Una delle grandi novità presentate alla WWDC 2019 è “Sign in with Apple“, una funzione che permette l’accesso a servizi terzi utilizzando le proprie credenziali Apple ID. Secondo la OpenID Foundation, Sign In espone gli utenti a rischi per la sicurezza e la privacy.
Grazie a Sign in with Apple, gli utenti possono accedere facilmente a siti web e app con il loro ID Apple ed effettuare velocemente il log-in. Apple ha presentato questa novità come molto più sicura rispetto alle alternative offerte da Facebook e Google, poiché l’utente viene autenticato tramite Face ID o Touch ID e nessuna informazione viene inviata alle app o ai siti web terzi che sfruttano Sign in.
L’implementazione di “Sign in with Apple” è stata però contestata dalla OpenID Foundation (OIDF), un’organizzazione senza scopo di lucro i cui membri includono Google, Microsoft, PayPal e altri.
In una lettera aperta inviata al responsabile software di Apple Craig Federighi, la fondazione ha elogiato la funzione di autenticazione di Apple per aver “largamente adottato” OpenID Connect, un protocollo standardizzato utilizzato da molte piattaforme di accesso esistenti che consente agli sviluppatori di autenticare gli utenti su siti Web e app senza dover utilizzare password separate.
Tuttavia, la OIDF sottolinea che restano diverse differenze tra OpenID Connect e Sign in with Apple che potrebbero mettere a repentaglio la sicurezza e la privacy degli utenti:
L’attuale set di differenze tra OpenID Connect e Sign in with Apple riduce i posti in cui gli utenti possono utilizzare tale funzione e li espone a maggiori rischi di sicurezza e privacy. Implica inoltre degli oneri inutili agli sviluppatori che vogliono utilizzare sia OpenID Connect che Sign in with Apple. Chiudendo le lacune attuali, Apple Sign In sarebbe interoperabile con il software OpenID Connect Relying Party già completamente disponibile.
Per porre rimedio alla situazione, la fondazione ha chiesto ad Apple di risolvere le differenze tra l’accesso con Sign in e OpenID Connect, come riportato da un documento condiviso in queste ore. La OpenId Foundation ha inoltre invitato Apple a utilizzare la suite di test di certificazione OpenID per migliorare l’interoperabilità delle due piattaforme, dichiararne pubblicamente la compatibilità e aderire a OpenID Foundation.
Ricordiamo che Apple impone l’utilizzo di Sign In a tutti gli sviluppatori che utilizzano altre piattaforme di accesso come Facebook e Google. Inoltre, gli sviluppatori devono inserire Sign in with Apple come scelta primaria in alto rispetto alle altre.