OAuth 2.0 trebao bi biti dovršen ovaj tjedan, ali radnja se odvija na blogovima i u odjeljcima s komentarima na internetu dok su tri godine rada i frustracije ključale.
Kao zakoni i kobasice, možda nikad ne treba gledati niti slušati o tome kako se sastavljaju protokoli.
Često je to neuredan posao s obzirom na inteligenciju, predanost, ego, strast i odanost u kuhinji.
Prošli tjedan, izvorni urednik specifikacije OAuth 2.0 i autor OAuth 1.0, Eran Hammer, povukao je zavjesu na proces koji je trajao posljednjih nekoliko godina - a nije prilično.
Danas je pojasnio svoje primjedbe i stavio još žrtava pod autobus.
OAuth 2.0, za koji se mnogi nadaju da će pomoći u osiguravanju API-ja i izvornih mobilnih aplikacija, trebao bi ovog tjedna biti finaliziran od strane Internet Engineering Task Force (IETF).
Ali, prema Hammeru, to je neuspjeh iz prve ruke.
Kaže da je OAuth 2.0 bio zatrovan složenošću i sigurnosnim nedostacima kroz IETF proces koji je imao previše kuhara s previše korporativnih interesa. Naslov Hammerovog bloga je to sažeo, "OAuth 2.0 i Put u pakao.”
Uz današnji blog, "Pri napuštanju OAutha”, odgovorio je kritičarima i zabio programere i druge koji su se složili s Hammerovom procjenom od puta do pakla, ali nisu govorili dok je OAuth 2.0 izgrađen.
“To je jednostavno tužno i jadno”, napisao je.
Ali neki nisu imali ništa od Hammerovog ispada.
Među onima koji se nisu složili bio je Dick Hardt, jedan od originalnih autora OAutha 2.0 i novi urednik specifikacije IETF-a, koji je uzvratio na Hammerovu procjenu i povlačenje iz rada.
Drugi koji su sudjelovali u radnoj skupini za OAuth javili su se nebo ne pada, i to budućnost će suditi o OAuthu.
Rekao je predstavnik Googlea protokol radi dobro u proizvodnji.
OAuth 2.0 već koriste Facebook, Google, Salesforce.com i drugi. Nekolicina dobavljača već ga podržava u svom infrastrukturnom softveru i pristupnicima. Brojne druge specifikacije identiteta i privatnosti koriste OAuth kao temelj.
Hammer se distancirao od dovršenog standarda, detaljno opisao obrazac nedostataka, zainteresirao se za njegovu sigurnost ili nedostatak iste, žalio se za njegovim križanjem fokus s potrošača na poduzeće, okrivio je ishod na IETF i njegove članove, a zatim se ispričao za svoj neuspjeh i svoj percipirani neuspjeh skupina.
“Proces izrade standarda nepopravljivo je pokvaren”, napisao je Hammer. “Web ne treba još jedan sigurnosni okvir. Potrebni su jednostavni, dobro definirani i usko prilagođeni protokoli koji će dovesti do poboljšane sigurnosti i povećane interoperabilnosti.”
Iako je pohvalio inteligenciju i sposobnosti onih koji su sudjelovali u stvaranju OAutha, rekao je, "većina od njih se pojavljuje kako bi služili svojim korporativnim gospodarima, a nama ostalima je to praktički nemoguće natjecati se.”
U ponedjeljak su njegovi naknadni komentari eliminirali OAuth derivate, objasnio svoje ponašanje, ponovno pocijepao IETF i osudio one koji mu nisu pomogli.
Hammerovi blogovi potaknuli su niz komentara, od kojih se većina složila s njegovom procjenom usmjerenosti OAutha na poduzeća ili njihovom frustracijom IETF-om.
Hardt je, međutim, uzvratio.
Pišući u odjeljku s komentarima na Hammerovom izvornom blogu, Hardt je rekao:
“Vau. Inzistirali ste na potpunoj uredničkoj kontroli, nekoliko puta restrukturirali dokument, odugovlačili s podnošenjem izmjena, iščupali token nositelja u zasebnu specifikaciju jer vam se ne sviđa taj mehanizam, pokrenuli ste MAC specifikaciju za potpisani token, ali ste zatim odustali od toga spec. Sada dajete ostavku i krivite slučajeve korištenja poduzeća za svoju specifikaciju [sic]. Natjerati mačke da na kraju dobiju jednostavnu specifikaciju je teško, a to je posao urednika.”
Hammer je priznao Hardtovu frustraciju, ali je kritizirao Hardtove postupke unutar grupe “rano ste se izvukli, čim vam je ugovor istekao. Proveo sam [sic] prošlu godinu radeći na ovome vlastitim novcem”, napisao je Hammer. "To također govori kako ste vi jedina osoba koja je ovo pretvorila u osobni napad."
Unatoč povratku između ova dva, OAuth 2.0 je jedna IETF procedura od završetka.
Uz dovršenu specifikaciju, više krajnjih korisnika i programera dobit će OAuth 2.0, koji bi trebao proširiti okruženje za testiranje u stvarnom svijetu. Test potoni ili plivaj trebao bi biti jasniji od bilo koje IETF borbe.
Na koncu visi niz derivata OAutha. OAuth 2.0 je temelj za OpenID Connect, koji između ostalih značajki dodaje autentifikaciju i korisnički upravljani pristup (UMA), koji krajnjim korisnicima pruža kontrolu nad njihovim osobnim podaci.
OpenID Connect kreira OpenID Foundation, a UMA je inkubirala Kantara Initiative i sada je na IETF-u.
"Nadam se da Eran i drugi žele pogledati što UMA radi", rekla je Eve Maler, predsjednica radne skupine UMA-e. “Nadam se da ljudi ne misle da UMA petlja s OAuthom. Koristimo OAuth na neobičan način i nadahnuti smo njime u našim drugim tokovima.”
Maler, koji je također analitičar za Forrester Research, rekao je: "Zagovaram OAuth već godinu dana, mnogo prije nego što je bio na radaru Enterprise IT i ja stojim iza toga." Hammerov blog je okarakterizirala kao namjeran pokušaj zaustavljanja OAutha 2.0. “Nije složenost, jest vrijednost. OAuth donosi vrijednost pružajući priliku za izgradnju aplikacija povrh njega."
Računajte na više blogova i komentara koje ćete pratiti.
Koristi li vaša tvrtka ili mobilna usluga OAuth 2.0? Koja je vaša procjena OAutha? Je li previše složeno? radi li ti?
(Otkrivanje: moj poslodavac podržava OAuth 2.0 u svojim proizvodima.)
Vidi također:
- Ključna mobilna, sigurnosna specifikacija API-ja postavljena je za odobrenje IETF-a sljedeći tjedan
- Facebook OAuth proširenje mrsi perje, ukida dopuštenje korisničkog pristupa
- Anatomija hakiranja na Googleu vodi Plaxo do povećanja sigurnosti API-ja
- Hakeri, standardi i neprofitne organizacije: trojstvo za spašavanje internetskog identiteta?