Benden farklı olarak güvenli değil. Apple bu sefer başka birinin pastasına dokundu.
Appleın iOS ve Mac yazılımlarından sorumlu kıdemli başkan yardımcısı Craig Federigi'nin geçen ay düzenlenen WWDC'de tüm dünyadaki geliştiricilere ve kullanıcılara yeni bir iOS 13 özelliği sunduğunu hatırlıyor musunuz bilmiyorum. "Apple ile giriş yapın". Kullanıcıların, kullanıcı gizliliğini korumak için üçüncü taraf uygulamalara giriş yapmak için rastgele oluşturulmuş tek seferlik sanal posta kaydını kullanmayı seçmelerine olanak tanır.
Apple, bu yeni özelliği tanıtmak için, üçüncü taraf uygulama geliştiricilerinin diğer üçüncü taraf oturum açma bilgilerini sağlamalarını, bu oturum açma seçeneğini de sağlamaları ve oturum açma düğmesinin diğer üçüncü kişi oturum açma yöntemlerini kullanan düğmelerin üstüne yerleştirilmesini gerektirir. Apple'ın "Apple ile Giriş Yap" şeklindeki zorunlu şartının üçüncü taraf oturum açma uygulamasını geçersiz kılması gerektiğinden veya rekabetin adilliğini ihlal ettiğinden şüphelenildiğinden bahsetmiyorum bile. Son zamanlarda, kendi güvenliği de gündeme getirildi.
Geçen Perşembe, OpenID Vakfı Apple'a açık bir mektup gönderdi. Bu açık mektubun, OpenID Vakfı (OIDF) Topluluk Komitesi Başkanı Sakuramura Natatori tarafından Apple'ın yazılım işi olan Craig Federigi'ye yazıldığı ve ana içeriğin OpenID Connect protokolünü kullanarak "çoğunlukla" oturum açma işlevini övmek olduğu bildirildi. , Ancak ikisi arasında pek çok fark vardır ve bu farklılıklar, kullanıcıların daha fazla güvenlik ve gizlilik riskleriyle karşı karşıya kalmasına neden olacaktır.
Bazı arkadaşlar, OpenID Vakfı'nın kökeninin ne olduğunu düşünebilir, aslında yaklaşık trilyon ABD doları piyasa değerine sahip bir teknoloji şirketi hakkında farklı görüşler ortaya koyarlar. Ama aslında OIDF bir sülün organizasyonu değil. OpenID teknolojisinin geliştirilmesinden ve uygulanmasından ve OpenID sertifikalarının verilmesinden sorumlu olan kar amacı gütmeyen bir kuruluştur. Üyeleri arasında Google, Microsoft, PayPal, NRI, Oracle ve GSMA gibi çok sayıda teknoloji devi bulunmaktadır.
OpenID, LiveJournal ve SixApart tarafından geliştirilmiş, kullanıcı merkezli dağıtılmış bir dijital kimlik çerçevesidir.İnternette en yaygın kullanılan kimlik doğrulama sistemi olduğu söylenebilir.Uygulama ve web sitesi geliştiricilerinin kullanıcıların kimliklerini doğrulamasına olanak tanır. , Parolaları saklama ve yönetme sorumluluğunu üstlenmek zorunda kalmadan. OpenID hesabı, bu doğrulama sistemini kullanan herhangi bir web sitesinde ve APP'de kullanılabilir, böylece kullanıcılar için çoklu kayıt işlemlerinin zahmetli olması önlenir. Yetkilendirmeden sorumlu OAuth protokolü ile birlikte, Tencent Internet-OpenAPI gibi üçüncü taraf oturum açma işlevlerinin gerçekleştirilmesinin temelini oluşturur.
OpenID prensibi oldukça basittir.Kullanıcının zaten Tencent'e kayıtlı bir OpenID hesabına sahip olduğunu varsayarsak, yani QQ numarası, OpenID hesabıyla oturum açmayı destekleyen Weibo'yu kullanırken, bu kez oturum açmak için Weibo oturum açma arayüzüne ilgili hesabı girin, göz atın Cihaz, kimlik doğrulaması için otomatik olarak Tencent İnternet sayfasına dönecektir. Bu noktada, kullanıcının Weibo'yu doğrulamak ve yönetmek için yalnızca QQ hesap şifresini girmesi gerekir ve doğrulama geçtikten sonra otomatik olarak Weibo'ya geçecektir.
Ancak, Apple bir OIDF üyesi olmadığı için, yeni başlatılan "Apple ile Giriş Yap" seti OpenID sistemindeki bir ürün değildir. Bu nedenle, OpenID Connect ile "Apple ile Giriş Yap" arasındaki farkı analiz ettikten sonra, OpenID topluluğunun geliştiricileri bu oturum açma yönteminin olası risklerine dikkat çekti.
En önemlilerinden biri, geliştiricinin yalnızca "kullanıcı ilk kez oturum açtığında ön uçtan sanal posta kutusunu" alabilmesidir, bu da posta kutusunun güvenliğini doğrulamayı imkansız hale getirir. Diğer bir deyişle, posta kutusunun kullanıcı tarafından kullanılması gerektiğinden emin olmak için geliştiricinin yine de kullanıcıya bir onay e-postası göndermesi gerekir.
