Apple a dévoilé un nouveau système d’authentification en juin 2019. Ce dernier, selon la fondation OpenID, serait victime de plusieurs failles de sécurité.
C’est en effet la OpenID Foundation qui met évidence les multiples failles de sécurité dont est victime le nouveau système d’authentification de la marque à la Pomme. Nommée « Connexion avec Apple » cette nouvelle méthode d’authentification a été dévoilée par la marque lors de la dernière conférence WWDC en juin. Elle permet notamment de cacher les adresses e-mail des utilisateurs, ce qui est une bonne initiative de la part d’Apple.
Cependant, Nat Sakimura, le président de la fondation OpenID, a rédigé une lettre à l’intention de Craig Federighi, le vice prédisent de l’ingénierie logicielle d’Apple, dans laquelle il explique que la marque à la Pomme s’est fortement inspirée du standard d’OpenID pour créer son nouveau système d’authentification. Le problème est qu’en plus de ne pas l’avoir annoncé publiquement, Apple n’a pas repris l’intégralité des spécifications de ce standard, ce qui occasionne de multiples failles de sécurité.
Ainsi, la lettre du dirigeant d’OpenID souligne trois problèmes principaux qui rendrait possible des attaques par insertion de code ou encore de type « Cross Site Request Forgery Attack ». Ce n’est pas tout, puisque le document mis en ligne rapporte également une dizaine de bugs décelés dans le protocole de la marque à la Pomme.
Le président d’OpenID non satisfait de la situation, explique dans sa lettre : « Les différences actuelles entre OpenID Connect et Connexion avec Apple réduisent les cas où les utilisateurs peuvent utiliser Connexion avec Apple et les exposent à des risques plus importants en matière de sécurité et de confidentialité. Cela impose également un travail inutile aux développeurs d’OpenID Connect et de Connexion avec Apple ». Il exige également que la firme de Cupertino, en plus de résoudre les erreurs d’implantations, rejoigne la fondation OpenID.
Tiens je croyais que les produits Apple étaient surs
Et si j'ai bien compris sans rien dire ont plus ou moins copié le système OpenID de mieux en mieux....
C'est juste que OpenID veut que Apple paie pour leur certification.
Et que Apple ne veux pas payer ? peut-être mais la cela ressemble à du piratage de techno de plus engendrant de gros problèmes de sécurité pour ....le client !!!
Tout faux (ah lorsqu'on veux défendre Apple envers et contre tout !) OpenID est open source un peu de Google (ou autres) t'aurais renseigné :
"L'aspect décentralisé est un point critique : l'utilisateur a le choix entre plusieurs fournisseurs d'identités, mais il peut également héberger son propre serveur OpenID sur son site s'il le souhaite, sans devoir en référer à personne. Indépendant de toute organisation et disposant de nombreuses implémentations Open Source, OpenID a également été conçu pour être facilement exploité même par des services "concurrents".
Seulement Apple se croit plus fort que les autres et n'a pas repris l'intégralité des specs !
Il n'y a pas à payer c'est open source.... fais une recherche avant de dire des sornettes. Apple à simplement voulu jouer dans son coin....en copiant sans respecter les specs ce qui donne un produit truffé de problèmes de sécurité
Ce qui dommage c'est qu'il n'est pas fait mention du fait que ce nouveau système n'est pas encore sorti. Il est donc en version bêta et ça a peut être son importance.
Et ça ne choque personne que la source soit le président de la fondation OpenID, la même fondation qui se sente laisée...
Attendre de voir ce que sera la version finale est peut-être une bonne idée non ?!
Sorti ou pas, bêta ou pas, en matière de sécurité je préfère que quelqu'un de bien informé (et ça semble être le cas du Pdt de la Fondation OpenID) signale des manquements à Apple qui semble avoir oublié de fermer quelques portes à clé, et ce avant qu'il soit trop tard.
C'est une attitude responsable. Et ça n'a rien à voir avec le principe de précaution.
Voyons à présent le temps de réaction d'Apple, ses explications, et ses correctifs.
La certification n'est pas obligatoire je te signale, et non c'est pas une histoire de faire payer la certification, c'est une histoire qu'en prenant OpenID en base en ne prenant qu'une partie du protocole, ils ont laissés des failles de sécurités et c'est pas normal. Donc soit ils utilisent pleinement OpenID et donc le protocole OATH 2.0, soit ils développent leur truc point barre.
Je te signale que pour utiliser OpenID, pas besoin de payer quoi que se soit, moi même en tan que développeur je peux sur mon site personnel utiliser cette technologie et ce gratuitement ET légalement. Ce qui est payant c'est apposé le logo "certified by OpenID" c'est tout.
Copier est un grand mot, mais effectivement ils s'attribuent le mérite alors qu'ils ont une base OpenID mais en moins bien.
Déjà, cette news date de fin juin (la lettre est datée du 27 juin)..
Parler pour ne rien dire.. la période d'essai n'a même pas encore commencée puisqu'elle est prévue à la fin de l'été avec iOS 13.
Un peu l'inverse de tes posts où tu dénigres Apple « envers et contre tout »..
À bon ???