Anmelden mit Apple: OpenID Foundation kritisiert Cupertinos Sonderweg

Die OpenID Foundation begrüßt zwar Apples Vorhaben, mit "Sign in with Apple" eine sicheres und prinzipiell auf OpenID Connect basierendes plattformunabhängiges Login-Verfahren anzubieten. Gleichzeitig warnt die Stiftung vor einer proprietären Lösung. In einem offenen Brief an Apple erläutert die Organisation ihre Bedenken.


Abweichungen vom Standard
In dem an Apples für Software-Entwicklung zuständigen Senior Vice President Craig Federighi gerichteten Schreiben zeigt sich die OpenID Foundation zwar grundsätzlich erfreut, dass der iPhone-Konzern für das Login-Verfahren prinzipiell auf OpenID Connect setze. Allerdings gebe es etliche Abweichungen vom Standard, wie eine Analyse von Apples Lösung ergeben habe. Beispielsweise unterstützt "Sign in with Apple" nicht das Verfahren "Proof Key for Code Exchange" (PKCE), was die Nutzer Sicherheitsrisiken aussetzen könnte.

Erhöhter Aufwand für Entwickler
Der zumindest teilweise proprietäre Ansatz des iPhone-Herstellers reduziert nach Auffassung des Verwaltungsrats der OpenID Foundation darüber hinaus die Zahl der möglichen Dienste, bei denen man sich mit "Sign in with Apple" anmelden kann. Auch das setzt dem Schreiben zufolge die Nutzer erhöhten Sicherheitsrisiken aus und wirft Datenschutzprobleme auf. Als weiteres Problem betrachtet die OpenID Foundation den erhöhten Aufwand, welchen Apple den Entwicklern sowohl von OpenID Connect als auch "Sign in with Apple" aufbürdet.

"Unterschiede beseitigen"
Die Stiftung, die für die Entwicklung und Standardisierung des dezentralen Authentifizierungsverfahrens OpenID zuständig ist, richtet daher mehrere Forderungen an Apple. Das Unternehmen solle die Unterschiede zwischen "Sign in with Apple" und OpenID Connect beseitigen und die Interoperabilität beider Verfahren sicherstellen. Außerdem möge Apple öffentlich erklären, dass das hauseigene Verfahren kompatibel zum Standard sei. Schließlich ruft die Stiftung den iPhone-Hersteller auf, ihr beizutreten. Ob Apple bereits auf das Schreiben reagiert hat, ist nicht bekannt.

Kommentare

LoCal
LoCal01.07.19 11:18
Das eigentliche Schreiben ist aber deutlich freundlicher gehalten, als es der Artikel darstellt.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+3
Mecki
Mecki01.07.19 11:44
Wer sagt denn, dass Apple kompatibel zum Standard sein will? Wenn man einen eigenen Standard entwickeln möchte, dann ist es natürlich von Vorteil, wenn es einen bereits fertigen Standard gibt, auf den aufbauen kann, d.h. aber nicht automatisch, dass man auch langfristig dann zu diesen Standard kompatibel bleiben möchte.

Oft geht es nur darum das Rad nicht unnötig neu zu erfinden und nicht die Fehler von anderen zu wiederholen, aber manchmal ist man auch mit den bestehenden Standard nicht zufrieden und weicht daher absichtlich von ihm ab. Das hat Apple schon oft in der Vergangenheit getan, manchmal sogar so erfolgreich, dass am Ende dann der eigentlich Standard Apples Änderungen übernommen und in die nächste Version des Standards hat mit einfließen lassen, weil am Ende alle Seiten (Entwickler, Systemhersteller und das Standardkonsortium selber) Apples Version besser fanden als das Original.

Alleine die Tatsache, dass Apple selber nie aktiv mit OpenID geworben hat spricht eher dagegen, dass Apple an einer Kompatibilität interessiert ist, denn ansonsten muss Apple auch künftig den Vorgaben des Standardkonsortiums hinterher laufen oder wird dadurch ggf. in der eigenen Entwicklung ausgebremst. Das war genau die Situation bei OpenGL, weswegen Apple dann Metal in's Leben gerufen hat.
-4
fleissbildchen01.07.19 11:50
Mecki
Wenn man einen eigenen Standard entwickeln möchte, dann ist es natürlich von Vorteil, wenn es einen bereits fertigen Standard gibt, auf den aufbauen kann, d.h. aber nicht automatisch, dass man auch langfristig dann zu diesen Standard kompatibel bleiben möchte.