OIDF tarafından yayınlanan belgelere kısaca baktığımızda, "Benden farkı, gizlilik ve güvenlik risklerinin olduğu yerlerdir." Evet, OpenID Vakfı gerçekten de kar amacı gütmeyen bir kuruluştur, ancak yönetim kurulu üyeleri Google, Microsoft, PayPal vb. Kuruluşlardandır, dolayısıyla bu aynı zamanda çıkarların Apple tarafından ihlal edileceği anlamına gelir.
"Apple ile Giriş Yap" kullanıcıları memnun ediyor, ancak bu gerçekten geliştiricilerin çıkarlarına zarar veriyor. Her şirketin hesap sisteminin altından maaş çekmek aynı şeydir. Sonuç olarak AppleID, iOS sistemindeki diğer üçüncü taraf hesaplarının yerini alacaktır. sistemi.
Mevcut üçüncü taraf hesap modelinde, kullanıcının kişisel verilerinin gerçekte "iki yönlü ifşa" durumu vardır ve kullanıcıların üçüncü taraf oturum açma desteği karşılığında kişisel e-posta adreslerini platforma vermelerini gerektirir. Kullanıcı tarafından yetkilendirilen üçüncü taraf giriş bilgileriyle, Google gibi platformlar kullanıcının kullanımı hakkında bilgi edinebilir (tür / sıklık vb.) Ve ardından her platformun çapraz yetkilendirmesi yoluyla kullanıcı portresine güvenilir bilgiler ekleyebilir. Posta kutusu aynı zamanda reklam ve pazarlama için bir savaş alanı haline gelebilir, böylece kullanıcılara her türlü reklam e-postasını gönderebilir.
Apple, diğer üreticiler tarafından kullanıcı bilgilerinin toplanmasını etkilemesinin yanı sıra, Android'e atlayan kullanıcıların maliyetini büyük ölçüde artırma düşüncesine sahip değil. Touch ID ve Face ID gibi mevcut uygun biyometrik kimlik doğrulama mekanizmalarına dayanarak, kullanıcılar gelecekte bu işlevle çok sayıda üçüncü taraf oturum açma uygulamasına hızlı bir şekilde giriş yapabilecek, Android tarafında ise benzer deneyim çok daha kötü olacak.
Öyleyse, etkinliği tartışmalı böylesine açık bir mektup dışında, OIDF, Apple'a karşı zorunlu tedbirler uygulayabilir mi? Cevap evet. OpenID sertifika şartlarında şöyle bir açıklama var: "OIDF, sınırlı lisansı herhangi bir zamanda iptal etme hakkını saklı tutar", "OIDF herhangi bir olası veya ilgili sorumluluk üstlenmez", "OIDF, uygulayıcının ihlal ettiğine kendi başına karar verecektir. Bu Sözleşme veya geçerli herhangi bir yasa ".
Bu aynı zamanda, OIDF'nin geliştiricilere gerekirse zorunlu "iki seçenek" verme yeteneğine sahip olduğu anlamına gelir. Elbette, bir standardizasyon kuruluşu olarak, bu "iki seçenek", örgütün itibarını aşan bir "nükleer silah" dır ve son çare değilse kullanılmayacaktır. Ancak Apple bu sefer herkesin pastasını hareket ettirirse, doğal olarak belirli bir toparlanmaya neden olacaktır.
OIDF, AppleID girişi ile OpenIDConnect arasındaki boşluğu çözme, OpenID bağlantı kimlik doğrulama test paketini kullanma, AppleID girişinin OpenID Connect ile uyumlu ve birlikte çalışabilir olduğunu beyan etme ve OIDF'ye katılma dahil olmak üzere açık mektupta Apple'a dört görüş ileri sürdü. Genel olarak, bu sadece bir cümle. OIDF, dış dünyaya Apple'ın kendi standartlarını tanımadığımızı söylemek için endüstrisinin ana akımına güveniyor. "Orduları tersine çevirmek ve Eli Lilly ile teslim olmak" daha iyidir.
Şimdi top Apple'ın tarafına atıldı ... Kayıtsız olduğu, hatta çatışmacı bir strateji benimsediği söylenirse, "güvenlik" ve "mahremiyet" gibi iki büyük şapka bükülür.Kullanıcı mahremiyetini korumakla her zaman bilinen Apple için şüphesiz somut bir etkidir. . OpenID Connect protokolü ile tam olarak entegre edildiğinde, "Apple ile Giriş Yap" zorluğu büyük ölçüde artacaktır. Bu nedenle, bu açık mektubu alan Craig Federigi bir baş ağrısı olabilir.
Yerli kullanıcılar ise sadece "yağmur kızının kavunları yok" diyebiliyorlar çünkü mevcut iç hesap sistemi genellikle e-posta adresleri yerine cep telefonu numaraları ile ilişkilendiriliyor ve her türlü tanıtım bilgisi genellikle SMS ile gerçekleştiriliyor. Buna ek olarak, Çin telefon numaraları için gerçek bir isim sistemi benimsiyor, bu nedenle Apple gibi son derece uyumlu bir kuruluş için sanal telefon numaralarını destekleyen "Apple ile Giriş Yap" olasılığı neredeyse zayıf.
Ama her şeyde bir durum var, eğer Apple bir çözüm düşünürse bu özellik daha ilginç hale gelebilir.
