קרן OpenID הוציאה השבוע מכתב פתוח למנהל הנדסת התוכנה של אפל, קרייג פדריגי, בטענה כי התקן הקרוב "כניסה עם אפל" נושא דמיון רב ל-OpenID Connect - אך לא מספיק לצורכי פרטיות, אבטחה ופיתוח.
"קרן OpenID מברכת על המאמצים של אפל לאפשר למשתמשים להיכנס ליישומי צד שלישי לנייד ולאינטרנט עם ה-Apple ID שלהם באמצעות OpenID Connect", מתחיל המכתב,מרחיבש-Connect הוא "פרוטוקול זהות מודרני, מאומץ נרחב בנוי על OAuth 2.0 המאפשר כניסה של צד שלישי ליישומים", ו"פותח על ידי מספר רב של חברות ומומחים בתעשייה" בתוך הקרן.
אמנם נראה שאפל "אימצה במידה רבה" את Connect בבניין כניסה עם אפל, יש כאלהשורה של הבדליםשמצמצמים את המקומות שבהם ניתן להשתמש במערכת של אפל וחושפים אותה לאיומי פרטיות ואבטחה, אמרה הקרן. דוגמה לאחרון היא היעדר PKCE בסוג הענקת קוד ההרשאה, שעלול להשאיר אנשים חשופים להזרקת קוד ולהתקפות חוזרות.
הפילוג לכאורה "מטיל עומס מיותר" על מפתחים שעובדים גם עם Connect וגם עם כניסה עם אפל, במיוחד מכיוון שהקוד של אפל אינו תואם לתוכנת OpenID Connect Relying Party.
המכתב מבקש מאפל "לפתור את הפערים", להשתמש בחבילת הבדיקה העצמית של Open ID Connect, לציין שהכניסה עם אפל תואמת לתוכנת Relying Party, ולבסוף להצטרף ל-OpenID Foundation.
בדיקת כניסה עם אפל תתחיל מאוחר יותר הקיץ לקראת חלון ההשקה של iOS 13 בסתיו. הטכנולוגיה נועדה להיותאלטרנטיבה ממוקדת פרטיות יותרלחצני כניסה מפייסבוק, גוגל וטוויטר, אך אפל ספגה ביקורת על כךהפיכת התמיכה לחובהאם אפשרויות צד שלישי אלו קיימות.