Das hat Microsoft ja in den letzten Jahrzehnten ausgiebigst praktiziert. Und es war nicht gut.
+4
aMacUser
aMacUser01.07.19 12:33
Apple erfindet das Rad zwar nicht neu, aber die nehmen ein bestehendes Rad und machen es eckig.
-4
wolfgag
wolfgag01.07.19 12:45
Mecki
Das war genau die Situation bei OpenGL, weswegen Apple dann Metal in's Leben gerufen hat.
War es nicht eher so, daß Apple stets veraltete OpenGL Versionen eingesetzt hat und dabei leider immer meilenweit von der OpenGL Performance unter Windows oder Linux entfernt war?
+1
LoCal
LoCal01.07.19 12:58
wolfgag
Mecki
Das war genau die Situation bei OpenGL, weswegen Apple dann Metal in's Leben gerufen hat.
War es nicht eher so, daß Apple stets veraltete OpenGL Versionen eingesetzt hat und dabei leider immer meilenweit von der OpenGL Performance unter Windows oder Linux entfernt war?

OpenGL auf dem Mac war Apple lange Zeit wirklich recht egal, aber @Mecki hat schon recht, Apple mag sich nicht durch Konsortien ausbremsen oder gar Wege verbauen lassen.
Und OpenGL ES, worauf Apple sich in den letzten Jahren ja konzentrierte, war genau so ein Problem. Denn die ganzen mobilen Betriebsysteme legen eine irrsinnige Entwicklungsgeschwindigkeit vor und damit können "runde Tische" nicht mehr mithalten. Während dort noch die das Feature abgesteckt wird, will es Apple schon längst implementiert haben, weil man eben schon an der (über-) nächsten iOS-Version arbeitet.
Mit Metal oder eben "Sign in with AppleID" hat Apple nun die Möglichkeit die gesamte Entwicklung selbst zu steuern und es wird auch niemand Rückschlüsse auf eventuelle unangekündigte neue Features ziehen können.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+4
Mecki
Mecki01.07.19 16:09
fleissbildchen
Das hat Microsoft ja in den letzten Jahrzehnten ausgiebigst praktiziert.
Microsoft hat von Anfang an immer einen komplett eigenen Standard entwickelt, wenn irgendwer einen neuen Standard vorgestellt hat, denn das Geschäftsmodell von Microsoft war schon immer maximale Inkompatibilität zum Rest der Welt, weil das einen lock-in Effekt hat, mit denen man Kunden dauerhaft fest an sich binden kann und das ist der Grund, warum sich Windows bis heute hat halten können. Und da wurde nicht auf etwas bestehenden aufgesetzt, weil selbst ein Teilkompatibilität war zu gefährlich, da wurde etwas entwickelt das maximal Inkompatibel zu besehenen Standards war, am besten so sehr, dass man nicht mal über eine Kompatibititätslayer den einen auf den anderen abbilden kann.
-2
Mecki
Mecki01.07.19 17:08
aMacUser
Apple erfindet das Rad zwar nicht neu, aber die nehmen ein bestehendes Rad und machen es eckig.
Nein, sie lassen nur ein Speiche weg, die ihr Rad einfach nicht braucht, weil es auch so stabil genug ist und ohne diese Speiche aber leichter läuft. Und auch mit dieser Speiche müssten die Entwickler zwei getrennte Radaufhängungen anbringen.

wolfgag
War es nicht eher so, daß Apple stets veraltete OpenGL Versionen eingesetzt hat
Und warum habe ich wohl geschrieben "denn ansonsten muss Apple auch künftig den Vorgaben des Standardkonsortiums hinterher laufen"? Genau dass war damit gemeint. Das OpenGL Konsortium verabschiedet alle paar Jahre eine neue Version,nur weil NVidia oder AMD sich mal wieder irgendwas haben einfallen lassen, für dass die API mal wieder erweitert werden muss, was aber sowieso keine von Apple verbaute Hardware kann (also Wayne?), ohne aber das Grundproblem anzugehen, dass die Schnittstelle gar nicht mehr zu modernen GPUs passt.

