In zijn blog haalt Hammer, een van de ontwikkelaars van OAuth 1.0, de nieuwe versie van het autorisatieprotocol hard onderuit. Hij heeft in eerste instantie meegewerkt aan versie 2.0 maar heeft inmiddels zijn handen ervan af getrokken. “Het nieuwe protocol is zo slecht dat ik er niets meer mee te maken wil hebben."

Hammer ziet vooral problemen ontstaan in de beveiliging van het protocol. De restricties uit de begindagen zijn volledig losgelaten, specificaties waaraan deelnemers moeten voldoen zijn te breed en te losjes. “Vrijwel iedereen en alles kan er nu aan voldoen", zegt hij.

Autorisatie voor Twitter, Facebook

Het protocol OAuth zorgt voor autorisatie van applicaties die zich willen aanmelden bij andere sites om zo persoonlijke data te delen. Daardoor hoeven gebruikers van die applicaties niet constant gebruikersnamen en wachtwoorden in te tikken, of nieuwe te verzinnen. Bekendste gebruik is dat van Facebook. Duizenden applicaties en andere websites gebruiken de Facebook-informatie die op profielen staan om individuen te identificeren.

Facebook heeft een voorlopige versie van OAuth 2.0 geïmplementeerd. Andere sites die het autorisatieprotocol gebruiken zijn Twitter, Microsoft, Google en Yahoo, schrijft The Register. Volgens Hammer heeft de vraag vanuit het bedrijfsleven geresulteerd in zoveel aanpassingen in het protocol dat belangrijke beveiligingsaspecten uit de oorspronkelijke versie, die in zijn ogen essentieel zijn voor het gebruik op het internet, zijn verdwenen.

'Blijf versie 1.0 gebruiken'

Hammer adviseert iedereen die OAuth 1.0 gebruikt niet te upgraden naar 2.0. Voor nieuwe toepassingen waarschuwt Hammer alleen 2.0 te gebruiken als je een echte expert bent op beveiligingsgebied en dan ook pas na uitvoerige bestudering van alle mogelijkheden in het protocol. “Als je geen expert bent, gebruik dan 1.0 of kopieer de 2.0-implementatie van een provider die je vertrouwt in het juiste gebruik ervan." Hij noemt de API-documenten van Facebook daarin “een goede start".

Maar al met al ziet Hammer de toekomst somber in. “Ik denkt dat OAuth als merk in verval is. Door het gemis aan alternatieven zal het framework nog wel even bestaan en zelfs breed worden geaccepteerd. Maar we zullen waarschijnlijk grote beveiligingsproblemen zien in de komende jaren. OAuth wordt zo'n gehaat protocol waar je niet vanaf komt."