Anmelden mit Apple: OpenID Foundation äußert Bedenken
Auf der Eröffnungskeynote der diesjährigen WWDC stellte Apple nicht nur viele neue Betriebssysteme, sondern auch eine gänzlich neue Methode des Anmeldens vor. „Anmelden mit Apple“ soll es heißen und funktioniert einfach gesagt so, dass für das Anmelden an anderen Diensten nicht eure eigene Mail-Adresse, sondern eine temporär generierte verwendet wird.
Somit erhalten Drittanbieter niemals eure private Adresse und sobald ihr eine temporäre löscht, verfällt auch der Zugriff auf euer Konto. In den App Store Review Guidelines schreibt Apple den Entwicklern außerdem vor, dass man „Anmelden mit Apple“ anbieten soll, wenn man aktuell auch Drittanbieter-Logins à la Facebook, Google und Co. unterstützt.
Hört sich an und für sich gut an und wird schnell für eine breite Verfügbarkeit sorgen. Die OpenID Foundation (OIDF), zu der Google, Microsoft, PayPal und viele andere gehören, beklagt das Vorgehen von Apple jedoch. Man gehe einen eigenen Weg und setze nicht auf den bisher genutzten OpenID Connect-Standard, der auf dem OAuth-Protokoll aufsetzt. In einem offenen Brief an Craig Federighi adressiert man die Bedenken und hat auch eine Seite mit den Unterschieden zwischen „Anmelden mit Apple“ und OpenID parat.
Der Apple-Standard würde unnötig viel Arbeit für Entwickler bedeuten und außerdem Sicherheitsrisiken für den Endnutzer bedeuten. Apple solle sich die Unterschiede anschauen und das Feedback in die Entwicklung der Methode einfließen lassen, idealerweise aber den OpenID-Standard nutzen und der OpenID Foundation beitreten.
Mal schauen, ob Apple zeitnah auf den offenen Brief reagiert und vor allem wie.
Dear Mr. Federighi,
The OpenID Foundation applauds Apple’s efforts to allow users to login to third-party mobile and Web applications with their Apple ID using OpenID Connect.
Over the course of the last decade, OpenID Connect was developed by a large number of companies and industry experts within the OpenID Foundation (OIDF). OpenID Connect is a modern, widely-adopted identity protocol built on OAuth 2.0 that enables third-party login to applications in a standard way.
It appears Apple has largely adopted OpenID Connect for their Sign In with Apple implementation offering, or at least has intended to. Known differences between the two are tracked in a document managed by the OIDF certification team, found here: https://bitbucket.org/openid/connect/src/default/How-Sign-in-with-Apple-differs-from-OpenID-Connect.md.
The current set of differences between OpenID Connect and Sign In with Apple reduces the places where users can use Sign In with Apple and exposes them to greater security and privacy risks. It also places an unnecessary burden on developers of both OpenID Connect and Sign In with Apple. By closing the current gaps, Apple would be interoperable with widely-available OpenID Connect Relying Party software.
Therefore the OpenID Foundation invites Apple to:
- Address the gaps between Sign In with Apple and OpenID Connect based on the feedback.
- Use the OpenID Connect Self Certification Test Suite to improve the interoperability and security of Sign In with Apple.
- Publicly state that Sign In with Apple is compatible and interoperable with widely-available OpenID Connect Relying Party software.
- Join the OpenID Foundation.
The OpenID Foundation and the community at large would appreciate Apple’s feedback.
Thank you for your consideration.
Regards,
Nat Sakimura
OpenID Foundation Chairman
On behalf of the Board of Directors of the OpenID Foundation
Ui, da scheint den Datenkraken aber ordentlich der Reis zu gehen, wenn man schon ein “besorgtes” Schreiben aufsetzen muss.
Wenn man keine Ahnung hat, einfach mal…
Wenn man keine Ahnung hat, wäre es gut, wenn im Artikel auch mal beschrieben wäre, was denn eigentlich die Probleme sind. Aber einfach den Letter reinkopieren, etwas übersetzen und die üblichen themenrelevanten generischen Texte drum packen ist keine Leistung.
Das Dokument ist verlinkt, in dem alle Unterschiede und teilweise auch dadurch mögliche Sicherheitsschwachstellen aufgelistet sind. Muss man nur noch lesen. Dann das, was der andere Flo gesagt hat 😉
Was kannst du Konstruktives zur Diskussion beitragen?
Hat er doch oder würdest du den Schwachsinn von Vuzzl unterschreiben?
Er hat genau auf die Schwachstelle von OpenID hingewiesen – die haben einen kaum brauchbaren Ansatz in Richtung Privacy, eher das Gegenteil
Das hat nur rein gar nichts mit den Protokoll zu tun, sondern alleine vom jeweiligen Anbieter.
Übrigens hat OpenID auf ein paar mögliche Sicherheitsschwachstellen von Apple’s Protokoll genannt 😉 Insofern könnte Apple einen kaum brauchbaren Ansatz in Richtung Sicherheit – und damit fällt auch jeder Ansatz Richtung Privacy.
Wenn Google – und sei es nur indirekt – irgendwo die Finger im Spiel hat, ist zumindest die Frage berechtigt, ob das nicht zumindest eine der Motivationen hinter einer solchen Einladung ist.
Ob Apple technisch bei der Implementierung Fehler hat, kann ich aktuell nicht beurteilen. Apple traue ich durchaus zu, ein sicheres Konzept auch ohne die OIDF, auf die Beine zu stellen.
Ja, nur trägt es nichts zur Diskussion bei, das unter jede Google Nachricht zu pasten.
…ein bisschen wie die Unken, die unter jeden Beitrag zu einem Google Service schreiben, dass sie gespannt sind, wann dieser Service wieder eingestellt wird.
Das ist auch „berechtigt“, aber eben stumpf und unnütz. 😀
Liste der Mitglieder: https://openid.net/foundation/sponsoring-members/
Google, Microsoft, PayPal, usw.
Bei dem Dienst geht es primär um Sicherheit, nicht um Privatsphäre. Der Ersteller der OpenID (Identity Provider) kennt die Login-Historie bei Third Parties, das ist Teil des Protokolls. Ausserdem kann ein Dritter persönliche Daten anfordern. Google schickt beispielsweise Name und Email mit ohne dich darüber zu informieren: https://support.google.com/accounts/answer/112802
„… Google schickt beispielsweise Name und Email mit ohne dich darüber zu informieren.“
Stimmt nicht. Aber man muss schon lesen was man consented.
Doch. Gerade Entscheidungen von solchen Unternehmen sollte man kritisch hinterfragen. Erst recht, wenn es einen als Nutzer/Kunden/… betrifft. Nachher ist es nämlich immer zu spät. Kapitalistisch geführte Unternehmen haben sich noch nie ehrlich für das Wohl ihrer Kunden interessiert.
Apple kocht immer ein eigenes Süppchen (siehe USB-C). Das wird sich hier nicht ändern.
Du sagst das so, als sei das grundsätzlich schlecht. Aber nur, weil jemand sein eigenes Süppchen kocht, heißt das nicht zwangsläufig, dass die auch schlecht schmeckt.
Den Entwicklern dürfte der Mehraufwand wohl nicht gut bekommen. Steht doch im Text.
Apple, das neue Microsoft, dessen IE den Enwicklern mit so mancher üblen Suppe zu schaffen gemacht hat.
Hoffentlich ändert sich das nicht. gerade im dem Fall traue ich es Apple noch am meisten zu einen vernünftigen Standard zu implementieren und auch durchzusetzen. Viele der anderen ganzen ID-Systeme, die alle die Welt verbessern wollen, scheitern doch schlicht an der notwendigen Verbreitung auch Anbieter- UND Nutzerseite. Und alle Systeme sind da an irgendeiner Stelle komliziert und aufwändig. Oder wenigstens von diversen, aus Datenschutzsicht eher bedenklichen Beteiligten abhängig. Und wenn die ganzen anderen Lösungen alle so super sind, warum haben die sich nicht schon mal auf ein System konsolidiert um mehr Akzeptanz zu bekommen? Eben…
Haben sie doch: OpenID (bzw. OAuth 2.0).
Verbessern kann man überall. Deswegen wäre es ja schön, wenn Apple seine Verbesserungen dort mit einsteuert, als einen auf Disruptor zu machen.
Die Frage ist doch, ist das was Apple vor hat mit OpenID realisierbar? Apple erstellt für JEDE App wo man sich mit Sign in with Apple anmeldet eine neue wegwerft E-Mail Adresse. Sobald man diese löscht kommt keine Mail mehr von der App (Unternehmen) an. Man gibt dadurch nicht seine wahre E-Mail Adresse an. Kann man dies mit OpenID realisieren???
Selbstverständlich kann man das.
OpenID gibt’s noch? Toll. Aber wo?
Super Sache, wenn wie von Apple jetzt das Rad zum n-ten mal erfunden wurde. Endlich single-signon – mit x verschiedenen inkompatiblen Anbietern. So wird das nichts mit dem überall einheitlichen Login, um das Passwort/Nutzernamenchaos aufzulösen.
@Wolfgang D.
Es gibt doch Sign-in with Facebook, sign-in with google, sign-In with Twitter , usw.
Was brauchst Du noch ? ;-)))
Ne also was ich bisher über das geplante Apple-System gehört/gelesen habe macht für mich so Datenschutz-Sicht schon echt mehr Sinn, als die Implementationen der diversen Datenkraken (FB, Google und Co).
Best Kommentar auf Macrumors
„OpenID „a non-profit organization whose members include Google, Microsoft, PayPal, and others.“
Someone’s in panic mode, less customer tracking huh“
Das Protokoll hat halt nur absolut nichts mit Tracking zu tun…
OpenID ermöglicht Tracking und Datenweitergabe.
Apple’s Protokoll auch (es ist ja sogar sehr ähnlich), sie behaupten nur nicht zu tracken. Das mit der generierten E-Mail-Adresse und so weiter hat absolut nichts mit dem Protokoll zu tun und funktioniert problemlos mit OpenID Connect.
> Das mit der generierten E-Mail-Adresse … funktioniert problemlos mit OpenID Connect.
Das macht aber keiner.
Das ist inwiefern relevant?
Ich sehe auf der entsprechenden Seite die OpenID zur Verfügung gestellt hat lediglich ein (!) Sicherheitsbedenken, was eventuell CodeInjection möglich macht. Da Apple sich noch nicht mit dem Ding im Rollout befindet und noch Fehler fixt, ist das ja durchaus ein hilfreicher Hinweis, um das zu verbessern.
Alles andere, was da steht ist doch nichts anderes wie „Mimimi das entspricht aber nicht UNSEREM System, ihr macht das ganz anders, das müsste man anpassen“. Für den Endnutzer ist das imho egal, der klickt auf den Button und es geht. Was im Hintergrund passiert, ist für den Endnutzer doch irrelevant, solange (!) die Daten sicher und verschlüsselt übertragen werden.