Google macht Ernst: Mehr Sicherheit durch OAuth 2.0
von caschy | 15 Kommentare
Google macht Nägel mit Köpfen in punkto Sicherheit. Bereits in der zweiten Jahreshälfte werden neue Mechanismen zur Sicherheit der Nutzer greifen. Allen Entwicklern legt man nahe, zukünftig auf OAuth 2.0 zu setzen, anstatt dem Nutzer Kontonamen und Passwort eingeben zu lassen. Bereits jetzt gibt es Werkzeuge für Entwickler, das Google Sign-in und OAuth 2.0 im Google API zu nutzen, ebenso wie in IMAP, SMTP und XMPP. In der zweiten Jahreshälfte will man die Sicherheitschecks, die beim Zugriff auf ein Google-Konto greifen, sukzessive erhöhen.
Diese Prüfungen sollen dafür sorgen, dass nur die vorgesehenen Benutzer Zugriff bekommen, sei es im Browser oder über die Apps. Applikationen, die weiterhin auf die Kombination Username und Passwort setzen, werden zwar weiterhin funktionieren, doch hier will man dann den Nutzer auffordern, weitere Schritte zur Autorisierung zu unternehmen. Inwiefern Google den Nutzer gängelt, sich zu authentifizieren, wenn er eine „alte App“ ohne OAuth 2.0 nutzt, bleibt abzuwarten.
Wird geladen ...
Wenn der Branchenprimus mit sowas voranschreitet kann das nur ein gutes Zeichen sein!
Oh Gott. OAuth2 ist die größte Scheisse ever, aus Entwicklersicht. Die Implementierung ist aufwändiger als alles andere …
Da zitiere ich doch gerne den führenden Autoren von OAuth 2 (Eran Hammer-Lahav), der seinen eigenen Namen von der Spezifikation hat streichen lassen:
„When compared with OAuth 1.0, the 2.0 specification is more complex, less interoperable, less useful, more incomplete, and most importantly, less secure“
@Sören Hentzschel: das 2012er Interview?
OAuth 1.0 und 2.0 sind echt mist. Besonders bei Batchprogrammen oder stand-alone Desktop-Anwendungen! Man muss eine komplette Browser-Implementierung mitschleppen, nur um ein0-8-15 Token zu erzeugen.
Wenn das so weitergeht, wird Google nach Yahoo im März der nächste große Name sein, der fliegt. Abgesehen von Gmail und YouTube benutze ich von Google bereits nix mehr, dann wird man das auch noch schaukeln, auf ersteres bin ich nicht unbedingt angewiesen und für letzteres gibt es andere Möglichkeiten etwa über das XBMC oder was weiss ich.
Schade eigentlich. Google hat durchaus gute Ideen wie Perfect Forward Secrecy, was Sicherheitskonzepte angeht, aber die neuen Konzepte gefallen mir teilweise ganz und gar nicht. oAuth 2.0 klingt eher nach Trietzen als nach einer wirklichen Hilfe und dann (den Link zum Artikel hatte ich Caschy vor einiger Zeit mal geschickt) kam vor einiger Zeit das Projekt Google 2.0 raus, wo Google auch bei den Webapps von der klassischen Maus- auf Gestensteuerung umstellen will, also Touch oder Mausgesten, wenn ichs richtig verstanden habe. Wie sich YouTube damit bedienen lassen wird, wird sicher interessant. Naja, aber wie gesagt, vll. fliegt da bald was…
@caschy: http://hueniverse.com/2012/07/26/oauth-2-0-and-the-road-to-hell/
Was bedeutet das aus Anwendersicht?
Bedeutet OAuth 2.0 immer Authentifizierung mit dem Smartphone?
Bloed, wenn ich also keins habe.
Nein, OAuth 2.0 bedeutet nicht automatisch Authentifizierung mit dem Smartphone.