menu

"Anmelden mit Apple" ist unsicher: Apple muss noch Lücken schließen

Bei "Anmelden mit Apple" müssen noch einige Lücken geschlossen werden.
Bei "Anmelden mit Apple" müssen noch einige Lücken geschlossen werden.

Auf der diesjährigen WWDC kündigte Apple für macOS Catalina und iOS 13 "Anmelden mit Apple" an, was Nutzern erlaubt, sich auf Webseiten und in Apps von Drittanbietern mit ihrer Apple ID anzumelden. Laut dem Unternehmen soll diese Methode sehr sicher sein, die OpenID Foundation hat aber noch einiges zu bemängeln.

Die OpenID Foundation (OIDF) schrieb einen offenen Brief an Apple, in dem sie einige Bedenken bezüglich des neuen Service äußerte, wie AppleInsider berichtet. Die OIDF ist eine gemeinnützige Organisation, zu deren Mitgliedern auch Firmen wie Google, Microsoft oder Paypal gehören. Sie ist ebenfalls verantwortlich für OpenID Connect, ein Authentifizierungsprotokoll, welches auf OAuth 2.0 aufbaut und die Anmeldung auf Websites und in Apps erleichtert.

Ein wenig Lob und viel Tadel für Apple

In dem offenen Brief wird Apple zunächst dafür gelobt, dass große Teile von OpenID Connect in den Dienst integriert wurden. Aber es soll einige Unterschiede zwischen dem standardisierten Authentifizierungsprotokoll und "Anmelden mit Apple" geben, die die Privatsphäre und Sicherheit der Nutzer in Gefahr bringen könnte. Das Fehlen von PKCE (Proof Key for Code Exchange) begünstige beispielsweise Schadcode-Injektionen und Replay-Angriffe, mit denen Angreifer Zugriff auf die Konten der Nutzer erhalten können.

Weiterhin sei es für Entwickler eine zusätzliche Belastung, ihre Apps mit beiden Diensten kompatibel zu machen. Deshalb forderte die OIDF Apple dazu auf, ihren Code mit der Relying Party Software von OpenID Connect kompatibel zu machen, die angesprochenen "Lücken" auszubessern und schließlich der OpenID Foundation beizutreten.

Wenn eine Anmeldung per Google unterstützt wird, dann muss auch Anmelden per Apple funktionieren

Die Testphase von "Anmelden mit Apple" soll noch in diesem Sommer – vor dem Launch von iOS 13 – starten. Apple will mit dem Feature eine Alternative zu den Sign-In-Buttons von Facebook, Google und Twitter bieten. Die Kalifornier ernteten für den kommenden Dienst jedoch bereits Kritik, da sie verlangen, dass "Anmelden mit Apple" zwingend von Apps unterstützt werden müsse, wenn auch andere Anmelde-Methoden per Google oder Facebook ermöglicht werden.

Kommentar schreiben
Relevante Themen:

Neueste Artikel zum Thema Apple

close
Bitte Suchbegriff eingeben