Sign-in با اپل آیدی؛ محافظت از کاربران دربرابر توسعه‌دهندگان نه هکرها

کمیته رکن چهارم – مهم‌ترین محصولی که در رویداد WWDC معرفی شد، نه مک پرو بود و نه دارک مود؛ بلکه حریم خصوصی مهم‌ترین ارمغان اپل برای کاربرانش بود. 

اپل دوست دارد همه‌ نوع سرویسی به کاربرانش ارائه بدهد: موسیقی و مجله یا سریالی تلویزیونی درباره‌ی روس‌هایی که اولین‌بار گام به کره‌ی ماه گذاشتند. بااین‌حال با معرفی iOS13، این شرکت یکی از کلاسیک‌ترین ویژگی‌های خود را به سرویسی تمام‌عیار تبدیل کرد که همه‌چیز آن متعلق به خودش است.

در طی دو‌ونیم ساعت برگزاری رویداد WWDC، لحظات مهیجی خلق شد؛ ازجمله شوخی کریگ فدریگی درباره‌ی آی‌تونز، معرفی سیستم‌عامل جدید iPad OS و البته، معرفی مک پرو (Mac Pro) جدید. باوجوداین، موضوع مهم این رویداد موضوعی آشنا برای این روزهای کاربران است: حریم خصوصی. در چندین سال گذشته، اپل مصرانه روی این باور پافشاری کرده که دستگاه‌ها و اطلاعات کاربران باید دراختیار خودشان باشد و در رویداد امسال، حرف‌های خود را درباره‌ی حریم خصوصی به‌عمل تبدیل کرد. این غول فناوری حریم خصوصی را به‌ محوری‌ترین موضوع در هر محصول جدید تبدیل و توجه افراد بسیاری را به چگونگی محافظت از اطلاعات کاربران جلب کرده است.

با اینکه اپل در زمان صحبت از ویژگی‌های جدید مربوط‌به حریم خصوصی کاربران اسمی از گوگل یا فیسبوک نبرد، سرویس جدید اپل رقیبی جدی برای آن‌ها خواهد بود. اقدامات اپل درزمینه‌ی حریم خصوصی حتی به WatchOS هم کشیده شده است. یکی از قابلیت‌های مهم در ساعت اپل، اپلیکیشنی موسوم به Noise است که صداهای پس‌زمینه را شنود می‌کند و اگر صدای مستمری در محیط وجود داشته باشد که برای گوش کاربران تولید خطر کند، هشدار می‌دهد.

این برنامه نوعی قابلیت خوب و شگفت‌انگیز است که فکر گنجاندن آن در ساعت‌های هوشمند فقط به ذهن اپل می‌رسید. علاوه‌براین، آن‌ها حتی پا را فراتر گذاشته‌اند و این ایده را روی یکی از محصولات موجود در بازار و درمقیاس گسترده به مرحله‌ی اجرا درآورده‌اند. تأمل‌برانگیزتر آنکه اپل به موضوع دیگری هم اهمیت می‌دهد که خیلی از مردم حتی به آن فکر هم نمی‌کنند: همه‌ی فرایندهای پردازش صداها را اپلیکیشن Noise در همان لحظه انجام می‌دهد و اپل هیچ‌کدام از صداهایی که می‌شنود، در خود ذخیره نمی‌کند.

معرفی برنامه‌ی Noise می‌توانست مثل خیلی از برنامه‌های دیگر هیچ وعده‌ای درباره‌ی حفظ حریم خصوصی کاربران به آن‌ها ندهد و هیچ‌کس هم توقعی از آن نداشته باشد. چنین موضوعی به فکر هیچ‌کس خطور نمی‌کند؛ ولی کوپرتینو‌یی‌ها این ایده را عملی کردند. هرکدام از نرم‌افزارهای معرفی‌شده در WWDC قسمتی دارند که به حریم خصوصی کاربران اختصاص داده شده است. اپل خود را متعهد می‌داند روند حفظ حریم خصوصی و ردیابی را به کاری ساده و خودکار تبدیل و درک و محدودسازی آن را تسهیل کند و بین روش‌های خود با روش‌های به‌کاررفته در گوشی‌های همراه دیگر تفاوتی بارز ایجاد کند. نکته‌ی مهم اینجا است که کوپرتینویی‌ها اکنون حفظ حریم خصوصی را دیگر محدود به کاربران آیفون نمی‌دانند.

