Sichere Anwendungsautorisierung: ownCloud führt OAuth 2.0 ein
Die Cloud-Software ownCloud setzt künftig auf das OAuth-2.0-Protokoll, um Geräten und Anwendungen den tokenbasierten Zugriff auf Nutzerdaten zu ermöglichen.
(Bild: owncloud.org)
ownCloud, eine freie Cloud-Software für das Filehosting auf eigenen Servern, unterstützt jetzt die Verwendung des offenen Authentifizierungsprotokolls OAuth in der Version 2.0. Das geht aus einem Blogeintrag auf der Webseite des ownCloud-Projekts hervor. Mittels OAuth können Nutzer Geräte und Anwendungen zum Zugriff auf geschützte Ressourcen autorisieren, die auf einem Server verwaltet werden. Die Übermittlung von Login-Daten ist hierzu nicht erforderlich; stattdessen kommen serverseitig generierte Tokens zum Einsatz, die die Autorisierung durch den Nutzer repräsentieren.
(Bild: owncloud.org)
Bei ownCloud erfolgt diese Autorisierung künftig über das Webinterface des ownCloud-Servers. Der Nutzer gibt dort einmalig pro Gerät oder Anwendung seine Zugangsdaten ein und bestätigt die Autorisierung. Der Server antwortet mit einem spezifischen Token, das der künftigen Identifizierung dient. Es kann vom Nutzer jederzeit widerrufen werden. Hilfreich ist dies beispielsweise dann, wenn sich eine Anwendung als nicht vertrauenswürdig entpuppt oder der genutzte Client (etwa ein Smartphone) verloren geht.
Uni-Projekt als Inspiration
Ausgangspunkt für die Einführung von OAuth 2.0 war laut ownCloud ein Projekt der Westfälischen Wilhelms-Universität Münster: Die Studenten hätten nach einer Möglichkeit gesucht, ownCloud in die von ihnen genutzte Online-Lernplattform zu integrieren, ohne ihre Passwörter in beiden Systemen speichern zu müssen. Die von ihnen entwickelte Lösung habe dem ownCloud-Entwicklerteam als Basis für eine stabile Version gedient.
Nach eigenen Angaben will ownCloud OAuth 2.0 aufgrund seiner Einfachheit und Sicherheit zum neuen Standard für die Client-Server-Kommunikation machen. Ausnahmen sollen aber weiterhin möglich sein, etwa für ältere Software-Clients. Die serverseitig benötigte OAuth-Komponente sowie eine OAuth-fähige Client-Version für Android stehen zum Download bereit. Die App für iOS sowie der Desktop-Client für Linux, Windows und macOS sollen Anfang November 2017 folgen. (ovw)
