OAuth-Anführer schmeißt hin und erklärt Projekt für gescheitert

27.07.2012

Einer der führenden Entwickler des OAuth-2.0-Standards zieht sich aus dem Projekt zurück und erklärt den erreichten Standard für unbrauchbar.

Wie Eran Hammer-Lahav in einem Blog-Eintrag bekannt gibt, zieht er sich von seine Rolle als führender Autor des OAuth-2.0-Standards zurück. Der Grund dafür sei, dass das Ergebnis der Standardisierung zu einem derart unbrauchbaren Protokoll geführt habe, dass er seinen Namen damit nicht assoziiert sehen möchte. "Verglichen mit OAuth 1.0 ist die Spezifikation der Version 2.0 komplexer, weniger interoperabel, weniger nützlich, unvollständiger und vor allem weniger sicher", so Hammer-Lahav.

Die Ursache sei darin zu suchen, dass OAuth 2.0 zur Standardisierung an die IETF übergeben wurde. Dort seien im Lauf der Zeit alle Teilnehmer der entsprechenden Working Group, die aus dem Webumfeld stammen, durch Angehörige der von Hammer-Lahav so genannten Enterprise-Welt ersetzt worden. Das Ergebnis sei der typische schlechte Kompromiss eines per "design-by-committee" entwickelten Protokolls, das vorwiegend "Enterprise-Interessen diene".

OAuth 1.0 wird dafür eingesetzt, zwischen Websites Authentisierungstoken auszutauschen und damit beispielsweise nur bestimmte Teilfunktionen gegenseitig freizuschalten, statt einen vollständigen Zugang einzuräumen. Somit können User etwa Websites einen beschränkten Zugang auf Teilbereiche ihres Twitter- oder Facebook-Accounts erlauben, aber private Daten davon ausnehmen.

Entwicklern rät Hammer-Lahav, weiterhin bei OAuth zu bleiben: "Wer derzeit 1.0 erfolgreich im Einsatz hat, sollte 2.0 ignorieren. Es bietet keinen echten Vorteil gegenüber 1.0".

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Google öffnet Spielwiese für OAuth 2.0

Im OAuth 2.0 Playground können Programmierer das Verfahren zur Authentifizierung im Web testen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020