Abo
  • Services:
Anzeige
Eran Hammer-Lahav schmeißt hin.
Eran Hammer-Lahav schmeißt hin. (Bild: OAuth)

OAuth 2.0: Der Weg in die Hölle?

Eran Hammer-Lahav schmeißt hin.
Eran Hammer-Lahav schmeißt hin. (Bild: OAuth)

OAuth 2.0 ist ein schlechtes Protokoll, schreibt Eran Hammer-Lahav in einem Blogeintrag. Das ist deshalb bemerkenswert, da Hammer die Entwicklung des Protokolls über die vergangenen drei Jahre geleitet hat und nun nichts mehr damit zu tun haben will.

Bei OAuth handelt es sich um ein offenes Protokoll zur sicheren API-Autorisierung für Desktop-, Web- und Mobile-Applikationen. Kurz gesagt, es ermöglicht es, Nutzern, Apps und Diensten Zugriff auf die Daten von anderen Apps und Diensten einzuräumen, ohne dass diese dazu ihr Passwort benötigen.

Anzeige

Mit OAuth 2.0 wird seit Jahren an der zweiten, nicht abwärtskompatiblen Version von OAuth gearbeitet, die eigentlich schon Ende 2010 hätte fertig sein sollen. Verantwortlich für die Spezifikation war Eran Hammer-Lahav, der jetzt mit dem Protokoll hart ins Gericht geht. Viele Kompromisse hätten dazu geführt, dass OAuth 2.0 seine zwei Hauptziele verfehle: Sicherheit und Interoperabilität.

Hammer nennt als Beispiele für solche Kompromisse, OAuth 2.0 nicht mehr als Protokoll sondern als Framework zu bezeichnen, oder den Hinweis einzufügen, dass die Spezifikation vermutlich nicht zu interoperablen Implementierungen führe. Letztendlich sei OAuth 2.0 deutlich komplexer, weniger interoperabel, weniger nützlich, weniger vollständig und vor allem weniger sicher als OAuth 1.0.

Zwar sei ein Entwickler mit tiefem Verständnis von Websicherheit in der Lage, eine sichere Implementierung zu erschaffen, doch die letzten zwei Jahre hätten gezeigt, dass bei den meisten nur unsichere Implementierung dabei herauskämen.

Schuld an den Problem ist nach Ansicht von Hammer vor allem der Versuch, die Anforderungen der Web- und Unternehmenswelt zu vereinen. Seien anfangs viele Webentwickler beteiligt gewesen, hätten sich diese um Rahmen des IETF-Standardisierungsprozesses zurückgezogen, so dass kein Entwickler von OAuth 1.0 heute mehr dabei sei. Übrig geblieben seien nur Entwickler von Unternehmenssoftware und er, Hammer.

Und während die Webentwickler mit OAuth 2.0 eigentlich nur eine leicht verbesserte Version von OAuth 1.0 entwickeln wollten, strebten die Entwickler von Unternehmenssoftware einen Standard an, bei dem sie ihre Applikationen nicht groß verändern müssten und bei dem sie durch Anpassungen Geld verdienen können.

Flickenteppich an Kompromissen

So sei am Ende ein großer Flickenteppich an Kompromissen entstanden, der vor allem den Entwicklern von Unternehmenssoftware diene, schreibt Hammer in seinem Blogeintrag, der mit "OAuth 2.0 und der Weg in die Hölle" überschrieben ist. Zwar biete der aktuelle Entwurf nicht alles, was aus dem Lager der Unternehmenssoftware-Entwickler gewünscht sei, sie könnten den Standard aber praktisch beliebig erweitern.

Diese Erweiterbarkeit und Flexibilität habe letztendlich das Protokoll zerstört, denn es sei möglich, so ziemlich alles als OAuth 2.0 zu bezeichnen. Wer seine Anwendung darüber mit anderen verknüpfen wolle, könne kaum Code mehrfach verwenden, so Hammer.

Nach Ansicht von Hammer bedarf es im Web aber einfacher, gut definierter und eng begrenzter Protokolle, um die Sicherheit und Interoperabilität zu verbessern. Sein Rat an alle, die OAuth 1.0 erfolgreich verwenden: "Ignoriert 2.0."

Hammer hofft, dass sich doch jemand OAuth 2.0 annimmt und ein zehnseitiges Profil all dessen erstellt, was für das Webanbieter nützlich ist, eine Art OAuth 2.1 oder 1.5. Im Rahmen der IETF werde das wohl nicht passieren. Letztendlich sei es ein großer Fehler gewesen, OAuth 2.0 im Rahmen der IETF zu entwickeln, so Hammer.


eye home zur Startseite
droptable 27. Jul 2012

"... hätten sich diese um Rahmen des IETF- ..." um -> im



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Böblingen
  2. MBDA Deutschland, Schrobenhausen
  3. über Nash Direct GmbH, Südschwarzwald
  4. Bechtle Onsite Services GmbH, deutschlandweit


Anzeige
Top-Angebote
  1. 169,99€ bzw. 15€ günstiger bei Newsletter-Anmeldung
  2. (u. a. Wolfenstein II 24,99€, Destiny 2 37,99€, The Evil Within 2 24,99€, Assassins Creed...
  3. 199€ (Normalpreis 250€)

Folgen Sie uns
       


  1. Snpr External Graphics Enclosure

    KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

  2. IOS 11 und iPhone X

    Das Super-Retina-Display braucht nur wenige Anpassungen

  3. Polyphony Digital

    GT Sport bekommt Einzelspielerliga

  4. Smartphone-Tarife

    Congstar wertet Prepaid-Pakete auf

  5. Rauschgifthandel

    BKA nimmt "Top-Verkäufer" aus dem Darknet fest

  6. Toyota

    Roboter T-HR3 meldet sich zum Arbeitseinsatz

  7. FixFifa

    Fans von Fifa 18 drohen mit Boykott

  8. Samsung

    Erste Details zum Galaxy S9

  9. Cyber Monday

    Streiks an drei Amazon-Standorten

  10. Echo Show vs. Fire HD 10 im Test

    Alexa, zeig's mir!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Montagewerk in Tilburg: Wo Tesla seine E-Autos für Europa produziert
Montagewerk in Tilburg
Wo Tesla seine E-Autos für Europa produziert
  1. Elektroauto Walmart will den Tesla-Truck
  2. Elektrosportwagen Tesla Roadster 2 beschleunigt in 2 Sekunden auf Tempo 100
  3. Elektromobilität Tesla Truck soll in 30 Minuten 630 km Reichweite laden

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

  1. Re: Trenching ..

    senf.dazu | 12:19

  2. Re: Empfänger

    My1 | 12:18

  3. Interessante Entwickung..

    melog89 | 12:17

  4. Re: Man darf gespannt sein...

    mbirth | 12:16

  5. Re: Der Schuss ging nach Hinten los

    PiranhA | 12:15


  1. 12:30

  2. 11:59

  3. 11:51

  4. 11:45

  5. 11:30

  6. 11:02

  7. 10:39

  8. 10:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel