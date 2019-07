In einem offenen Brief warnt die Stiftung vor Risiken für Sicherheit und Privatsphäre. Das Zertifizierungsteam der OpenID Foundation dokumentiert Abweichungen zwischen OpenID Connect und Apples Implementierung für seinen eigenen Anmeldedienst.

Die OpenID Foundation hat Apples Implementierung von OpenID Connect in Apples Anmeldedienst kritisiert, weil sie den Standard nur unvollständig einhält. Das sorge nicht nur für Kompatibilitätsprobleme, sondern auch für neue Gefährdungen von Sicherheit und Datenschutz. Auch für App-Entwickler schaffe es neue Hürden, wenn sie gezwungen werden, zwei abweichende Standards zu berücksichtigen.

Mit seinem eigenen Dienst „Anmelden mit Apple“ (Sign In with Apple) bietet der iPhone-Hersteller nicht nur eine Alternative zur Authentifizierung durch Facebook und Google an, mit denen er den Nutzern mehr Privatsphäre verspricht. Es schreibt den App-Entwicklern außerdem zwingend vor, die Anmeldung via Apple immer anzubieten, wenn auch die Anmeldung über Drittanbieter wie Facebook oder Google möglich ist. Schon das gefiel nicht allen Entwicklern. Dazu kam außerdem, dass Apple die tatsächliche E-Mail-Adresse eines Nutzers nicht an den Entwickler einer App weitergibt. Apples Richtlinien drängen zudem dazu, „Anmelden mit Apple“ stets über konkurrierenden Services zu platzieren.

Für seinen neuen Dienst greift Apple auf OpenID Connect zurück, eine auf OAuth 2.0 basierende Authentifizierungsschicht. Die OpenID Foundation zeichnet für diesen Standard verantwortlich, der beispielsweise auch von Google, Microsoft, Amazon, Salesforce, VMware und Deutsche Telekom genutzt wird. Die OpenID Foundation begrüßt grundsätzlich Apples Entscheidung, sich ebenfalls auf OpenID Connect zu verlassen – sieht aber zugleich Anlass zu Kritik.

Die Stiftung bringt das in einem offenen Brief an Apples Softwarechef Craig Federighi zum Ausdfruck. Das Schreiben ist ebenso höflich wie entschieden kritisch formuliert. Apple habe OpenID Connect scheinbar weitgehend implementiert, heißt es darin – „oder hat es zumindest versucht“. Dazu wird auf Unterschiede zwischen Apples Dienst und dem zugrundeliegenden Standard verwiesen, die das Zertifizierungsteam der OpenID Foundation dokumentiert hat.

„Die derzeitigen Unterschiede zwischen OpenID Connect und Sign In with Apple verringert die Orte, an denen Nutzer Anmelden mit Apple einsetzen können, und setzt sie größeren Risiken für Sicherheit und Privatsphäre aus“, heißt es in dem Schreiben weiter. „Es bewirkt außerdem eine unangemessene Belastung für Entwickler sowohl von OpenID als auch Sign In with Apple.“ Wenn es diese Lücken schließe, könnte Apple interoperabel werden mit der weit verbreiteten Software, die OpenID Connect als „Relying Party“ nutzt.

Als „Einladung“ an Apple spricht die Stiftung mehrere klare Forderungen aus. Der iPhone-Hersteller möge die genannten Lücken zwischen seinem Anmeldedienst und OpenID Connect schließen. Dann sei der Einsatz der OpenID Connect Self Certification Test Suite ratsam, um die Interoperabilität und Sicherheit von Anmelden mit Apple zu verbessern. Apple solle außerdem öffentlich feststellen, dass Anmelden mit Apple kompatibel und interoperabel mit der breit verfügbaren OpenID Connect Relying Party-Software ist. Als abschließender Schritt stehe Apples Beitritt zur OpenID Foundation an.