Entwickler: "OAuth 2.0 weniger interoperabel und weniger sicher"

Eran Hammer zieht sich aus dem Spezifikationsverfahren fĂĽr das offene Authentifizierungsprotokoll OAuth 2.0 bei der IETF zurĂĽck. Sein Grund: Durch die vielen Kompromisse sei das Protokoll nicht sicher genug.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ragni Zlotos

Nach drei Jahren Arbeit am Spezifikationsdokument der Internet Engineering Task Force (IETF) für OAuth 2.0 zieht sich der Redakteur des Dokuments Eran Hammer von dem Projekt zurück. "Die vielen hart erkämpften Kompromisse endeten mit einer Spezifikation, die es nicht schafft, ihre zwei hauptsächlichen Ziele zu erreichen: Sicherheit und Interoperabilität", schreibt Hammer in einem Blogeintrag.

Verglichen mit OAuth 1.0 sei 2.0 "viel komplexer, weniger interoperabel, weniger nützlich, unvollständiger und vor allem weniger sicher". Implementiert von einem Entwickler mit hohem Verständnis für Sicherheit im Web sei das wahrscheinliche Resultat eine sichere Implementation. Die meisten Entwickler aber würden nachHammers Einschätzung unsichere Implementationen entwickeln.

Als Grund für diese Entwicklung sieht Hammer vor allem die Interessengegensätze in der Arbeitsgruppe: Die Interessen der großen Unternehmen auf der einen Seite lägen darin, ihre eigenen Lösungen mit möglichst wenig Anpassungen OAuth 2.0-kompatibel zu machen. Im Interesse derer, die Hammer Web-Welt nennt, auf der anderen Seite seien es, das Protokoll auf OAuth 1.0 aufzusetzen und kleine Verbesserungen dort zu schaffen, wo sie nötig sind. Mit der Zeit hätten fast alle aus der Web-Welt die Arbeitsgruppe verlassen.

Auch sei es der Gruppe schwergefallen, Entscheidungen zu treffen, was ebenfalls die Spezifikation gerade der Sicherheitsvorkehrungen des Protokolls verwässerte. So sei laut Hammer nur noch ein Token vonnöten statt zweier in OAuth 1.0, und die Signaturen und Verschlüsselung auf Protokoll-Level wurde abgeschafft. "OAuth zur IETF zu bringen war ein großer Fehler", schließt Hammer seine Rücktrittserklärung. (rzl)