安全標準組織OpenID基金會周末對蘋果發出公開信指出蘋果隨同iOS 13及iPadOS發表的隱私簽入系統Sign with Apple雖然擁抱了大部份OpenID協定,但終究未完全標準化,不但造成開發人員負擔,也可能提高用戶隱私與安全風險。

OpenID基金會主席Nat Sakimura在對蘋果軟體工程資深副總裁 Craig Federighi的公開信中,首先讚揚蘋果提供以OpenID Connect開發的Sign with Apple,讓iPhone及Mac電腦用戶可安全登入第三方行動和網頁應用。

Open ID Connect是以OAuth 2.0為基礎發展的現代化身份驗證協定,可以標準化方式登入第三方應用程式,OpenID基金會則是OpenID Connect平台的非營利組織,主要成員包括Google、微軟、PayPal及Akamai。

但Sakimura指出,Sign with Apple的實作只「大部份」採用OpenID Connect,致使兩者之間仍然一部份差異。該基金會認為兩者的相異處,將限縮蘋果裝置這項驗證服務的適用場合,也使他們曝露於更高的安全和隱私風險中,此外也對開發商增添不必要的負擔。

OpenID基金會呼籲蘋果應縮小兩者之間的差異,以便與OAuth 2.0用戶端應用程式OpenID Connect Relying Party(OIDC RP)相容、且以OpenID Connect的自主認證測試套件來提升Sign with Apple的相容性和安全性。此外,他也希望蘋果加入OpenID基金會,並且公開宣揚Sign with Apple和OIDC RP軟體的相容性。

蘋果預計在今年秋天發布的iOS 13及iPad OS正式版,加入Sign with Apple技術。對於登記網站或app帳戶的使用者,如果用戶不願意註冊真實電子郵件信箱,系統會產生一個專屬於該app或網站的隨機郵件信箱。這些郵件信箱為蘋果代管,因此一旦app寄送垃圾郵件就會被導向蘋果,這可以阻絕垃圾郵件後患,也可以追查是哪個app或網站將用戶電子郵件外洩給別人。Sign In with Apple還可以結合Face ID或Touch ID驗證,並內建雙因素驗證。蘋果並規定今年秋天起,支援第三方登入工具的app,都必須提供這項功能作為用戶選項。


Advertisement

更多 iThome相關內容