OpenID Foundationは今週、Appleのソフトウェアエンジニアリング部門責任者のCraig Federighi氏に公開書簡を発行し、次期「Sign in with Apple」標準はOpenID Connectと多くの類似点があるが、プライバシー、セキュリティ、開発の目的には十分ではないと主張した。

「OpenID Foundationは、ユーザーがOpenID Connectを使用して自分のApple IDでサードパーティのモバイルおよびWebアプリケーションにログインできるようにするAppleの取り組みを称賛する」と書簡は始まっている。詳述するConnect は「アプリケーションへのサードパーティのログインを可能にする OAuth 2.0 をベースに構築された、広く採用されている最新の ID プロトコル」であり、財団内の「多数の企業と業界の専門家によって開発」されたものです。

Apple は、Sign in with Apple の構築に Connect を「大部分採用」しているようですが、多くの違いこれらは Apple のシステムを使用できる場所を狭め、プライバシーとセキュリティの脅威にさらしていると財団は述べた。後者の例としては、認可コード付与タイプに PKCE が含まれていないことが挙げられます。これにより、名目上、人々がコード インジェクションやリプレイ攻撃にさらされる可能性があります。

また、特に Apple のコードが OpenID Connect Relying Party ソフトウェアと互換性がないため、この分裂は Connect と Sign in with Apple の両方を扱う開発者に「不必要な負担をかける」とも言われています。

この書簡では、Apple に対し、「ギャップに対処」し、Open ID Connect 自己認定テスト スイートを使用し、Apple でのサインインが証明書利用者ソフトウェアと互換性があると述べ、最終的に OpenID Foundation に参加するよう求めています。

「Sign in with Apple」のテストは、iOS 13 の秋の発売期間に先立って、今夏の後半に開始される予定です。このテクノロジーの目的は、よりプライバシーを重視した代替案Facebook、Google、Twitterなどのサインインボタンにアクセスできますが、Appleは批判されていますサポートを義務化するこれらのサードパーティ オプションが存在する場合。