قابلیت Sing in with Apple مشکلات امنیتی برای کاربران به دنبال دارد

   
نام نویسنده:
 دوشنبه 10 تیر 98 ساعت: 18:00:00

در جریان رویداد WWDC 2019 بود که اپل در کنار معرفی iOS13، قابلیت Sing in with Apple را معرفی کرد. حالا سازمان OpenID نامه‌ای سرگشاده برای مدیر بخش نرم افزار این کمپانی نوشته است و از آن‌ها خواسته است تا به OpenID بپیوندند.

به اعتقاد OpenID قابلیت Sing in with Apple به همراه اپل آیدی شباهت بسیاری به OpenID Connect دارد اما این شباهت به حدی نیست که برای حفظ حریم خصوصی و امنیت به حد قابل قبولی رسیده باشد.

 

قابلیت Sign in with Apple چیست

کمتر از یک ماه از معرفی قابلیت Sign in with Apple می‌گذرد. اپل با ارائه این قابلیت در نظر دارد تا امکانی فراهم کند که کاربران بتوانند به کمک اپل آیدی وارد برنامه‌های مختلف و وب سایت‌ها شوند. پل در نظر دارد این قابلیت را از اواخر تابستان و قبل از عرضه رسمی iOS13 در پاییز تست کند. ضمنا باید بدانید که اپل توسعه دهندگان iOS را مجبور می‎کند تا برای ورود از اپل آیدی استفاده کنند.

 

پروتکل کانکت؛ روشی پیشنهادی سازمان OpenID برای اپل

سازمان OpenID در ابتدای این نامه تلاش‌های اپل برای روی کار آوردن این قابلیت و فراهم کردن امکان ورود کاربران به برنامه‌های شخص ثالث و وب سایت‌های مختلف با استفاده از اکانت اپل را تحسین کرده است و سپس در مورد پروتکل کانکت که توسط تعداد زیادی از شرکت‌ها و صنایع متخصصِ عضو این سازمان توسعه داده شده است، توضیح داده است. بنا به گفته OpenID، این پروتکل که پروتکلی مدرن و محبوب برای احراز هویت است، بر مبنای OAuth 2.0 توسعه پیدا کرده است و امکان ورود به برنامه‌های شخص ثالث را فراهم می‌کند.

اگرچه به نظر می‌رسد که اپل در Sign in with Apple تا حد زیادی از قابلیت‌های پروتکل کانکت استفاده می‌کند اما گویا این قابلیت جدید اپل مشکلاتی را برای کاربران ایجاد کرده است، مشکلاتی مانند آسیب‌پذیر شدن کاربران اپل در برابر تهدیدهای امنیتی و حریم خصوصی آن‌ها. گویا یکی از این مشکلات غیاب سیستم تأیید PKCE هنگام دریافت کد تأییدیه است و همین مسئله باعث می‌شود که سیستم کاربر در مقابل حملاتی مانند تزریق کد آسیب‌پذیر شود.

همین اختلاف‌ها باعث می‌شود که توسعه‌دهندگانی که می‌خواهند برنامه آن‌ها با هر دو سیستم OpenID Connect و Sign in with Appleسازگار باشد، مشکل داشته باشند زیرا کدهای اپل با نرم افزارهایی که ارتباط بین سرورهای OpenID connect و برنامه‌های Replying Party را برقرار می‌کنند، تطابق ندارد.

حالا پیشنهاد OpenID این است که اپل از سیستم تأیید شخصی OpenID Connect استفاده کرده و به این سازمان بپیوندد. به این ترتیب هم خلأهای امنیتی برطرف خواهد شد و هم قابلیت Sign in with Apple با نرم افزارهای Relying Party سازگاری خواهد داشت.

 

اخبار مرتبط:

iOS 13 منتشر شد؛ قابلیت‌های جدید چیست؟

نسخه بتا عمومی iOS 13 منتشر شد؛ چطور آن را نصب کنیم؟

 

ما را در شبکه‌های اجتماعی مختلف تلگرام، توییتر، اینستاگرام  همراهی کنید.

منبع: appleinsider

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید