next »

[mapleoin]

Se pare că Ministerul Comunicațiilor și Tehnologiei Informației (nici nu știam că există) pregătește un server OpenID pentru România care va fi folosit de câteva situri Furnizori de Garanție  de Indentitate Electronică

mcti.ro
și
openideurope

[~Empathy~]

Interesant, dar sunt multe alte probleme adevarate de rezolvat.

[gheorghe]

Sunt eu singurul caruia openid i se pare bullshit?

[mapleoin]

nu, era un întreg curent la un moment dat. În ultimul timp s-a stins. Chestia e că e trendy și ușor de implementat, poate d-aia il folosesc toți. Acum câteva luni apăreau multe articole despre cât de insecure e și chestii

pe de altă parte, ca să-l pârăsc pe wonder: zicea să punem openid pe linuxsoft (în sensul de autentificare, nu provider). Ce ziceți de asta?

[~Empathy~]

Sunt eu singurul caruia openid i se pare bullshit?

Nu.

[wooptoo]

pe de altă parte, ca să-l pârăsc pe wonder: zicea să punem openid pe linuxsoft (în sensul de autentificare, nu provider). Ce ziceți de asta?

i agree. votam?

[~Empathy~]

Hai sa votam, eu votez "NU". Anyway, si daca se intampla atrocitatea asta, as prefera sa ramana si sistemul standard.

[wooptoo]

Empathy: aveai dreptate. OpenID e o porcarie, sau mai englezeşte: "inherently flawed".

[gheorghe]

Cum ai ajuns la concluzia asta?

[wooptoo]

Cum ai ajuns la concluzia asta?

1. In caz de phishing/compromitere ti s-a dus pe apa sâmbetei intreaga identitate online (worst case scenario: ajungi sa fi "încuiat pe dinafara" peste tot). Daca avem impresia ca spam botii de acum sunt un cosmar, sa vezi ce metode isteţe de phishing vor aparea cand OpenID ajunge mainstream.

2. Chiar daca e promovat ca un sistem liber si descentralizat, e cat se poate de centralizat si violeaza intimitatea utilizatorilor.
Chiar daca esti propriul tau provider de OpenID (de exemplu cu phpMyID), ai aceeasi identitate peste tot.

• Daca te-ai logat cu acelasi OpenID pe 2 saituri, iar cele doua se hotarasc sa schimbe informatii intre ele, este foarte clar ca e vorba de acelasi utilizator - se poate face f usor online profiling.
• Pe cand daca ai doua conturi cu username-ul 'gheorghe' pe 2 saituri si schimba informatii intre ele... nu e atat de clar daca e acelasi 'gheorghe'. Daca pe unul dintre conturi le loghezi de la lucru si pe celalalt de acasa, se complica si mai mult treaba. Pentru ei, evident, pentru ca trebuie facut 'manual' profilingu folosind elemente de fineţe comune celor doua conturi, ceea ce nu o sa se intample la volumul de utilizatori din ziua de azi.

Cheia in sistemul asta nu e providerul de OpenID (care oricum nu detine prea multe informatii despre user), ci multitudinea de saituri care detin informatii despre acelasi OpenID.

solutii:

1. sistemul folosit de myopenid.com iti stocheaza un certificat pe calculator. Cand te loghezi e verificat certificatul, dar si asta poate fi măsluit.

2. conturi multiple de OpenID (ceea ce e aiurea, din moment ce OpenID tocmai asta vrea sa elimine)... ok, sa zicem ca 3 conturi ar ajunge, dar sigur se gaseste o metoda ca sa nu vrei sa ai mai multe conturi (majoritatea utilizatorilor nu o sa aiba mai multe din comoditate).


A fost cam lung post-ul, dar astea sunt motivele pt care OpenID mi se pare gresit din start.

[~Empathy~]

++.

[gheorghe]

Mi-e prea lene si cald sa citesc aia, dar pentru ca e mult scris si presupun ca e impotriva openid sunt total deacord.

