Sign In with Apple: dubbi su sicurezza e privacy

La OpenID Foundation avvisa Apple di potenziali rischi scovati nel sistema Sign In with Apple presentato nelle scorse settimane alla WWDC 2019.
La OpenID Foundation avvisa Apple di potenziali rischi scovati nel sistema Sign In with Apple presentato nelle scorse settimane alla WWDC 2019.

Una lettera aperta firmata dalla OpenID Foundation e inviata alla mela morsicata, più nello specifico all’attenzione di Craig Federighi (Senior Vice President of Software Engineering), avvisa di potenziali rischi per sicurezza e privacy legati all’impiego di Sing In with Apple, sistema annunciato il mese scorso dall’azienda di Cupertino dal palco dell’evento WWDC 2019 che verrà introdotto con l’arrivo di macOS 10.15 Catalina e iOS 13.

Sign In with Apple e OpenID Connect

Si tratta di una tecnologia che sviluppatori e webmaster di terze parti potranno sfruttare per gestire la procedura di autenticazione ai loro portali, servizi e app senza costringere gli utenti a registrare un nuovo account, ma facendo leva sull’ID Apple esistente. Qualcosa di molto simile a quanto già propongono da tempo, tra gli altri, anche Google, Facebook e Twitter, ma con un’attenzione particolare alla tutela della sfera privata, con la promessa che non venga in alcun modo effettuato il tracking di informazioni o attività, né a fini di advertising né per altri impieghi.

WWDC 2019: Sign In with Apple

La fondazione chiede che l’impiego del protocollo standardizzato OpenID Connect (OIDC, condiviso dai principali player dell’industria) non sia solo parziale come fin qui reso noto da Apple, ma totale, garantendo così agli utenti la piena interoperabilità fra le due tecnologie. Le differenze esistenti rischiano infatti, come già detto, di compromettere la sicurezza dei dati trasmessi e di conseguenza la privacy degli utenti.

Le differenze tra OpenID Connect e Sign In with Apple riducono il numero di luoghi in cui gli utenti possono autenticarsi con Sign In with Apple, esponendoli a rischi maggiori per quanto concerne sicurezza e privacy. Introducono inoltre ostacoli non necessari per gli sviluppatori sia di OpenID Connect sia di Sign in with Apple. Colmando questo gap, la soluzione di Apple risulterebbe interoperabile con una vasta gamma di software di terze parti già disponibile e basata su OpenID Connect.

L’appello rivolto a Cupertino chiede dunque di aggiustare il tiro e abbracciare in toto lo standard, non solo parzialmente. Viene inoltre messa a disposizione della mela morsicata la Self Certification Test Suite utile per individuare e correggere le incompatibilità. Infine, la OpenID Foundation invita Apple ad unirsi ai suoi membri, al fianco delle realtà che hanno già scelto di farlo: tra queste anche Google, Microsoft, PayPal, Cisco, NEC, Oracle, VMware e Yubico.

Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti