根据OpenID Apple的新身份验证系统会摇摆不定

凭借去年6月在WWDC会议上提出的新服务“与苹果联系”，库比蒂诺公司再次发挥个人数据保护卡的作用。与Facebook和Google的身份验证系统不同，Apple的身份验证系统会隐藏用户的电子邮件地址，从而保护他们的隐私。这是个好主意。

然而，不太好的是，Apple在其解决方案的计算机安全性方面明显受到了限制。无论如何，这就是OpenID基金会主席Nat Sakimura所认为的。

它负责开发广泛用于网络行业的同名认证标准。在致软件工程副总裁Craig Federighi的一封信中，总裁指出，Apple已经大部分使用这个标准来创建其身份验证系统......没有公开表示，最重要的是，没有实现所有规格。结果：与Apple连接已经存在多个安全漏洞。

攻击和错误

例如，在在线文档中，基金会列出了三个实施错误，允许攻击者执行代码插入或“跨站点请求伪造攻击”攻击。第四个实现错误也会减少对个人数据的保护，这是一种耻辱。该基金会利用这份文件在好的撒玛利亚人中列出了Apple协议中发现的十几个漏洞。

Nat Sakimura认为这种情况并不令人满意。“OpenID Connect和Apple Connect之间的当前差异减少了用户可以使用与Apple连接并使其面临更大安全性和隐私风险的情况。它还对OpenID Connect和Connect与Apple的开发人员进行了不必要的工作，“他写道。在他的信中，他敦促Apple不仅要纠正这些实施错误，还要正式加入OpenID基金会。但这可能是一厢情愿的想法。在过去，Apple从未对团体游戏非常感兴趣。

标签： Apple