Abo
  • Services:

OAuth 2.0: Der Weg in die Hölle?

OAuth 2.0 ist ein schlechtes Protokoll, schreibt Eran Hammer-Lahav in einem Blogeintrag. Das ist deshalb bemerkenswert, da Hammer die Entwicklung des Protokolls über die vergangenen drei Jahre geleitet hat und nun nichts mehr damit zu tun haben will.

Artikel veröffentlicht am ,
Eran Hammer-Lahav schmeißt hin.
Eran Hammer-Lahav schmeißt hin. (Bild: OAuth)

Bei OAuth handelt es sich um ein offenes Protokoll zur sicheren API-Autorisierung für Desktop-, Web- und Mobile-Applikationen. Kurz gesagt, es ermöglicht es, Nutzern, Apps und Diensten Zugriff auf die Daten von anderen Apps und Diensten einzuräumen, ohne dass diese dazu ihr Passwort benötigen.

Stellenmarkt
  1. Lidl Digital, Leingarten
  2. Robert Bosch GmbH, Leonberg

Mit OAuth 2.0 wird seit Jahren an der zweiten, nicht abwärtskompatiblen Version von OAuth gearbeitet, die eigentlich schon Ende 2010 hätte fertig sein sollen. Verantwortlich für die Spezifikation war Eran Hammer-Lahav, der jetzt mit dem Protokoll hart ins Gericht geht. Viele Kompromisse hätten dazu geführt, dass OAuth 2.0 seine zwei Hauptziele verfehle: Sicherheit und Interoperabilität.

Hammer nennt als Beispiele für solche Kompromisse, OAuth 2.0 nicht mehr als Protokoll sondern als Framework zu bezeichnen, oder den Hinweis einzufügen, dass die Spezifikation vermutlich nicht zu interoperablen Implementierungen führe. Letztendlich sei OAuth 2.0 deutlich komplexer, weniger interoperabel, weniger nützlich, weniger vollständig und vor allem weniger sicher als OAuth 1.0.

Zwar sei ein Entwickler mit tiefem Verständnis von Websicherheit in der Lage, eine sichere Implementierung zu erschaffen, doch die letzten zwei Jahre hätten gezeigt, dass bei den meisten nur unsichere Implementierung dabei herauskämen.

Schuld an den Problem ist nach Ansicht von Hammer vor allem der Versuch, die Anforderungen der Web- und Unternehmenswelt zu vereinen. Seien anfangs viele Webentwickler beteiligt gewesen, hätten sich diese um Rahmen des IETF-Standardisierungsprozesses zurückgezogen, so dass kein Entwickler von OAuth 1.0 heute mehr dabei sei. Übrig geblieben seien nur Entwickler von Unternehmenssoftware und er, Hammer.

Und während die Webentwickler mit OAuth 2.0 eigentlich nur eine leicht verbesserte Version von OAuth 1.0 entwickeln wollten, strebten die Entwickler von Unternehmenssoftware einen Standard an, bei dem sie ihre Applikationen nicht groß verändern müssten und bei dem sie durch Anpassungen Geld verdienen können.

Flickenteppich an Kompromissen

So sei am Ende ein großer Flickenteppich an Kompromissen entstanden, der vor allem den Entwicklern von Unternehmenssoftware diene, schreibt Hammer in seinem Blogeintrag, der mit "OAuth 2.0 und der Weg in die Hölle" überschrieben ist. Zwar biete der aktuelle Entwurf nicht alles, was aus dem Lager der Unternehmenssoftware-Entwickler gewünscht sei, sie könnten den Standard aber praktisch beliebig erweitern.

Diese Erweiterbarkeit und Flexibilität habe letztendlich das Protokoll zerstört, denn es sei möglich, so ziemlich alles als OAuth 2.0 zu bezeichnen. Wer seine Anwendung darüber mit anderen verknüpfen wolle, könne kaum Code mehrfach verwenden, so Hammer.

Nach Ansicht von Hammer bedarf es im Web aber einfacher, gut definierter und eng begrenzter Protokolle, um die Sicherheit und Interoperabilität zu verbessern. Sein Rat an alle, die OAuth 1.0 erfolgreich verwenden: "Ignoriert 2.0."

Hammer hofft, dass sich doch jemand OAuth 2.0 annimmt und ein zehnseitiges Profil all dessen erstellt, was für das Webanbieter nützlich ist, eine Art OAuth 2.1 oder 1.5. Im Rahmen der IETF werde das wohl nicht passieren. Letztendlich sei es ein großer Fehler gewesen, OAuth 2.0 im Rahmen der IETF zu entwickeln, so Hammer.



Anzeige
Top-Angebote
  1. 219€ + Versand (Vergleichspreis 251€)
  2. 69€
  3. (u. a. Destiny 2 PS4 für 9,99€)
  4. 448,89€ inkl. Versand (Vergleichspreis 495€)

droptable 27. Jul 2012

"... hätten sich diese um Rahmen des IETF- ..." um -> im


Folgen Sie uns
       


Lenovo Moto G6 - Test

Bei einem Smartphone für 250 Euro müssen sich Käufer oft auf Kompromisse einstellen. Beim Moto G6 halten sie sich aber in Grenzen.

Lenovo Moto G6 - Test Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Künstliche Intelligenz Vages wagen
  2. KI Mit Machine Learning neue chemische Reaktionen herausfinden
  3. Elon Musk und Deepmind-Gründer Keine Maschine soll über menschliches Leben entscheiden

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

    •  /