Тим ·

The Real Cause of the Sign In with Apple Zero-Day

Аарон Пареки написал краткий анализ недавнего бага в Sign in With Apple, за который Apple выплатили $100 000.

At the end of the day, this was a problem with Apple not verifying external input from a form submission.

Just remember, this bug was a lack of form validation.

Валидация форм часто звучит как что-то простое и рутинное, но это ощущение обманчиво — формы это главный способ пользователя и атакующего заставить сервер что-то сделать.

I've never seen Apple apps using Sign in with Apple themselves, typically they use their own built in Apple ID authentication directly. However it’s certainly possible that Apple is moving towards Sign in with Apple even for their own apps, as that would be a huge step up in security compared to what they have now, for all the same reasons that entering passwords directly in applications is dangerous.

Веб-сервисы Apple зачастую оставляют желать лучшего, и UX логина в icloud.com или appleid.apple.com стал бы сильно приятнее, если его заменить на Sign in with Apple (с опцией ввести логин/пароль, когда заходишь не со своих устройств).