sign in（谷歌登录业务主管为何对Sign in with Apple功能表示赞赏）

本文目录

• 谷歌登录业务主管为何对Sign in with Apple功能表示赞赏
• Sign in with Apple曝高危漏洞
• 苹果高管是如何看iPadOS和Sign In with Apple的
• OpenID基金会主席如何看待Sign in with Apple便捷登录功能
• YAHOO邮箱格式

谷歌登录业务主管为何对Sign in with Apple功能表示赞赏

在上周的开发者大会（WWDC 2019）上，苹果宣布将在今秋正式发布的 iOS 13 系统中引入“一键登录”（Sign in with Apple）功能，引来了一大票观众的掌声与欢呼。

据悉，这家 iPhone 制造商希望将该按钮放在 Google 和 Facebook 账号登陆的正上方，将按钮与 Face ID / Touch ID 身份认证绑定，以提供极佳的安全性和便利性。

（题图 via BGR）

值得一提的是，用户还可借此按钮生成无限数量的唯一电子邮件地址，以充分保护真实的邮箱地址。此外，你可以在单击时捕获大量与自己有关的数据。

有趣的是，谷歌登录主管 Mark Risher，竟然也对苹果此举大加赞赏，称之对于互联网来说是一个利好。其在接受 TheVerge 采访时称，与容易被猜中的传统密码相比，Sign in with Apple 显然做得更好。

老实说，我认为这项技术对互联网是更加有益的，且能让用户更加安全。即便大家选择了竞争对手的网站一键登录方案，也总比通过输入定制的用户名和密码来得更好。

当然，Risher 并不是一边倒地去吹捧苹果，因为该公司新推出的功能，也同样有趣 —— 你可以通过配套的 Android 智能机和 Google 账户，作为登录 iOS 设备的双因素实体密钥。

坦白说，当您按下‘用谷歌账号登录’的时候，我们并没有明确指出会发生什么。但苹果那边包含了一堆的暗示，有着捧高自己、踩低它人的意味，我并不喜欢这一点。

Risher 重申：“我们（Google）只会记录与身份验证相关的这一时刻，而不会将信息用于任何类型的重定位、广告、或向第三方分发。如果用户回头看，会发现该过程仍处于自己的掌控之下”。

Sign in with Apple曝高危漏洞

近日苹果向印度漏洞安全研究专家Bhavuk Jain支付了高达10万美元的巨额赏金，原因就是他报告了存在于Sign in with Apple中的严重高危漏洞。Sign in with Apple（通过Apple登录），能让你利用现有的Apple ID快速、轻松地登录 App 和网站，目前按该漏洞已经修复。

该漏洞允许远程攻击者绕过身份验证，接管目标用户在第三方服务和应用中使用Sign in with Apple创建的帐号。在接受外媒The Hacker News采访的时候，Bhavuk Jain表示在向苹果的身份验证服务器发出请求之前，苹果客户端验证用户方式上存在漏洞。

通过“Sign in with Apple”验证用户的时候，服务器会包含秘密信息的JSON Web Token（JWT），第三方应用会使用JWT来确认登录用户的身份。Bhavuk发现，虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户，但在下一步的验证服务器上，它并没有验证是否是同一个人在请求JSON Web Token(JWT)。

因此，该部分机制中缺失的验证可能允许攻击者提供一个属于受害者的单独的苹果ID，欺骗苹果服务器生成JWT有效的有效载荷，以受害者的身份登录到第三方服务中。Bhavuk表示：“我发现我可以向苹果公司的任何Email ID请求JWT，当这些令牌的签名用苹果公司的公钥进行验证时，显示为有效。这意味着，攻击者可以通过链接任何Email ID来伪造JWT，并获得对受害者账户的访问权限。”

Bhavuk表示即使你选择隐藏你的电子邮件ID，这个漏洞同样能够生效。即使你选择向第三方服务隐藏你的电子邮件ID，也可以利用该漏洞用受害者的Apple ID注册一个新账户。

Bhavuk补充道：“这个漏洞的影响是相当关键的，因为它可以让人完全接管账户。许多开发者已经将Sign in with Apple整合到应用程序中，目前Dropbox、Spotify、Airbnb、Giphy（现在被Facebook收购）都支持这种登录方式。”

Bhavuk在上个月负责任地向苹果安全团队报告了这个问题，目前该公司已经对该漏洞进行了补丁。除了向研究人员支付了bug赏金外，该公司在回应中还确认，它对他们的服务器日志进行了调查，发现该漏洞没有被利用来危害任何账户

