• Entwickler: "OAuth 2.0 weniger interoperabel und weniger sicher"

    Posted on July 27, 2012 by in open source news

    Nach drei Jahren Arbeit am Spezifikationsdokument der Internet Engineering Task Force (IETF) für OAuth 2.0 zieht sich der Redakteur des Dokuments Eran Hammer von dem Projekt zurück. “Die vielen hart erkämpften Kompromisse endeten mit einer Spezifikation, die es nicht schafft, ihre zwei hauptsächlichen Ziele zu erreichen: Sicherheit und Interoperabilität”, schreibt Hammer in einem Blogeintrag.

    Verglichen mit OAuth 1.0 sei 2.0 “viel komplexer, weniger interoperabel, weniger nützlich, unvollständiger und vor allem weniger sicher”. Implementiert von einem Entwickler mit hohem Verständnis für Sicherheit im Web sei das wahrscheinliche Resultat eine sichere Implementation. Die meisten Entwickler aber würden nachHammers Einschätzung unsichere Implementationen entwickeln.

    Als Grund für diese Entwicklung sieht Hammer vor allem die Interessengegensätze in der Arbeitsgruppe: Die Interessen der großen Unternehmen auf der einen Seite lägen darin, ihre eigenen Lösungen mit möglichst wenig Anpassungen OAuth 2.0-kompatibel zu machen. Im Interesse derer, die Hammer Web-Welt nennt, auf der anderen Seite seien es, das Protokoll auf OAuth 1.0 aufzusetzen und kleine Verbesserungen dort zu schaffen, wo sie nötig sind. Mit der Zeit hätten fast alle aus der Web-Welt die Arbeitsgruppe verlassen.

    Auch sei es der Gruppe schwergefallen, Entscheidungen zu treffen, was ebenfalls die Spezifikation gerade der Sicherheitsvorkehrungen des Protokolls verwässerte. So sei laut Hammer nur noch ein Token vonnöten statt zweier in OAuth 1.0, und die Signaturen und Verschlüsselung auf Protokoll-Level wurde abgeschafft. “OAuth zur IETF zu bringen war ein großer Fehler”, schließt Hammer seine Rücktrittserklärung.


    (rzl)

    Article source: http://www.heise.de/open/meldung/Entwickler-OAuth-2-0-weniger-interoperabel-und-weniger-sicher-1654840.html/from/atom10

Leave a Reply

Your email address will not be published. Required fields are marked *


*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

WP-Backgrounds Lite by InoPlugs Web Design and Juwelier Schönmann 1010 Wien