Abo
  • Services:
Anzeige
Eran Hammer-Lahav schmeißt hin.
Eran Hammer-Lahav schmeißt hin. (Bild: OAuth)

OAuth 2.0: Der Weg in die Hölle?

Eran Hammer-Lahav schmeißt hin.
Eran Hammer-Lahav schmeißt hin. (Bild: OAuth)

OAuth 2.0 ist ein schlechtes Protokoll, schreibt Eran Hammer-Lahav in einem Blogeintrag. Das ist deshalb bemerkenswert, da Hammer die Entwicklung des Protokolls über die vergangenen drei Jahre geleitet hat und nun nichts mehr damit zu tun haben will.

Bei OAuth handelt es sich um ein offenes Protokoll zur sicheren API-Autorisierung für Desktop-, Web- und Mobile-Applikationen. Kurz gesagt, es ermöglicht es, Nutzern, Apps und Diensten Zugriff auf die Daten von anderen Apps und Diensten einzuräumen, ohne dass diese dazu ihr Passwort benötigen.

Anzeige

Mit OAuth 2.0 wird seit Jahren an der zweiten, nicht abwärtskompatiblen Version von OAuth gearbeitet, die eigentlich schon Ende 2010 hätte fertig sein sollen. Verantwortlich für die Spezifikation war Eran Hammer-Lahav, der jetzt mit dem Protokoll hart ins Gericht geht. Viele Kompromisse hätten dazu geführt, dass OAuth 2.0 seine zwei Hauptziele verfehle: Sicherheit und Interoperabilität.

Hammer nennt als Beispiele für solche Kompromisse, OAuth 2.0 nicht mehr als Protokoll sondern als Framework zu bezeichnen, oder den Hinweis einzufügen, dass die Spezifikation vermutlich nicht zu interoperablen Implementierungen führe. Letztendlich sei OAuth 2.0 deutlich komplexer, weniger interoperabel, weniger nützlich, weniger vollständig und vor allem weniger sicher als OAuth 1.0.

Zwar sei ein Entwickler mit tiefem Verständnis von Websicherheit in der Lage, eine sichere Implementierung zu erschaffen, doch die letzten zwei Jahre hätten gezeigt, dass bei den meisten nur unsichere Implementierung dabei herauskämen.

Schuld an den Problem ist nach Ansicht von Hammer vor allem der Versuch, die Anforderungen der Web- und Unternehmenswelt zu vereinen. Seien anfangs viele Webentwickler beteiligt gewesen, hätten sich diese um Rahmen des IETF-Standardisierungsprozesses zurückgezogen, so dass kein Entwickler von OAuth 1.0 heute mehr dabei sei. Übrig geblieben seien nur Entwickler von Unternehmenssoftware und er, Hammer.

Und während die Webentwickler mit OAuth 2.0 eigentlich nur eine leicht verbesserte Version von OAuth 1.0 entwickeln wollten, strebten die Entwickler von Unternehmenssoftware einen Standard an, bei dem sie ihre Applikationen nicht groß verändern müssten und bei dem sie durch Anpassungen Geld verdienen können.

Flickenteppich an Kompromissen

So sei am Ende ein großer Flickenteppich an Kompromissen entstanden, der vor allem den Entwicklern von Unternehmenssoftware diene, schreibt Hammer in seinem Blogeintrag, der mit "OAuth 2.0 und der Weg in die Hölle" überschrieben ist. Zwar biete der aktuelle Entwurf nicht alles, was aus dem Lager der Unternehmenssoftware-Entwickler gewünscht sei, sie könnten den Standard aber praktisch beliebig erweitern.

Diese Erweiterbarkeit und Flexibilität habe letztendlich das Protokoll zerstört, denn es sei möglich, so ziemlich alles als OAuth 2.0 zu bezeichnen. Wer seine Anwendung darüber mit anderen verknüpfen wolle, könne kaum Code mehrfach verwenden, so Hammer.

Nach Ansicht von Hammer bedarf es im Web aber einfacher, gut definierter und eng begrenzter Protokolle, um die Sicherheit und Interoperabilität zu verbessern. Sein Rat an alle, die OAuth 1.0 erfolgreich verwenden: "Ignoriert 2.0."

Hammer hofft, dass sich doch jemand OAuth 2.0 annimmt und ein zehnseitiges Profil all dessen erstellt, was für das Webanbieter nützlich ist, eine Art OAuth 2.1 oder 1.5. Im Rahmen der IETF werde das wohl nicht passieren. Letztendlich sei es ein großer Fehler gewesen, OAuth 2.0 im Rahmen der IETF zu entwickeln, so Hammer.


eye home zur Startseite
droptable 27. Jul 2012

"... hätten sich diese um Rahmen des IETF- ..." um -> im



Anzeige

Stellenmarkt
  1. DIEBOLD NIXDORF, Hamburg, Paderborn
  2. Daimler AG, Böblingen
  3. über Hays AG, Hannover
  4. Net at Work GmbH, Paderborn


Anzeige
Hardware-Angebote
  1. 59,90€
  2. und Gratis-Produkt erhalten
  3. (Rabattcode: MB10)

Folgen Sie uns
       


  1. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  2. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  3. DirectX 12

    Microsoft legt Shader-Compiler offen

  4. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  5. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  6. Innogy

    Telekom will auch FTTH anmieten

  7. Tissue Engineering

    3D-Drucker produziert Haut

  8. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage

  9. Sicherheitsupdate

    Apple patcht Root-Exploits für fast alle Plattformen

  10. Aktionsbündnis Gigabit

    Nordrhein-Westfalen soll flächendeckend Glasfaser erhalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. Potus Donald Trump übernimmt präsidiales Twitter-Konto
  2. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  3. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Die Woche im Video B/ow the Wh:st/e!
  2. Verwirrung Assange will nicht in die USA - oder doch?
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Mi Mix im Test: Xiaomis randlose Innovation mit kleinen Makeln
Mi Mix im Test
Xiaomis randlose Innovation mit kleinen Makeln
  1. Smartphone-Hersteller Hugo Barra verlässt Xiaomi
  2. Xiaomi Mi Note 2 im Test Ein Smartphone mit Ecken ohne Kanten

  1. Re: Die Qualität der Autofahrer lässt eh immer...

    McWiesel | 18:12

  2. Re: Geile Nummer

    DetlevCM | 18:01

  3. Re: Rollenspiele sind out

    ArcherV | 17:57

  4. Re: UHD-Auflösung für Streaming interessant

    The_Grinder | 17:56

  5. Re: Das einzige was diese Mouthbreather verstehen...

    ArcherV | 17:54


  1. 18:21

  2. 18:16

  3. 17:44

  4. 17:29

  5. 16:57

  6. 16:53

  7. 16:47

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel