Fuair an taighdeoir cibearshlándála Indiach Bhavuk Jain duais $100 as leochaileacht chontúirteach a fháil amach san aitheantóir gné Sign in with Apple.
Táimid ag caint faoi leochaileacht a d'fhéadfadh ligean d'ionsaitheoirí smacht a fháil ar chuntais íospartaigh in iarratais agus seirbhísí a d'úsáid an uirlis Sínigh isteach le Apple le haghaidh údarú. Mar mheabhrúchán, is meicníocht fhíordheimhnithe caomhnaithe príobháideachta é Sign In with Apple a ligeann duit síniú isteach ar aipeanna agus seirbhísí tríú páirtí gan do sheoladh ríomhphoist a nochtadh.
Gineann an próiseas fíordheimhnithe Sínigh isteach le Apple Comhartha Gréasáin JSON ina bhfuil faisnéis íogair a úsáideann feidhmchlár tríú páirtí chun céannacht an úsáideora sínithe isteach a fhíorú. Cheadaigh saothrú na leochaileachta a luadh d'ionsaitheoir chomhartha JWT a bhain le haitheantóir aon úsáideora a bhrionnú. Mar thoradh air sin, d’fhéadfadh ionsaitheoir a bheith in ann logáil isteach tríd an bhfeidhm “Sínigh isteach le Apple” thar ceann an íospartaigh i seirbhísí tríú páirtí agus feidhmchláir a thacaíonn leis an uirlis seo.
Thuairiscigh an taighdeoir an leochaileacht do Apple an mhí seo caite agus tá sé paiste ó shin. Ina theannta sin, rinne saineolaithe Apple imscrúdú nuair nach bhfuarthas aon chás nuair a d'úsáid ionsaitheoirí an leochaileacht seo go praiticiúil.
Foinse: 3dnews.ru