Zweifelhafte Argumentation der OpenID Foundation
„Mit Apple anmelden“: Fehlende Standardisierung soll Privatsphäre gefährden
Mit der für iOS 13 angekündigten Funktion „Mit Apple anmelden“ verspricht Apple komfortableres Anmelden bei Online-Diensten und zudem verbesserten Schutz der Privatsphäre. Doch das Projekt findet nicht überall Zuspruch. Die hinter dem offenen Authentifizierungsprotokoll OpenID stehende OpenID Foundation kritisiert Apples Konzept in einem offenen Brief.
Die OpenID Foundation ist ein Zusammenschluss von namhaften Herstellern und Institutionen und hat sich zum Ziel gesetzt, ein sicheres und frei verfügbares Anmeldeprotokoll bereitzustellen. Entwickler können auf diesem Standard basierend verlässliche Authentifizierungsfunktionen plattformunabhängig in ihre Anwendungen einbauen. OpenID wird unter anderem von Google, Microsoft, PayPal und der Deutschen Telekom unterstützt.
In ihrem Schreiben lobt die Organisation zunächst die Tatsache, dass Apple bei „Mit Apple anmelden“ zu weiten Teilen auf das Protokoll OpenID Connect setzt. Allerdings sei diese Implementierung nicht vollständig und dies habe zur Folge, dass die Sicherheit und Privatsphäre der Nutzer zusätzlich gefährdet sei. Ob diese Unterstellung berechtigt ist, lässt sich allerdings nicht überprüfen. Die Verfasser des an Apples Software-Chef Craig Federighi gerichteten Briefes begründen ihre Aussage nicht.
Plumpes Werben um Apple als Partner?
Es scheint dann auch, dass die OpenID-Macher Apple eher dazu bewegen wollen, den Standard vollständig zu unterstützen, um eine Kompatibilität auch mit den Anwendungen anderer Entwickler herzustellen. Zudem würde man Apple gerne als offiziellen Partner bei OpenID begrüßen.
Doch ist kaum anzunehmen, dass Apple den von der OpenID Foundation unterbreiteten Vorschlägen folgen wird. Apples Sicherheitskonzept auch das neue Anmeldesystem betreffend baut zu weiten Teilen auf eine konsequente Abschottung und die Ausgestaltung als proprietäres System. Interessant ist gerade mit Blick darauf allerdings eine zunächst beiläufig erscheinende Formulierung im Brief an Federighi. Die Worte „offenbar hat Apple OpenID Connect weitgehend für sein Angebot ‚Mit Apple Anmelden‘ übernommen oder dies zumindest beabsichtigt“ könnte man auch als dezente Warnung lesen: „Ihr nutzt unseren Standard, also baut diesen bitte auch so ein wie vorgesehen“.
Apple könnte ja auch der FIDO Alliance beitreten und diesen Standard unterstützen. Wäre schön.
@ifun: Im „Untertitel“ schreibt ihr „zweifelhafte Argumentation der OpenID Foundation“.
Worin ist die Argumentation zweifelhaft, außer das sie nicht näher darauf eingehen? Das geht aus eurem Artikel nicht hervor bzw. für „sie erläutern nicht näher“ finde ich es arg reißerisch.
Schade…
Naja… wenn sie eben nicht näher darauf eingehen, ist die Argumentation zweifelhaft. Die Formulierung ist korrekt. Definitiv ist sie auch nicht reißerisch.
@Thomas: Also wenn ich mich recht erinnere, haben wir alle gelernt, wie Argumente aufgebaut sein sollten und müssen, damit diese auch als Argument durchgehen. Ohne Begründung bleibt es nur eine Behauptung. Ergo: zweifelhafte Argumentation.
Die ganze Argumentation von OpenID ist Quatsch. Apple nutzt zwar in gewissen Teilen deren Standard, aber OpenID ist ja gerade dafür da, dass jeder Service genau weiß, dass der sich anmeldende Person X ist.
Bei Apple wird ja gerade die Möglichkeit geschaffen, dass die Webseiten nicht mal die Mail Adresse des Users bekommen.
Somit ist zwar das Grundgerüst gleich, aber das Ziel genau das Gegenteil.
Das ist falsch.
Du kannst auch als OpenID-Anbieter in die Token alternative Infos, die nur für einen einzigen Dienst so sind, packen. Das ist alles eine Frage der Implementierung.
Dass fehlende Bestandteile des Standards die Sicherheit beeinträchtigen können (siehe z.B. fehlende Unterstützung bzw. falsche Behandlung des Nonce-Werts), ist berechtigte Kritik.
Ich lese hier nur „bitte lasst euch von uns zertifizieren“, die Kritik scheint mir etwas sehr konstruiert.
Als potentielles Sicherheits-Problem bleibt eigtl. nur die unvollständige Unterstützung des ’nonce‘-Parameter übrig aus der Kritik. Dieser sorgt dafür, dass der generierte Zugriffstoken auf ein bestimmtes Gerät gepinnt ist und dient vielleicht noch als Schutz gegen evtl. Replay-Attacken. Ich kann mir vorstellen, dass Apple hierauf bewusst verzichtet und das machen andere Firmen durchaus auch (z.B. ein bekannter Saugroboterhersteller, der ebenso hierauf verzichtet für 3rd-Party-Anwendungen zur Steuerung)
Der Rest der Kritik ist eher Kosmetik.
Wir nutzen bei uns im Konzern (>100.000 Mitarbeiter, vierstellige Anzahl von Applikationen) z.B. auch eine „unvollständige“ OpenID-Implementierung aus nachvollziehbaren Gründen.
Die OpenID-Foundation würde sicher nur gerne Apple (oder auch meinen Arbeitgeber) gerne als Credential auf ihrer Seite gelistet sehen.
Fand ich auf der letzten Keynote als eins der besten Features, was zwar angerissen wurde aber viel zu wenig Aufmerksamkeit erhalten hat in der Öffentlichkeit
An sich ist die Idee nett. Was mir gegen den Strich geht, ist dass das Nutzen der anonymen E-Mail-Adresse dazu führt, dass die E-Mails einmal an Apple gehen und dann dort verarbeitet/ausgewertet werden können.
Das ist natürlich korrekt, allerdings der einzige Weg, dafür zu sorgen, dass du nicht deine E-Mail eintragen musst.
Da müssen wir einfach auf Apple vertrauen, dass sie wirklich nur relayen.
Richtig.
Leider hat es sich eingebürgert, dass man überall seine E-Mail-Adresse hinterlassen muss und diese als Benutzername funktioniert.
Das ginge auch alles ohne, aber dann könnte man den Benutzer nicht mehr zuspammen.
Das ist mit Sicherheit ein interessantes Feature. Aber wenn ich das richtig verstanden habe, bekommt die Webseite neben meiner Fake-Mailadresse ja trotzdem noch einen eindeutigen Benutzernamen, mit dem man eindeutig getränkt werden kann. Außerdem werden die Webseiten vermutlich weiterhin mehr Daten erfassen, als nötig.
Dann bleibe ich lieber bei eigenen Alias-Adressen, bei denen ich falsche Daten angebe, und dann schlechter getrackt werden kann. Die echten Daten bekommt nur, wer diese auch braucht.
Der Benutzername ist nur für die Website / den Dienst eindeutig, aber nicht über Dienste hinweg. Ist ja auch logisch. Sonst wurde der Login ja nicht funktionieren.