"OAuth ist die größte Enttäuschung meiner Karriere"
Kommentare

Eran Hammer verlässt nach über fünf Jahren das OAuth-Team und bezeichnet seine Tätigkeit dort als „größte berufliche Enttäuschung [s]einer Karriere“. Das Projekt, so berichtet er, wurde in Mailing-Listen

Eran Hammer verlässt nach über fünf Jahren das OAuth-Team und bezeichnet seine Tätigkeit dort als „größte berufliche Enttäuschung [s]einer Karriere“. Das Projekt, so berichtet er, wurde in Mailing-Listen und durch etliche Kompromisse derartig zurückgestutzt, dass es nie möglich geworden sei, die zwei Hauptziele von OAuth zu verwirklichen: Sicherheit und Interoperabiltät.

Insbesondere seit OAuth 2.0 ist es sehr wahrscheinlich geworden, dass Entwickler, die das Security-Framework einsetzen, eine unsichere Anwendung erstellen werden. Die Spezifikation der zweiten Iteration wurde derartig komplex, inkompatibel, unvollständig, unsicher und hat so viel Nutzen eingebüßt, dass Hammer das Handtuch warf und seinen Namen aus der Spezifikation streichen ließ.

Im Folgenden wird seine Kritik an OAuth 2.0 sehr konkret. So geht er darauf ein, dass man den widersprüchlichen Wünschen der Web-Community und der Enterprise-Kundschaft gleichermaßen gerecht werden wollte – was zum Scheitern verurteilt war. Erschwerend kam hinzu, dass die Web-Vertreter in der Task Force und erfahrene OAuth 1.0 Entwickler das Feld räumten und Hammer der alleinige Vertreter der Web-Interessen wurde. So erhielten die Enterprise-Wünsche den Vorzug, und OAuth wurde schön erweiterbar. Doch damit war das Protokoll dahin. Das Token-System wurde stark aufgeweicht und umgebaut. Dennoch einigte man sich nicht auf genaue Richtlinien. Unterm Strich wurde ein 70-seitiges Dokument nötig, um mögliche Sicherheitslücken zu beschreiben.

Indes beobachtete Hammer, dass im Web Seiten wie Facebook auf alte Working Drafts von OAuth setzen und diese im Alleingang weiterentwickeln. Ähnlich klingt auch Hammers allgemeiner Ratschlag: „Wenn Ihr derzeit [OAuth] 1.0 erfolgreich nutzt, ignoriert 2.0.“ Deutlicher kann er nicht ausdrücken, dass OAuth im Web tot ist.

Abschließend sagt Hammer, dass der Prozess zur Bildung von Standards bei OAuth so kaputt ist, dass nichts mehr zu reparieren ist. Das sei vor allem der Internet Engineering Task Force anzulasten, deren Vertreter sich in erster Linie individuellen Interessen ihrer Arbeitgeber verpflichtet sehen und in den vergangenen drei Jahren einheitliche Innovation unmöglich machten.

I stuck around as long as I could stand it, to fight for what I thought was best for the web. I had nothing personally to gain from the decisions being made. At the end, one voice in opposition can slow things down, but can’t make a difference.

I failed.

We failed.

Wie steht Ihr zu OAuth? Nutzt Ihr noch die alte Version, oder habt Ihr eine sichere Implementation mit Version 2.0 auf die Beine stellen können?

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -