ロジャー・フィンガス
· 1分で読めます
OpenID Foundation は今週、Apple のソフトウェアエンジニアリング責任者 Craig Federighi 氏に公開書簡を発行し、近々導入される「Sign in with Apple」規格は OpenID Connect と多くの類似点を持つが、プライバシー、セキュリティ、開発の目的には十分ではないと主張した。
「OpenID Foundationは、OpenID Connectを使用してユーザーがApple IDでサードパーティのモバイルおよびWebアプリケーションにログインできるようにするAppleの取り組みを称賛します」と書簡は始まり、Connectは「サードパーティによるアプリケーションへのログインを可能にする、OAuth 2.0に基づいて構築された、最新の広く採用されているアイデンティティプロトコル」であり、「Foundation内の多数の企業と業界の専門家によって開発された」ものであると詳しく説明している。
Appleは「Appleでサインイン」の構築においてConnectを「ほぼ採用」しているように見えるものの、Appleのシステムが利用できる範囲を狭め、プライバシーとセキュリティの脅威にさらされる多くの相違点があると財団は述べている。後者の例としては、認可コード付与タイプにPKCEが含まれていないことが挙げられ、これにより、名目上、コードインジェクション攻撃やリプレイ攻撃の脅威にさらされる可能性がある。
また、この分裂は、特にAppleのコードがOpenID Connect Relying Partyソフトウェアと互換性がないため、ConnectとSign in with Appleの両方を扱う開発者に「不必要な負担をかける」とも言われている。
この書簡では、Apple に対して「ギャップに対処」し、Open ID Connect 自己認証テストスイートを使用し、「Apple でサインイン」が Relying Party ソフトウェアと互換性があることを明記し、最後に OpenID Foundation に参加することを求めている。
「Appleでサインイン」のテストは、iOS 13の秋のリリースに先立ち、今夏後半に開始される予定です。この技術は、Facebook、Google、Twitterなどのサインインボタンよりもプライバシーを重視した代替手段となることを目指していますが、Appleはこれらのサードパーティ製オプションが存在する場合、サポートを必須にしていることで批判を受けています。