Eran Hammer-Lahav, der var med til at udvikle autentifikationsprotokollen OAuth 2.0, kritiserer den for at være uegnet, når den i fremtiden skal bruges på tværs af websteder.
I et blogindlæg skriver han, at problemet ligger i den måde, protokollens sikkerhed er implementeret på. Med OAuth kan en server få autentifikationsoplysninger fra en bruger uden at kræve adgangskoder. I stedet sendes et token, der angiver, hvad brugeren har adgang til.
I version 1 var der mulighed for at signere requests. Det var svært at håndtere for udviklere, og derfor droppede man det i version 2.0. I stedet er sikkerheden overladt til transportlaget, hvor kommunikationen krypteres med SSL/TLS.
Det er ikke noget problem i dag, hvor den enkelte applikation typisk kun skal tale med en enkelt udbyder (som fx Facebook eller Twitter).
Men i fremtiden er det meningen, at en OAuth-klient skal kunne kommunikere med mange servere, når blot de understøtter OAuth. Og her er SSL ikke nok – det kan ikke sikre, at brugerens token ikke kommer i de forkerte hænder, skriver Eran Hammer-Lahav.
Han mener, at muligheden for at signere requests igen bør indgå i standarden. Hvis et signeret request falder i de forkerte hænder, kan det ikke misbruges.
I et senere blogindlæg kritiserer han i øvrigt Computerworld-artiklen, men står ved sin oprindelige kritik. Han har nu udsat udsendelsen af draft nummer 11 af specifikationen, til der er mulighed for at indføje et forslag om signaturer.