[oblio]

Să le luăm pe rând. În primul rând, ce te face să crezi că şi informaţiile personale din actualul tău cont Gmail nu sunt oferite de Google altor companii la schimb?
Apoi, ce te-ar opri să-ţi faci 2 ID-uri OpenID, unul pentru chestii neimportante, altul pentru chestii importante? Plus că, aşa cum zicea cineva, nu cred că vei folosi vreodată ceva gen OpenID să intri în contul bancar.

În fond, când intri pe un site HTTPS se întâmplă acelaşi lucru, dar în sens invers: tu intri pe site şi "întrebi" dacă e site-ul real. Cineva de "încredere" ("third party") zice dacă e sau nu e. OpenID cu un provider securizat ar fi un fel de HTTPS inversat: site-ul unde vrei să intri întreabă persoana de încredere dacă eşti tu sau nu, acea persoană te verifică, şi spune dacă eşti tu sau nu.

Sunt şi multe poveşti cu OpenID ăsta, unele de bine, unele de rău. Check your facts

[~Empathy~]

Să le luăm pe rând. În primul rând, ce te face să crezi că şi informaţiile personale din actualul tău cont Gmail nu sunt oferite de Google altor companii la schimb?

Este posibil dar este mult mai putin probabil decat pentru compania eva.ro, sau pentru gigibecali.ro.

Apoi, ce te-ar opri să-ţi faci 2 ID-uri OpenID, unul pentru chestii neimportante, altul pentru chestii importante? Plus că, aşa cum zicea cineva, nu cred că vei folosi vreodată ceva gen OpenID să intri în contul bancar.

Dar scopul OpenID este exact opus fata de ce spui tu aici...

În fond, când intri pe un site HTTPS se întâmplă acelaşi lucru, dar în sens invers: tu intri pe site şi "întrebi" dacă e site-ul real. Cineva de "încredere" ("third party") zice dacă e sau nu e. OpenID cu un provider securizat ar fi un fel de HTTPS inversat: site-ul unde vrei să intri întreabă persoana de încredere dacă eşti tu sau nu, acea persoană te verifică, şi spune dacă eşti tu sau nu.

Avem deja de mult timp implementari PKI si altele de genul (pentru cine are nevoie). OpenID face acelasi lucru, dar pentru bizoni care habar nu au de tehnologie. Evident, la cat costa -- asta e si calitatea.

[oblio]

Scuză-mă, dar ce zici tu în primele reproşuri aş considera un fel de "ring of trust". Nu ai un cont de mail pentru spam (pe lângă cel principal)? Pe care-l dai site-urilor unde te interesează ceva, şi-ţi faci cont, dar nu ai încredere în ele? 2 conturi OpenID ar fi suficiente, şi ar acoperi cele circa 60-100 de conturi sau câte am acum. "One ring to rule them all" - adică un cont în care să discut şi gigibecali.ro, şi cu eva.ro, şi cu PartenerulMeuDeAfaceri - ar fi cam mult

Avem deja de mult timp implementari PKI si altele de genul (pentru cine are nevoie). OpenID face acelasi lucru, dar pentru bizoni care habar nu au de tehnologie. Evident, la cat costa -- asta e si calitatea.

Linux e/poate fi gratis. GCC e gratis. Multe produse Open Source foarte capabile sunt gratuite. Tehnologia web aka HTTP e gratis. La fel şi FTP, SMTP, ... cam tot ce foloseşti pe net. Te costă doar conexiunea fizică. Nu pica în capcana asta stil "face cât ai dat  pe el"
Ca un bizon ce mă consider, nu vreau să dau o cârcă de bani pentru o soluţie de bun simţ - şi care probabil ar fi trebuit să apară de mult. OpenID are potenţial, are şi bug-uri. Vom vedea dacă va fi adoptat - atunci vom vedea şi bug-urile, şi soluţiile găsite.