"Apple İle Giriş Yap" Güvenli Değil
Haziran ayında "Apple ile giriş yap" özelliğini duyuran Apple'a, OpenID Vakfı'ndan bir mektup gönderildi.
"Apple ile giriş yap" özelliği, Haziran ayında Apple tarafından tanıtılmıştı ve bu özellik kullanıcıların Touch ID veya Face ID'yi kullanarak web uygulamalarına giriş yapmalarını sağlıyordu.
OpenID Vakfı'nın Başkanı Nat Sakimura tarafından, Apple'ın Yazılım Mühendisliği biriminin Başkan Yardımcısı olan Craig Federighi'a gönderilen mektupta, "Apple ile giriş yap" özelliğinin güvenlik riskleri içerdiği söylendi.
Mektupta, OpenID Connect ile "Apple ile giriş yap" özelliğinin benzer özellikler taşıdığını ancak bazı kritik farklılıkların da olduğu söylendi.
Bu farklılıklardan dolayı "Apple ile giriş yap" özelliğinin bazı güvenlik zafiyetlerine kapı araladığı söylenirken özelliğin, kullanıcıların bu özelliği kullanarak oturum açacağı platformları da sınırlandırdığı söylendi.
Gönderilen mektupta vakıf Apple'dan, OpenID Connect ile "Apple ile giriş yap" özelliği arasındaki farklılıkları ele almasını, "Apple ile giriş yap" özelliğinin birlikte çalışabilirliğini ve güvenliğini geliştirmek için OpenID Connect Self Certification Test Suite'i kullanmasını, "Apple ile giriş yap" özelliğinin OpenID Connect Relying Party yazılımıyla uyumlu olduğunu belirtmesini ve OpenID Vakfı'na katılmasını istiyor.
Son olarak, Vakfın Apple cephesinden bir yanıt beklediğini ve Apple'ın henüz herhangi bir cevap vermediğini belirtelim.
Yorumlar