Das Grundproblem sind sie erst mit Vulkan angegangen, aber die Schnittstelle kam 2 Jahre zu spät für Apple (das meinte ich mit "ausbremst") und fängt jetzt nach nur 3 Jahren bereits wieder an Fehler von OpenGL zu wiederholen. Außerdem unterstützt sie nicht alles das, was Apple selber braucht und würde aber Apple dazu zwingen jede Menge Dinge zu unterstützen, die sie sie nicht brauchen. Zugeben, Metal ist minimalistisch und bietet nicht immer die beste Performance, weil der Treibersupport einfach nicht der Beste ist, aber hier ist der Punkt: Metal ist nicht primär als eine 3D API für Games gedacht, Metal ist primär die 3D API, die Apple selber benötigt, um ihren UI Code optimal auf modernen GPUs laufen zu lassen; gemeint ist hier die System UI selber. Und hier wird keine Dritt-API jemals so gut die Ansprüche von macOS und iOS erfüllen können, wie eine API von Apple selber.
-4
aMacUser
aMacUser01.07.19 17:59
Mecki
aMacUser
Apple erfindet das Rad zwar nicht neu, aber die nehmen ein bestehendes Rad und machen es eckig.
Nein, sie lassen nur ein Speiche weg, die ihr Rad einfach nicht braucht, weil es auch so stabil genug ist und ohne diese Speiche aber leichter läuft. Und auch mit dieser Speiche müssten die Entwickler zwei getrennte Radaufhängungen anbringen.
OpenID Foundation
The current set of differences between OpenID Connect and Sign In with Apple reduces the places where users can use Sign In with Apple and exposes them to greater security and privacy risks. It also places an unnecessary burden on developers of both OpenID Connect and Sign In with Apple. By closing the current gaps, Apple would be interoperable with widely-available OpenID Connect Relying Party software.
Klingt das für dich nach einer unwichtigen Speiche? Durch die Änderungen hat Apple sicherheitswichtige Features entfernt und ist weitestgehend inkompatibel zu bestehenden Bibliotheken. Das ist definitiv eher "das Rad eckig gemacht" als "eine überflüssige Speiche entfernt".
+1
liGhun
liGhun01.07.19 18:44
Ich arbeite tagtäglich mit OpenID Connect (ist ein sehr zentraler Punkt, wenn man im API Management tätig ist) und ich stelle mich zu 100% hinter dieses Schreiben- dieser Standard ist so ziemlich das beste, was uns die letzten Jahre passiert ist.
+3
rene204
rene20402.07.19 06:53
@liGhun,
das soll bei diesem Standard ja auch so sein, ggf. macht Apple es aber einfacher und genau so sicher oder noch sicherer?
Es ist noch immer alles nur eine Beta, da sind sicherlich noch Bugs drin und auch noch diverse Optimierungen möglich.
Ich denke, hier ist genaues beobachten, prüfen und abwarten angesagt...
Gelassenheit und Gesundheit.. ist das wichtigste...
-1
aMacUser
aMacUser02.07.19 08:30
rene204
@liGhun,
das soll bei diesem Standard ja auch so sein, ggf. macht Apple es aber einfacher und genau so sicher oder noch sicherer?
Ähm, wie oben im Artikel auch deutlich steht, hat Apple sogar ein Sicherheitsfeature entfernt, und der verlinkte offene Brief macht deutlich, dass Apples Lösung aktuell sogar gegen Standardattacken verwundbar ist (der Brief nennet auch zwei Beispiele). Wenn das so bleiben sollte (was ich nicht hoffe), dann sollten wir Sign in with Apple auf keinen Fall benutzen, einfach weil es ein Sicherheitsrisiko für jeden wäre, der es nutzt.
