APP下载

OpenID基金会:苹果Sign with Apple未完全标准化,可能提升用户安全风险

消息来源:baojiabao.com 作者: 发布时间:2024-03-28

报价宝综合消息OpenID基金会:苹果Sign with Apple未完全标准化,可能提升用户安全风险

安全标准组织OpenID基金会周末对苹果发出公开信指出,苹果随同iOS 13及iPadOS发表的隐私签入系统Sign with Apple虽然拥抱了大部分OpenID协定,但终究未完全标准化,不但造成开发人员负担,也可能提高用户隐私与安全风险。

OpenID基金会主席Nat Sakimura在对苹果软件工程资深副总裁 Craig Federighi的公开信中,首先赞扬苹果提供以OpenID Connect开发的Sign with Apple,让iPhone及Mac电脑用户可安全登入第三方行动和网页应用。

Open ID Connect是以OAuth 2.0为基础发展的现代化身份验证协定,可以标准化方式登入第三方应用程序,OpenID基金会则是OpenID Connect平台的非营利组织,主要成员包括Google、微软、PayPal及Akamai。

但Sakimura指出,Sign with Apple的实作只“大部分”采用OpenID Connect,致使两者之间仍然一部分差异。该基金会认为两者的相异处,将限缩苹果装置这项验证服务的适用场合,也使他们曝露于更高的安全和隐私风险中,此外也对开发商增添不必要的负担。

OpenID基金会呼吁苹果应缩小两者之间的差异,以便与OAuth 2.0用户端应用程序OpenID Connect Relying Party(OIDC RP)相容、且以OpenID Connect的自主认证测试套件来提升Sign with Apple的相容性和安全性。此外,他也希望苹果加入OpenID基金会,并且公开宣扬Sign with Apple和OIDC RP软件的相容性。

苹果预计在今年秋天发布的iOS 13及iPad OS正式版,加入Sign with Apple技术。对于登记网站或app账户的使用者,如果用户不愿意注册真实电子邮件信箱,系统会产生一个专属于该app或网站的随机邮件信箱。这些邮件信箱为苹果代管,因此一旦app寄送垃圾邮件就会被导向苹果,这可以阻绝垃圾邮件后患,也可以追查是哪个app或网站将用户电子邮件外泄给别人。Sign In with Apple还可以结合Face ID或Touch ID验证,并内建双因素验证。苹果并规定今年秋天起,支援第三方登入工具的app,都必须提供这项功能作为用户选项。

2019-07-01 12:45:00

相关文章