與我不同就不安全，蘋果這次動了別人的蛋糕

不知道大家是否記得在上個月舉行的WWDC上，蘋果方面主管iOS與Mac軟體的高級副總裁克雷格·費德里吉，向全球開發者與用戶介紹了iOS 13的一項新功能——「Sign in with Apple」。其允許用戶選擇使用隨機生成的一次性虛擬郵件註冊，來登陸第三方APP以保護用戶隱私。

為了推廣這項新功能，蘋果要求第三方APP開發者如果提供任何其他第三方登陸，則必須同時提供這一登陸選項，同時登陸按鈕需放置在用其他第三方方式登錄的按鈕之上。且不提蘋果強制要求「Sign in with Apple」必須要凌駕於第三方登陸的做法，或已經涉嫌違背競爭公平性，日前其本身的安全性也被拿出來說事了。

OpenID基金會指出蘋果登錄方式有風險

上周四，OpenID基金會給蘋果發出了一封公開信。據悉，這份公開信是OpenID基金會（簡稱OIDF）社區委員會主席櫻村納特寫給蘋果主管軟體業務的克雷格·費德里吉，主要內容是稱讚其登錄功能「大部分」採用了OpenID Connect協議，但由於二者之間存在不少差異，而這些差異則將使用戶面臨更大的安全與隱私風險。

有朋友看到這裡可能會認為，OpenID基金會是什麼來頭，居然對一家市值近萬億美元的科技企業提出不同看法。但事實上OIDF並非野雞組織，其負責OpenID技術發展、實施，以及OpenID證書發放的非營利性組織，會員更是包括了谷歌、微軟、PayPal、NRI、甲骨文、GSMA在內的一大批科技巨頭。

OpenID是由LiveJournal與SixApart開發的一個以用戶為中心的分散式數字身份識別框架，可以說是目前互聯網上應用最為廣泛的一種身份驗證系統，它允許應用程序與網站開發人員對用戶進行身份驗證，而無需承擔存儲與管理密碼的責任。OpenID帳號可以在任何應用了這一驗證系統的網站與APP中使用，從而避免了多次註冊給用戶帶來的繁瑣。搭配負責授權OAuth協議，則構成了諸如騰訊互聯等第三方登陸功能實現的基礎——OpenAPI。

OpenID的原理相當簡單，假設用戶已經擁有一個在騰訊註冊獲得的OpenID帳號，也就是QQ號，在支持OpenID帳號登陸的微博使用時，此時在微博登陸界面輸入相應帳號進行登錄時，瀏覽器就會自動轉向騰訊互聯的頁面進行身份驗證。此時，用戶只要輸入QQ的賬號密碼對微博進行驗證管理，驗證通過後就會自動跳轉到微博上。

但這個蛋糕可不是那麼好動的

不過因為蘋果並非是OIDF會員，因此剛剛推出的這套「Sign in with Apple」也並不是OpenID體系之內的產品。因此OpenID社區的開發者在解析了OpenID Connect與「Sign in with Apple」之間的差異之後，指出了這一登錄方式可能存在的風險。

其中最為重要的一條，就是開發者只能在「用戶第一次登陸時通過前端獲取到虛擬郵箱」，這就導致將無法驗證該郵箱的安全性。也就是說為了確保郵箱一定是用戶本人在使用，開發者目前仍需給用戶發送確認郵件。

縱觀OIDF方面公布的文檔，其實簡而言之就一句話——「與我有區別的地方，就是有隱私和安全風險的地方」。沒錯，OpenID基金會確實是一家非營利性組織，但是其董事會成員卻是來自谷歌、微軟、PayPal等，因此這也就意味著利益將被蘋果侵犯。

「Sign in with Apple」討好了用戶，但是真真切切的傷害了開發者利益，無異於是在各家的賬號體系內釜底抽薪，最終結果就是AppleID將在iOS體系內，取代其他任何的第三方賬號體系。

在目前的第三方賬號模式下，用戶的個人數據其實有著「雙向披露」的情況，需要用戶將個人電子郵件地址提供給平台以換取對第三方登陸的支持。而有了用戶授權的第三方登陸信息，谷歌等平台就能夠知曉用戶使用的相關情況（類型/頻率等），再通過各個平台的交叉授權，為用戶畫像增添可靠的信息。同時郵箱還能夠成為廣告營銷的戰場，以便其向用戶推送各類的廣告郵件。

除了影響其他廠商收集用戶信息之外，蘋果未嘗沒有存著大幅度提升用戶跳槽至Android端成本的考慮。依託於目前Touch ID與Face ID這樣便捷的生物驗證機制，用戶未來將可以快速登陸大量這一功能的第三方登陸APP，而反觀Android端，類似的體驗就要差很多了。

「Sign in with Apple」能否如期推行還是個問題

那麼除了這樣一封效力存疑的公開信之外，OIDF是否有能夠實行針對蘋果的強制措施呢？答案是可以，在OpenID認證條款中有這樣的描述，」OIDF會保留在任何時候單獨撤銷有限許可的權利「，「OIDF不承擔任何可能產生或相關的責任」， 「OIDF會自行決定實施者違反了本協定或任何適用的法律」。

這也就意味著，OIDF有能力在必要的情況下，面向開發者來一次強制性的「二選一」。當然，作為標準化組織，這種「二選一」是透支組織信譽的「核武器」，不到萬不得已是不會使用的。但是蘋果此次動了大家的蛋糕，自然也會引起一定的反彈。

OIDF在公開信中給蘋果提出了四點意見，其中包括解決與AppleID登錄與OpenIDConnect之間的差距，使用OpenID連接認證測試套件，聲明AppleID登錄與OpenID Connect兼容並可互操作，以及加入OIDF。總的來說就是一句話，OIDF依託自己業界主流的大體量向外界表示，蘋果你自己搞的標準我們不認，不如你「倒戈卸甲，以禮來降」。

現在皮球被踢到了蘋果一方，如果說其無動於衷甚至採用對抗策略的話，「安全」與「隱私」這兩頂大帽子一扣，對於一向以保護用戶隱私著稱的蘋果而言，無疑就是貽人口實。而一旦與OpenID Connect協議完全接軌，「Sign in with Apple」想要實現功能的難度就會大幅度提升，因此目前收到這封公開信的克雷格·費德里吉可能已經很頭疼了。

至於國內用戶則只能說「雨女無瓜」了，因為現階段國內的賬號體系通常關聯的都是手機號而非電子郵箱，並且各類推廣信息也往往是通過簡訊來實現。再加上我國所採取的是電話號碼實名制，因此對於蘋果這樣一個極為注重合規的企業來說，「Sign in with Apple」支持虛擬電話號碼的可能性，幾乎是微乎其微。

不過凡事都有一個萬一，萬一蘋果想到了解決方案，那麼這個功能可能就會變得更有意思了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！