0
Weia
Weia02.07.19 08:58
Mecki
Wer sagt denn, dass Apple kompatibel zum Standard sein will?
Niemand. Die OpenID Foundation sagt, dass sie es sein sollten.
+2
Mecki
Mecki02.07.19 18:49
aMacUser
Klingt das für dich nach einer unwichtigen Speiche?
Aus der Sicht von Apple? Klar. Wenn Apple ein bestimmtes Sicherheitsfeature nicht braucht, was hat denn Apple davon das zu unterstützen? Unterstützen sie es fehlerhaft, dann entsteht am Ende genau dort eine Angriffspunkt und das alles für ein Feature, das man nie haben wollte. Hast du dich denn mal damit beschäftigt, was genau das Feature ist, wozu genau man das braucht und wer das wann überhaupt benutzt? Dass die OpenID Foundation der Meinung ist, dass das Feature wichtig ist, heißt nicht, dass das stimmt, sondern das ist deren Meinung, aber andere können dort andere Meinungen haben. Wie oft hat irgend ein Konsortium entschieden, dass ein bestimmtes Feature wichtig ist, dass hinterher keiner genutzt hat oder das dann im Nachhinein der Grund für massive Probleme war? Schau dir mal die SSL Standards an. Manchmal ist weniger einfach mehr. Lieber nur das nötigste und das aber richtig gut als jede Eventualität abdecken und am Ende keine vernünftig.
-1
aMacUser
aMacUser02.07.19 22:14
Mecki
aMacUser
Klingt das für dich nach einer unwichtigen Speiche?
Aus der Sicht von Apple? Klar. Wenn Apple ein bestimmtes Sicherheitsfeature nicht braucht, was hat denn Apple davon das zu unterstützen?
Aber nur weil Apple meint, es nicht haben zu wollen, heißt das ja nicht automatisch, dass es überflüssig ist. Bei Apple arbeiten auch nur Menschen.
Mecki
Unterstützen sie es fehlerhaft, dann entsteht am Ende genau dort eine Angriffspunkt und das alles für ein Feature, das man nie haben wollte. Hast du dich denn mal damit beschäftigt, was genau das Feature ist, wozu genau man das braucht und wer das wann überhaupt benutzt? Dass die OpenID Foundation der Meinung ist, dass das Feature wichtig ist, heißt nicht, dass das stimmt, sondern das ist deren Meinung, aber andere können dort andere Meinungen haben. Wie oft hat irgend ein Konsortium entschieden, dass ein bestimmtes Feature wichtig ist, dass hinterher keiner genutzt hat oder das dann im Nachhinein der Grund für massive Probleme war? Schau dir mal die SSL Standards an. Manchmal ist weniger einfach mehr. Lieber nur das nötigste und das aber richtig gut als jede Eventualität abdecken und am Ende keine vernünftig.
Achso, und Apple kennt die ultimative Wahrheit? Lese dir einfach mal den offenen Brief durch, da steht drin, wozu das Feature gut ist. Schonmal etwas von einer Replay-Attacke gehört? Das ist im Grund einer der dümmsten Sicherheitsfehler, die man machen kann. Und nach den Infos der OpenID Foundation ermöglicht das Fehlen der Sicherheitsfeatures, die Apple weg lässt, genau das. Und bevor du jetzt laut schreist "Was die OID-Foundation sagt, ist doch egal", dann sei dir gesagt, dass die Leute, die dazu gehören, mit großer Sicherheit mehr Ahnung von der Materie haben, als du und ich.
0
LoCal
LoCal03.07.19 09:25
Weia
Mecki
Wer sagt denn, dass Apple kompatibel zum Standard sein will?
Niemand. Die OpenID Foundation sagt, dass sie es sein sollten.