ورود به برنامه‌ها به روشی خاص و ساده و ایمن

یکی از مواردی که معرفی آن در WWDC جنجال زیادی به‌پا نکرد، سرویس SSO (مخفف Single Sign-on) یا قابلیت «ورود به سایت‌ها و برنامه‌ها با استفاده از اپل‌آیدی» بود. دکمه‌ی Sign-In with Apple نیز مانند سرویس‌های مشابهی که تاکنون گوگل و فیسبوک و توییتر ارائه کرده‌اند، به کاربر این امکان را می‌دهد با استفاده از اپل‌آیدی خود وارد اپلیکیشن‌ها و وب‌سایت‌ها شود و دیگر لازم نباشد حساب کاربری یا رمزعبور جدید ایجاد کنند.

راحتی و سهولت کار فقط یکی از عواملی است که این قابلیت را به خصیصه‌ای عالی تبدیل کرده است. اپل مرزهای معمول حریم خصوصی و امنیت کاربران را بسیار فراتر از قبل برده است؛ بدین‌معنا که اگر حساب کاربری افراد با احراز هویت دوعاملی (Two-Factor Authentication) محافظت نشود، نمی‌توانند از Sign-In with Apple استفاده کنند.

این قابلیت با استفاده از Face ID یا Touch ID در آیفون‌ها و آیپدها، شناسه‌ی تصادفی و منحصربه‌فرد ایجاد می‌کند که اطلاعات شخصی کاربران را از دسترسی توسعه‌دهندگان دور نگه می‌دارد. جالب‌ترین ویژگی آن، این است که اگر توسعه‌دهندگان از کاربران درخواست ایمیل کنند، آن‌ها می‌توانند از ایمیل جعلی تصادفی و منحصربه‌فرد استفاده کنند که مطالب را به ایمیل واقعی آن‌ها فوروارد می‌کند. بدین‌ترتیب، سرویسی که کاربر وارد آن شده، نمی‌تواند به اطلاعات تماس کاربران در اینباکس‌هایشان دسترسی داشته باشد.

این سرویس به‌همراه iOS ۱۳ ارائه خواهد شد. آن‌ها برای اینکه مطمئن شوند توسعه‌دهندگان این روش را می‌پذیرند، آن را برای همه اپلیکیشن‌هایی تحت iOS الزامی کرده‌اند که برای نحوه‌ی ورود به برنامه به کاربرانشان حق انتخاب می‌دهند و البته، این کار انتقاداتی را برانگیخته است.

آیرون پارکی، یکی از برنامه‌نویسان شرکت نرم‌افزاری اوکتا (Okta) است که اپلیکیشنی آزمایشی برای آزمایش این قابلیت ساخته است. وی می‌گوید هر زمان که می‌خواهد با استفاده از دکمه‌ی Sign In with Apple وارد اپلیکیشن بشود، به کد دوعاملی (۲FA) احتیاج داشت. این روند درصورت استفاده از دستگاه‌ها و اپلیکیشن‌هایی که از روش احراز هویت بیومتریک استفاده نمی‌کنند، می‌تواند حوصله‌ی کاربر را سر ببرد. او در ادامه می‌گوید:

تنها بخش مفید این ادعا، ارزش فرعی آن است. این شناسه، شناسه‌ای منحصربه‌فرد برای هر کاربر است. نکته‌ی بسیار مهم آن است که این ارزش هیچ معنی خاصی ندارد و تنها، شیوه‌ای است که اپل برای حفظ حریم خصوصی کاربران خود برگزیده است.

این به آن معنی است که توسعه‌دهندگان می‌توانند بفهمند هر کاربر چندبار از اپلیکیشن آن‌ها استفاده می‌کند؛ اما هویت کاربران را نخواهند فهمید. به‌عبارت‌ساده، این کار اپل گامی بزرگ در جهت حفظ حریم خصوصی کاربران است.

حتی اگر اپل با نیت قانع‌کردن افراد بیشتر به خرید آیفون دست به انجام این کار زده باشد، بازهم کارش ستودنی است. شاید توسعه‌دهندگان از اجباری‌بودن آن برای همه اپلیکیشن‌هایی گله‌مند باشند که از روش‌های ورود شخص ثالث پشتیبانی می‌کنند. به‌عبارت‌دیگر، اگر توسعه‌دهنده‌ای بخواهد گزینه‌های فیسبوک یا گوگل را به صفحه‌ی لاگین خود اضافه کند، باید اپل را هم درکنار آن‌ها قرار بدهد. این شایعه هم که اپل توسعه‌کنندگان را مجبور می‌کند اسم آن‌ها را در صدر فهرست اکانت‌ها قرار دهد، به ناراحتی‌ها می‌افزاید. باوجوداین، تا‌به‌حال نارضایتی کاربران ثبت نشده است و آنان مطمئن هستند که با این روش می‌توانند خود را از نگاه‌های کنجکاو توسعه‌دهندگان در امان نگه دارند.

آنچه این قابلیت اپل را از امکانات توسعه‌دهندگان دیگر مانند شبکه‌های اجتماعی فیسبوک و توییتر برای ورود به برنامه‌ها متمایز می‌کند، ممانعت آن از ردیابی کاربر به‌وسیله‌ی توسعه‌دهندگان برنامه‌ها است. دلیل پشتیبانی گوگل و فیسبوک از سرویس‌های «ورود به اپلیکیشن‌ها و سایت‌ها» (log in) آن است که امکان دسترسی به اطلاعات ارزشمند کاربران را پیدا می‌کنند. به‌‌بیان‌بهتر، کاربران با یک کلیک وارد اپلیکیشن‌ها می‌شوند؛ اما حریم خصوصی خود را قربانی این سهولت می‌کنند. بااین‌حال، درصورت استفاده‌ی کاربران از Sign In with Apple هیچ چیزی عاید توسعه‌دهندگان نمی‌شود.

این سرویس تا پاییز منتشر نخواهد شد و هنوزهم کسی اطلاعات زیادی درباره‌ی نحوه‌ی عملکردش ندارد؛ اما گفته می‌شود برای بهره‌بردن از این مزیت‌های این ویژگی اصلا نیازی نیست کاربر حتما دستگاه اپل داشته باشد. برای ورود به سایت‌های تحت‌وب هم می‌توان از این ویژگی استفاده کرد. بنابراین، فرقی نمی‌کند کاربر سیستم‌عامل اندروید باشید یا ویندوز و اگر اپل‌آیدی داشته باشد؛ ولی در‌حال‌حاضر دستگاهی با سیستم‌عامل iOS نداشته باشد، بازهم به‌راحتی می‌تواند از امنیتی مشابه امنیت دستگاه‌های آیفون بهرمند شود.

علاوه‌بر موارد مذکور در WWDC امسال، اپل ابزارهای مشترکی برای استفاده در پلتفرم‌های مختلف معرفی کرد که اپلیکیشن‌ها را از ردیابی مکان کاربران بازمی‌دارد. این ابزار شرایطی فراهم می‌کند که برنامه‌ها برای هربار استفاده از داده‌های مربوط‌به محل کاربر، مجبور به کسب اجازه‌ی مجدد از او باشند. در گذشته نیز اپل در معرفی ابزار این‌چنینی سابقه داشته  که ردیابی و جمع‌آوری داده‌ها را محدود می‌کند. به‌عنوان مثال، در رویداد WWDC سال گذشته، قوانین جدیدی در سافاری اجرا شد که ردیابی کاربر در وب موسوم به انگشت‌نگاری مرورگر (Browser Fingerprinting) را محدود می‌کرد.

معرفی حریم خصوصی به‌عنوان سرویسی جدید، ایده‌ی جذابی است. کاملا آشکار است شرکت‌هایی که با داده‌های کاربران سروکار دارند، علاقه‌ای به اتخاذ اقدامات امنیتی قوی‌تر برای محافظت از حریم خصوصی کاربران نداشته باشند. کافی است نگاهی به آمازون و الکسا بیندازید تا این موضوع برای همه ثابت شود. همان‌گونه که تیم کوکمی‌گوید، اپل هیچ علاقه‌ای به فروش داده‌های کاربران ندارد؛ پس، طبیعی است که تعهد خود دربرابر حریم خصوصی را دوبرابر کند. البته، نباید فراموش کرد آن‌ها به فروش هرچه‌بیشتر آیفون و سرویس‌های جدید هم بسیار متعهد هستند.

منبع : زومیت