Abo
  • Services:
Anzeige
Eran Hammer-Lahav schmeißt hin.
Eran Hammer-Lahav schmeißt hin. (Bild: OAuth)

OAuth 2.0: Der Weg in die Hölle?

Eran Hammer-Lahav schmeißt hin.
Eran Hammer-Lahav schmeißt hin. (Bild: OAuth)

OAuth 2.0 ist ein schlechtes Protokoll, schreibt Eran Hammer-Lahav in einem Blogeintrag. Das ist deshalb bemerkenswert, da Hammer die Entwicklung des Protokolls über die vergangenen drei Jahre geleitet hat und nun nichts mehr damit zu tun haben will.

Bei OAuth handelt es sich um ein offenes Protokoll zur sicheren API-Autorisierung für Desktop-, Web- und Mobile-Applikationen. Kurz gesagt, es ermöglicht es, Nutzern, Apps und Diensten Zugriff auf die Daten von anderen Apps und Diensten einzuräumen, ohne dass diese dazu ihr Passwort benötigen.

Anzeige

Mit OAuth 2.0 wird seit Jahren an der zweiten, nicht abwärtskompatiblen Version von OAuth gearbeitet, die eigentlich schon Ende 2010 hätte fertig sein sollen. Verantwortlich für die Spezifikation war Eran Hammer-Lahav, der jetzt mit dem Protokoll hart ins Gericht geht. Viele Kompromisse hätten dazu geführt, dass OAuth 2.0 seine zwei Hauptziele verfehle: Sicherheit und Interoperabilität.

Hammer nennt als Beispiele für solche Kompromisse, OAuth 2.0 nicht mehr als Protokoll sondern als Framework zu bezeichnen, oder den Hinweis einzufügen, dass die Spezifikation vermutlich nicht zu interoperablen Implementierungen führe. Letztendlich sei OAuth 2.0 deutlich komplexer, weniger interoperabel, weniger nützlich, weniger vollständig und vor allem weniger sicher als OAuth 1.0.

Zwar sei ein Entwickler mit tiefem Verständnis von Websicherheit in der Lage, eine sichere Implementierung zu erschaffen, doch die letzten zwei Jahre hätten gezeigt, dass bei den meisten nur unsichere Implementierung dabei herauskämen.

Schuld an den Problem ist nach Ansicht von Hammer vor allem der Versuch, die Anforderungen der Web- und Unternehmenswelt zu vereinen. Seien anfangs viele Webentwickler beteiligt gewesen, hätten sich diese um Rahmen des IETF-Standardisierungsprozesses zurückgezogen, so dass kein Entwickler von OAuth 1.0 heute mehr dabei sei. Übrig geblieben seien nur Entwickler von Unternehmenssoftware und er, Hammer.

Und während die Webentwickler mit OAuth 2.0 eigentlich nur eine leicht verbesserte Version von OAuth 1.0 entwickeln wollten, strebten die Entwickler von Unternehmenssoftware einen Standard an, bei dem sie ihre Applikationen nicht groß verändern müssten und bei dem sie durch Anpassungen Geld verdienen können.

Flickenteppich an Kompromissen

So sei am Ende ein großer Flickenteppich an Kompromissen entstanden, der vor allem den Entwicklern von Unternehmenssoftware diene, schreibt Hammer in seinem Blogeintrag, der mit "OAuth 2.0 und der Weg in die Hölle" überschrieben ist. Zwar biete der aktuelle Entwurf nicht alles, was aus dem Lager der Unternehmenssoftware-Entwickler gewünscht sei, sie könnten den Standard aber praktisch beliebig erweitern.

Diese Erweiterbarkeit und Flexibilität habe letztendlich das Protokoll zerstört, denn es sei möglich, so ziemlich alles als OAuth 2.0 zu bezeichnen. Wer seine Anwendung darüber mit anderen verknüpfen wolle, könne kaum Code mehrfach verwenden, so Hammer.

Nach Ansicht von Hammer bedarf es im Web aber einfacher, gut definierter und eng begrenzter Protokolle, um die Sicherheit und Interoperabilität zu verbessern. Sein Rat an alle, die OAuth 1.0 erfolgreich verwenden: "Ignoriert 2.0."

Hammer hofft, dass sich doch jemand OAuth 2.0 annimmt und ein zehnseitiges Profil all dessen erstellt, was für das Webanbieter nützlich ist, eine Art OAuth 2.1 oder 1.5. Im Rahmen der IETF werde das wohl nicht passieren. Letztendlich sei es ein großer Fehler gewesen, OAuth 2.0 im Rahmen der IETF zu entwickeln, so Hammer.


eye home zur Startseite
droptable 27. Jul 2012

"... hätten sich diese um Rahmen des IETF- ..." um -> im



Anzeige

Stellenmarkt
  1. LogPay Financial Services GmbH, Eschborn
  2. Rohde & Schwarz GmbH & Co. KG, München
  3. Schwarz Zentrale Dienste KG, Neckarsulm
  4. Basler AG, Ahrensburg


Anzeige
Top-Angebote
  1. 499€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  2. 289,90€ + 3,99€ Versand (Vergleichspreis ca. 333€)
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€ und Watch_Dogs 2 Deluxe Edition 29,99€)

Folgen Sie uns
       


  1. Die Woche im Video

    Schwachstellen, wohin man schaut

  2. UAV

    Matternet startet Drohnenlieferdienst in der Schweiz

  3. Joint Venture

    Microsoft und Facebook verlegen Seekabel mit 160 Terabit/s

  4. Remote Forensics

    BKA kann eigenen Staatstrojaner nicht einsetzen

  5. Datenbank

    Börsengang von MongoDB soll 100 Millionen US-Dollar bringen

  6. NH-L9a-AM4 und NH-L12S

    Noctua bringt Mini-ITX-Kühler für Ryzen

  7. Wegen Lieferproblemen

    Spekulationen über Aus für Opels Elektroauto Ampera-E

  8. Minix

    Fehler in Intel ME ermöglicht Codeausführung

  9. Oracle

    Java SE 9 und Java EE 8 gehen live

  10. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

  1. Re: Und bei DSL?

    Ovaron | 09:34

  2. Re: IPv6 Subnetze? was habt Ihr?

    WalterWhite | 09:29

  3. Re: Das hängt von Geschwindigkeit und Interface ab

    Ovaron | 09:26

  4. Re: 190.000 Euro sollen an den TÜV für eine...

    User_x | 09:18

  5. Re: Weniger Funktionen in Deutschland

    cyoshi | 09:15


  1. 09:03

  2. 17:43

  3. 17:25

  4. 16:55

  5. 16:39

  6. 16:12

  7. 15:30

  8. 15:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel