Proponha uma correção, faça uma sugestão
Sign In with Apple traz riscos de segurança e privacidade segundo a OpenID Foundation
Na última keynote a Apple mostrou muitas novidades para os seus produtos e para os seus serviços. Estes vão receber em breve tudo o que foi criado, mas um marcou a audiência por prometer segurança e privacidade.
O Sign In with Apple quer aumentar a segurança e a privacidade no acesso aos serviços. Mesmo com todas estas promessas, algumas dúvidas surgiram. A OpenID Foundation veio agora alertar para os riscos de segurança e privacidade deste serviço.
Quando apresentou o Sign In with Apple, a empresa garantiu que este iria manter os padrões de segurança e privacidade elevados neste seu serviço. Este seria uma alternativa ao que a Google e o Facebook já oferece, mas com maior controlo dado aos utilizadores.
Sign In with Apple traz riscos de segurança e privacidade
Claro que por ser um sistema fechado, levanta algumas dúvidas importantes. A OpenID Foundation veio agora apresentar algumas, que considera serem relevantes e que a gigante de Cupertino deveria responder aos utilizadores.
O foco destas questões está na força como a Apple criou a sua oferta. Apesar de ser baseado de forma alargada no OpenID, existem diferenças substanciais. São precisamente estas que são questionadas e que podem colocar problemas aos utilizadores.
A OpenID Foundation revela também alguma limitação que os utilizadores têm ao usar este novo serviço. São eventualmente muito menos os locais onde vai estar implementado. Há ainda um fardo adicional para os programadores por terem de implementar um novo sistema de autenticação.
OpenID Foundation alertou para os problemas
Nessa missiva fica também o apelo a que a Apple reduza a diferença entre estes sistemas e que o aproxime do OpenID. Assim o grau de confiança será maior e será muito mais simples de implementar pelos programadores.
Criada para manter os sistema de autenticação, esta fundação tem como membros o PayPal, Google, Microsoft e muitos outros. Controla principalmente vários destes mecanismos universais, com o OpenID Connect a ser o protocolo de identidade mais conhecido. É baseado no OAuth 2.0 e usado na maioria dos processos de autenticação da Internet.
Este artigo tem mais de um ano
Fonte: OpenID Foundation
Neste artigo: Apple, OpenID, privacidade, Segurança, Sign In
Loading ...
A única razão apontada é que a versão da Apple é diferente do “standard” da OpenID e por isso será adoptado em menos casos e como tal deixará os utilizadores em risco nos casos em que não for adoptado.
Isto tudo, vindo de uma fundação financiada pela… Google.
Leste o documento com as diferenças e o que pode acontecer?
A única coisa que a OpenID Foundation está a “pedir” é para não “cortarem coisas” na autenticação para garantir uma segurança idêntica aos outros serviços. Algumas das coisas em falta tornam o processo vulnerável a ataques já conhecidos.
E não é só a Google que financia esta fundação.
E só não dizem quais …. o que seria o normal. Apenas afirmam tal como escreveste que :
“When nonce is provided in the code or code id_token grant types, it isn’t included in the id_token returned. Not having the nonce enables known attacks.”
Isto não diz nada.
Abc
Lol, que figurinha age a openID fez com esta pseudo noticia.
Eles até tremem.
Quando der asneira logo vemos a figurinha. Falar sem estar informado é sempre mais fácil.
Já se sabe que se alguém faz um critica á Apple é parolo ou fez um pacto com o diabo.
Eles fizeram uma declaração a dizer que o Apple Sign In vai ter problemas de segurança por não seguir o seu protocolo. Não seguir um protocolo não faz com que a coisa deixe de ser segura. Isto é uma não-noticia na medida em que:
– o fundamento da conclusão de falta de segurança não é válido
– o serviço ainda não saiu ao mercado, por isso ainda nem pode ser testado
Se eles fizesem uma declaração a dizer que o Apple Sign era altamente seguro, haveria tanta indignação?
@Toni da Adega:
Qual é a declaração que cria mais indignação (tendo em conta a ausência de provas):
– o Zé matou a Maria
– o Zé nunca matou ninguém
Se a Open ID quer acusar de que o serviço da Apple não é seguro, que apresente coisas concretas
Falhaste redondamente no exemplo.
Saem duas noticias, ambas com ausência de provas:
Dispositivo X não tem falhas de seguranca
Dispositivo X tem falhas de seguranca.
Qual a noticia mais correcta?
Afirmar que tem segurança seria algo aceitavel e normal.
Afirmar que tem falhas de seguranca, já não pode ser porque estão a fazer acusacoes sem provas.
“Afirmar que tem falhas de seguranca, já não pode ser porque estão a fazer acusacoes sem provas.”
E é precisamente o que a Open ID está a fazer neste caso
E cada vez mais estás a concordar comigo.
A revolta está porque falaram mal de um produto e nao porque falaram com ausência de provas.
Porque se fosse a falar bem (mesmo com ausência de provas de que é seguro) o pessoal ia ficar todo contente, mesmo estando a fazer afirmacoes sem provas.
Basicamente existem tantas provas que é seguro como existem que não é seguro, mas só o Segundo é que interessa.
Todos nós sabemos que a apple até à algum tempo acenava com o marketing e as questões de segurança eram relegadas para segundo plano. Os tempos, os problemas e as exigência são outros… marketing ainda convence alguns, mas, não todos e até os mais entusiastas estão a render-se às evidências…