苹果高管是如何看iPadOS和Sign In with Apple的

昨天的WWDC 2019开幕演讲中，苹果正式宣布了iOS 13和macOS Catalina诸多重量级新品。今天在接受外媒CNET采访的时候，多名苹果高管提供了关于iPadOS和Sign In with Apple安全功能的更多观点和洞察。

Sign In with Apple

使用Sign In with Apple，用户可以使用Apple ID来登陆第三方应用和服务，在不泄露任何其他个人信息的情况下使用Face ID进行更方便地登陆。

和Google、Facebook等第三方提供的登陆服务不同，使用Apple ID登陆能够让用户选择显示或隐藏其电子邮件地址。用户还可以通过Sign In with Apple，生成一个独特的随机匿名电子邮件地址，可以针对特定应用进行管理，让用户可以更好地控制他们的数据。

苹果软件技术副总裁群波（Guy “Bud“ Tribble）向CNET表示，这项功能是对“便捷登陆服务需要付出沉重代价”想法的直接挑战。他说道：“事实上要实现这点并没有想象中那么难。我们认为应该通过数据等方式为用户提供更多的控制权。”

Sign In with Apple功能将随macOS Catalina，iOS 13和iPadOS上线。

iPadOS

iPadOS充分利用了iPad产品的超大屏幕，提供了重新设计的主屏幕、升级的分屏操作、全新的Apple Pencil整合。

在谈及决定将iPad从传统的iOS设备中分离出来，软件工程高级副总裁Craig Federighi解释说，这反映了该设备日益独特的功能。

“它已经成为一种真正独特的体验。它不是iPhone体验。它不是Mac体验。这个名称就是对它的认可。我们扩大了人们可以说iPad是最佳解决方案的领域。”

Apple开发者计划成员现在可以下载iPadOS，而公共测试版将在本月晚些时候推出。在秋季，iPadOS将作为iPad Air 2及更高版本，所有iPad Pro设备，第五代iPad及更高版本以及iPad mini 4及更高版本的免费软件更新提供。

OpenID基金会主席如何看待Sign in with Apple便捷登录功能

在 iOS 13 测试版中，苹果已经向用户展示了“Sign in with Apple”这项苹果 ID 一键登录功能的积极面，OpenID 基金会负责人亦对此表示赞同。

不过在致苹果软件工程副总裁 Craig Federighi 的一封信中，基金会主席 Nat Sakimura 也提到了这项功能的一些缺点。

（题图 via Apple Insider）

简而言之，Sign in with Apple 这项功能做得不错，但仍不够完美。Nat Sakimura 表示：

我们赞扬 Sign in with Apple 团队为快速解决已发现的重大安全性和兼容性差距所做出的努力。

尽管这项功能仍处于测试阶段，但用户已能够不再局限于可使用的范围，且对其安全性和隐私保障充满信心。

Nat Sakimura 希望苹果能够继续解决已发现的问题，比如呼吁苹果推出一份协助开发者具体实施的文档等改进。

在早前的沟通中，OpenID 基金会已对苹果允许其 Apple ID 通过 OpenID Connect 登录第三方移动和 Web 应用所做的努力而表示赞赏。

因为 Connect 是一种基于 OAuth、被广泛采用的 2.0 版现代身份认证协议。其允许第三方登录相关应用，且由基金会中的诸多成员企业和行业专家共同开发。

而在苹果使用被广泛采用的连接来实现 Apple ID 登录的同时，还有许多差异会导致用户面临隐私和安全威胁。

特别是其授权代码的授予类型中缺少 PKCE，导致其理论上可能使人们更易受到代码注入和重播攻击。

Sakimura 指出，苹果的代码与 OpenID Connect 依赖方软件不完全兼容，这些问题给使用 Connect 和苹果登录的开发者带来了不必要的负担。

在 iOS 正式发布前，苹果就已经在开展 Sign in with Apple 的测试工作，以作为 Facebook、Google 和 Twitter 等登录方案的高隐私保障性替代。

不过 Nat Sakimura 还是希望苹果能够搞定这些差异，早日用上 Open ID Connect 自认证测试套件。以及让“Sign in with Apple”兼容该组织的依赖方软件，并最终加入 OpenID 基金会。

YAHOO邮箱格式

YAHOO邮箱格式有三种，一是@yahoo.com.cn；二是@yahoo.cn；三是@yahoo.com。中国雅虎用的最多的邮箱格式是@yahoo.com.cn。

中国雅虎邮箱的注册流程如下：

1. 打开中文雅虎邮箱首页