وجود نقص های امنیتی مهم در قابلیت Sign in with Apple

سازمان OpenID این هفته نامه ای سرگشاده برای مدیر بخش نرم افزار اپل یعنی کرگ فدریگی نوشته است. در این نامه آمده قابلیت Sign in with Apple به کمک اپل آیدی که این شرکت به همراه iOS 13 معرفی کرد شباهت بسیاری به OpenID Connect دارد، اما نه آنقدر که برای اهداف حریم شخصی، امنیت و توسعه کافی باشد.

در این نامه از اپل خواسته شده به سازمان OpenID بپیوندد

در ابتدای این نامه آمده «سازمان OpenID تلاش های اپل برای فراهم کردن امکان وارد شدن کاربران به برنامه های شخص ثالث و وبسایت ها به کمک اکانت اپل و استفاده از OpenID Connect را تشویق می کند» و شرح می دهد که کانکت «یک پروتکل مدرن و مورد استقبال برای احراز هویت است که بر پایه OAuth 2.0 توسعه یافته و امکان ورود به شکل شخص ثالث به برنامه ها را در دسترس قرار می دهد» و «به دست تعداد زیادی از شرکت ها و صنایع متخصص» عضو این سازمان توسعه یافته است.

با اینکه به نظر می رسد اپل تا حد زیادی از قابلیت های کانکت در سیستم Sign in with Apple استفاده کرده، تفاوت های زیادی میان این دو سیستم وجود دارد که منجر به محدود شدن کاربردهای سیستم اپل شده و آن را در برابر تهدید های امنیتی و حریم شخصی آسیب پذیر می کند. یکی از این کمبودها غیاب سیستم تایید PKCE در فرایند دریافت کد تایید است که می تواند افراد را در مقابل حملات تزریق کد و بازپخش آسیب پذیر کند.

اپل آیدی

این قابلیت از اپل آیدی کاربران برای ورود به وبسایت ها استفاده می کند، اما اطلاعات آن ها را با سازنده به اشتراک نمی گذارد

این اختلافات باری اضافه روی دوش توسعه دهندگانی می گذارد که می خواهند با هر دو سیستم OpenID Connect و Sign in with Apple سازگار باشند، دلیل اصلی اش هم عدم تطابق کدهای اپل با نرم افزاری است که ارتباط بین سرورهای Open ID Connect و برنامه های ثالث (Relying Party software) را ممکن می کند. در این نامه از اپل خواسته شده این خلاء های امنیتی را مورد توجه قرار دهد، از سیستم تایید شخصی OpenID Connect استفاده کند، اعلام کند Sign in with Apple با Relying Party software سازگار است و نهایتا به سازمان OpenID بپیوندد.

تست های سرویس Sign in with Apple از اواخر تابستان و پیش از عرضه iOS 13 در پاییز شروع خواهند شد. هدف این سیستم فراهم کردن گزینه ای برای ورود به برنامه ها به کمک اپل آیدی و بدون به اشتراک گذاشتن اطلاعات کاربران و حفاظت از حریم شخصی آنهاست. اگرچه از اپل به علت ملزم کردن توسعه دهنده ها به قرار دادن این امکان در برنامه هایشان انتقاد شده است.

malltina

مطالب مرتبط

مینگ‌-چی کو: تولید دوربین آیفون ۱۲ به مشکل خورده است

«مینگ-چی کو»، تحلیلگر سرشناس اپل که قبلا به درستی از تاخیر یک ماهه در تولید انبوه مدل‌های ۵.۴ و ۶.۱ اینچی سری آیفون ۱۲ خبر داده بود، حالا گزارشی منتشر کرده که از به مشکل خوردن تامین کنندگان اپل در تولید قطعات دوربین این پرچمدارها حکایت دارد.هر چهار عضو خانواده آیفون ۱۲ فارغ از برخی... ادامه مطلب

انتقاد مایکروسافت از اپل به خاطر عدم انتشار xCloud در اپ استور: تبعیض قائل می‌شوید

سرویس استریم بازی xCloud که مایکروسافت ماه آینده آن را منتشر می‌کند، به خاطر محدودیت‌های اپ استور در دسترس کاربران آیفون و آیپد قرار نمی‌گیرد.سرویس Xbox Game Pass و قابلیت xCloud آن به کاربران اجازه استریم صدها بازی روی گوشی را می‌دهد. حال اپل می‌گوید چون امکان بررسی تمام بازی‌های موجود در Game Pass وجود... ادامه مطلب

حمله هکرهای چینی به ۷ شرکت پیشرفته تایوانی برای سرقت فناوری تولید چیپ

یک شرکت امنیت سایبری تایوانی اعلام کرد هکرهای منتسب به چین به منظور سرقت فناوری نیمه رسانا به چندین شرکت تایوانی حمله کرده‌اند.به گزارش Wired، شرکت امنیتی تایوانی CyCraft Technology اعلام کرد که هکرها تحت عملیاتی به نام Operation Skeleton Key به منظور سرقت فناوری نیمه رسانا، کدهای برنامه نویسی، کیت‌های توسعه نرم افزار (SDK) و... ادامه مطلب

اینتل هک شد؛ انتشار ۲۰ گیگابایت فایل محرمانه در اینترنت

هکرها فلدری حاوی ده‌ها گیگابایت فایل محرمانه مربوط به بخش مهندسی تراشه اینتل را در اینترنت منتشر کردند.بر اساس گزارش Tom's Hardware، هکرها لینک دانلود فلدری حاوی ۲۰ گیگابایت فایل متعلق به بخش مهندسی تراشه اینتل را منتشر کرده‌اند. این فلدر که اوایل سال جاری میلادی از اینتل به سرقت رفته اولین بار در تلگرام... ادامه مطلب

بتای عمومی macOS Big Sur منتشر شد

اپل نسخه بتای عمومی macOS Big Sur را منتشر کرد. در این نسخه ظاهر سیستم عامل macOS دچار تغییرات گسترده شده و قابلیت‌های جدیدی به آن اضافه شده است.پس از نصب نسخه بتای macOS Big Sur متوجه تغییرات ظاهری چشمگیر در مقایسه با نسخه‌های قبلی macOS می‌شوید. برای مثال تأکید بر رنگ سفید در پنجره‌ها... ادامه مطلب

اپل و دانشگاه UCLA تحقیق سه ساله در مورد افسردگی و اضطراب را شروع کردند

یکی از دانشگاه‌های آمریکا در همکاری با اپل تحقیق سه ساله‌ای را آغاز کرده تا از تأثیر فاکتورهایی مثل خواب و ورزش بر علایم افسردگی و اضطراب آگاه شود.دانشگاه کالیفرنیا، لس آنجلس (UCLA) می‌خواهد به کمک اپل از تأثیرات عواملی مثل خواب و فعالیت جسمانی بر افسردگی و اضطراب مطلع شود. این مطالعه از هفته... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