Die OpenID Foundation hat Apples Implementierung von OpenID Connect in Apples Anmeldedienst kritisiert, weil sie den Standard nur unvollständig einhält. Das sorge nicht nur für Kompatibilitätsprobleme, sondern auch für neue Gefährdungen von Sicherheit und Datenschutz. Auch für App-Entwickler schaffe es neue Hürden, wenn sie gezwungen werden, zwei abweichende Standards zu berücksichtigen.
Mit seinem eigenen Dienst „Anmelden mit Apple“ (Sign In with Apple) bietet der iPhone-Hersteller nicht nur eine Alternative zur Authentifizierung durch Facebook und Google an, mit denen er den Nutzern mehr Privatsphäre verspricht. Es schreibt den App-Entwicklern außerdem zwingend vor, die Anmeldung via Apple immer anzubieten, wenn auch die Anmeldung über Drittanbieter wie Facebook oder Google möglich ist. Schon das gefiel nicht allen Entwicklern. Dazu kam außerdem, dass Apple die tatsächliche E-Mail-Adresse eines Nutzers nicht an den Entwickler einer App weitergibt. Apples Richtlinien drängen zudem dazu, „Anmelden mit Apple“ stets über konkurrierenden Services zu platzieren.
Für seinen neuen Dienst greift Apple auf OpenID Connect zurück, eine auf OAuth 2.0 basierende Authentifizierungsschicht. Die OpenID Foundation zeichnet für diesen Standard verantwortlich, der beispielsweise auch von Google, Microsoft, Amazon, Salesforce, VMware und Deutsche Telekom genutzt wird. Die OpenID Foundation begrüßt grundsätzlich Apples Entscheidung, sich ebenfalls auf OpenID Connect zu verlassen – sieht aber zugleich Anlass zu Kritik.
Die Stiftung bringt das in einem offenen Brief an Apples Softwarechef Craig Federighi zum Ausdfruck. Das Schreiben ist ebenso höflich wie entschieden kritisch formuliert. Apple habe OpenID Connect scheinbar weitgehend implementiert, heißt es darin – „oder hat es zumindest versucht“. Dazu wird auf Unterschiede zwischen Apples Dienst und dem zugrundeliegenden Standard verwiesen, die das Zertifizierungsteam der OpenID Foundation dokumentiert hat.
„Die derzeitigen Unterschiede zwischen OpenID Connect und Sign In with Apple verringert die Orte, an denen Nutzer Anmelden mit Apple einsetzen können, und setzt sie größeren Risiken für Sicherheit und Privatsphäre aus“, heißt es in dem Schreiben weiter. „Es bewirkt außerdem eine unangemessene Belastung für Entwickler sowohl von OpenID als auch Sign In with Apple.“ Wenn es diese Lücken schließe, könnte Apple interoperabel werden mit der weit verbreiteten Software, die OpenID Connect als „Relying Party“ nutzt.
Als „Einladung“ an Apple spricht die Stiftung mehrere klare Forderungen aus. Der iPhone-Hersteller möge die genannten Lücken zwischen seinem Anmeldedienst und OpenID Connect schließen. Dann sei der Einsatz der OpenID Connect Self Certification Test Suite ratsam, um die Interoperabilität und Sicherheit von Anmelden mit Apple zu verbessern. Apple solle außerdem öffentlich feststellen, dass Anmelden mit Apple kompatibel und interoperabel mit der breit verfügbaren OpenID Connect Relying Party-Software ist. Als abschließender Schritt stehe Apples Beitritt zur OpenID Foundation an.
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
