OAuth 2.0エディターは名前を消すように求められた





OAuth 1.0仕様の作成者の1人であり、新しいOAuth 2.0標準の現在の編集者であるEran Hammerは、新しい標準の3年間の作業の後、辞任を発表し、仕様から名前を削除するように依頼しました。



個人的なブログで、専門家がこの行為の理由を説明しました 。 一言で言えば、IETFでの処理後のOAuth 2.0は悪い標準になりました。 「彼はとても悪いので、私の名前を彼に関連付けたくない」と、Eran Hammerは書いているが、彼は3年間の努力の結果、この決定は彼にとって容易ではなかったと述べている。 IETFでの新しい標準の議論は多くの妥協をもたらし、結果として、互換性とセキュリティという2つの基本原則を満たさない仕様になりました。 そのため、妥協点の1つはプロトコルのフレームワークへの名前変更であり、別の妥協点は仕様が互換性のある実装を提供する可能性が低いというステートメントの追加でした。 Facebookの例でさえ、開発者がOAuth 2.0の重要な部分を無視していることを示しています。これは、仕様の作者の1人がFacebookでこのテクノロジーの実装に携わっているという事実にもかかわらずです。



Hammer氏によると、1.0と比較して、仕様2.0はより複雑で、互換性が低く、使用性が低く、包括性が低く、最も重要な点として安全性が低いという。 インテリジェントな開発者の手に渡ると、OAuth 2.0は十分に保護されたシステムになる可能性がありますが、ほとんどの開発者の手には、過去2年間の経験が示すように、逆になります。



標準の作成者の1人によると、OAuth 2.0でこのような悲しい状況が発生した理由は、Web開発の代表者と企業の世界との間の不一致でした。 最初は、インターネットコミュニティのすべての代表者がワーキンググループに参加していましたが、徐々に退社し、最終的には企業の代表者とEran Hammerだけが残りました。 Web開発者は、必要な領域に修正を加えたOAuth 1.0の改良バージョンを望んでいましたが、企業の代表者は、既存のエンタープライズシステムに簡単に統合できるフレームワークを望んでいました。 その結果、ほぼすべての拡張を可能にするフレームワークが作成されたため、ほぼすべてのシステムをOAuth 2.0互換と呼ぶことができます。



Eran Hammer氏はブログ投稿の最後に次のように書いています。「OAuthブランドは日没に向かっていると思います。 このフレームワークはしばらくの間存続し、競争がなければ、広く使用されます。 しかし、同時に、今後数年間で深刻なセキュリティ上の脆弱性が発生し、その後ゆっくりと容赦ないブランドの信用が失われる可能性があります。 これは、誰もが嫌うプロトコルの1つですが、拒否することはできません。」



一般に、IETFでOAuthを標準化することは大きな間違いでした。 これを理解するのに3年かかったのは残念です。 彼の立場を示すために、Eran Hammerは「彼らはOAuthを殺した。 ろくでなし!」



Eran Hammerは、すでにOAuth 1.0を正常に使用している人にはOAuth 2.0へのアップグレードを推奨していません。



WebSocketの場合 、良好な標準の複雑さと信用の低下を伴うIETFの同じ状況が発生したことに注意する必要があります。 OAuth



All Articles