Letztendlich geht es dabei auch um Macht und Marktanteil … und für OpenID wäre es eben ein gewaltiger Schub, wenn "Sign In with AppleID" auf OpenID-basieren bzw. vollständig dazu kompatibel sein würde.

Ob die Lösung von Apple nun unsicher ist oder ob sie die Sicherheit auf anderem Wege erreichen kann ich nicht beurteilen.
Wenn es wirklich schon eine jetzt bekannte Sicherheitslücke gibt, dann tut Apple gut daran, diese bis zum Herbst zu schliessen.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+1
aMacUser
aMacUser03.07.19 17:47
LoCal
Weia
Mecki
Wer sagt denn, dass Apple kompatibel zum Standard sein will?
Niemand. Die OpenID Foundation sagt, dass sie es sein sollten.

Letztendlich geht es dabei auch um Macht und Marktanteil … und für OpenID wäre es eben ein gewaltiger Schub, wenn "Sign In with AppleID" auf OpenID-basieren bzw. vollständig dazu kompatibel sein würde.
Die OID-Foundation hätte überhaupt keine Vor- oder Nachteile, wenn Apple das nicht unterstützt, da es sich bei der OID-Foundation nicht um ein profitorientiertes Unternehmen handelt. Bei dem Thema hier geht es darum, dass Apple einen allgemein anerkannten Standard unterstützen soll, der sowohl von der Verbreitung her, als auch Sicherheitstechnisch bereits einwandfrei ist.
Das Apple den Standard nicht korrekt unterstützt, hat nach den erstmal offensichtlichen Gründen, keinen wirklichen Sinn. Natürlich kennt man Apples Standpunkt da nicht, da sich Apple dazu nicht öffentlich geäußert hat. Aber von dem, was wir öffentlich sehen, gibt es keinen logischen Grund, warum Apple (mal wieder) eine (mehr oder weniger) eigene Lösung baut.
0
Mecki
Mecki03.07.19 21:20
aMacUser
Die OID-Foundation hätte überhaupt keine Vor- oder Nachteile, wenn Apple das nicht unterstützt, da es sich bei der OID-Foundation nicht um ein profitorientiertes Unternehmen handelt.
Es geht auch nicht um Profit, aber wenn du ein Verfahren entwickelst, dann möchtest du doch, dass möglichst viele dieses hinterher auch einsetzen? Und andere davon zu überzeugen wird um so leichter, je mehr es einsetzen und je mehr prominente Namen dabei sind. Wenn du sagst "Ist denen egal, ob das irgendwer einsetzt", warum haben sie es dann überhaupt entwickelt? Dann hätten sie sich die Arbeit auch gleich komplett schenken können.
0
Mecki
Mecki03.07.19 21:28
aMacUser
Achso, und Apple kennt die ultimative Wahrheit?
Apple muss die "ultimative Wahrheit" nicht kennen. Apple weiß, was sie brauchen und was nicht brauchen, und was sie ihren Nutzern anbieten wollen und was nicht. Und was hat Apple davon, etwas zu unterstützen, dass sie selber nicht brauchen und auch nicht vor haben ihren Nutzern anzubieten, das aber dennoch am Ende zu mehr Angriffsfläche führt? Der beste Schutz von Angriffen ist das minimieren von Angriffsfläche.

Genauso gut hätte Apple ein komplett eigenes Verfahren entwickeln können, wäre das besser gewesen? Wenn ja, inwiefern? Und wenn sie das aber getan hätten, dann würden wir hier nicht diskutieren und ich wette, dann hättest du auch nicht hier im Forum als Reaktion gepostet "Warum haben die nicht OpenID genommen?" Mit anderen Worten, du hättest dich Null über eigenes Verfahren aufgeregt, regst dich aber darüber auf, dass Apple aus einen bewerten Verfahren die Teile nutzt, die sie brauchen? Wie passt das zusammen? Lass dich doch nicht von den OpenID Leuten vor den Karren spannen, die hier nur ihre eigenen Interessen verfolgen, die du dazu nicht einmal zu kennen scheinst, wie dein anderer Post nahelegt.
-2
aMacUser
aMacUser03.07.19 21:50
Mecki
aMacUser
Achso, und Apple kennt die ultimative Wahrheit?
Apple muss die "ultimative Wahrheit" nicht kennen. Apple weiß, was sie brauchen und was nicht brauchen, und was sie ihren Nutzern anbieten wollen und was nicht.
Was nicht automatisch heißt, dass es vernünftig ist.
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen