده به اشتراک نمی گذارد

این اختلافات باری اضافه روی دوش توسعه دهندگانی می گذارد که می خواهند با هر دو سیستم OpenID Connect و Sign in with Apple سازگار باشند، دلیل اصلی اش هم عدم تطابق کدهای اپل با نرم افزاری است که ارتباط بین سرورهای Open ID Connect و برنامه های ثالث (Relying Party software) را ممکن می کند. در این نامه از اپل خواسته شده این خلاء های امنیتی را مورد توجه قرار دهد، از سیستم تایید شخصی OpenID Connect استفاده کند، اعلام کند Sign in with Apple با Relying Party software سازگار است و نهایتا به سازمان OpenID بپیوندد.

تست های سرویس Sign in with Apple از اواخر تابستان و پیش از عرضه iOS 13 در پاییز شروع خواهند شد. هدف این سیستم فراهم کردن گزینه ای برای ورود به برنامه ها به کمک اپل آیدی و بدون به اشتراک گذاشتن اطلاعات کاربران و حفاظت از حریم شخصی آنهاست. اگرچه از اپل به علت ملزم کردن توسعه دهنده ها به قرار دادن این امکان در برنامه هایشان انتقاد شده است.

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

Digiato

رمزتان را گم کرده‌اید؟

Digiato