Weblogul (vechi al) lui Zoli

Sunt tare curios cum Microsoft a privit aderarea la OpenID tinand cont ca intr-o vreme pedala destul de mult pe .NET Passport.

O fi resimtita ca o recunoastere a nereusitei .NET Passport?

OpenID nu este un "silver bullet". Colaborarea cu OpenID este veche si este recunoasterea ca este o alternativa utila pentru single-sign-on pe situri nepretentioase. Daca vrei, OpenID este inca un tip de token, pe langa cele existente deja, mai mult sau mai putin puternice: X509, Kerberos sau SAML. Ramane valid si tokenul clasic, format din username si password, insa probabil doar pe perioada de tranzitie. Problema cu OpenID este ca tokenul este un simplu URL.

.NET Passport sau versiunea curenta numita Live ID este o solutie perfecta pentru proprietatile (siturile) Microsoft. Intr-adevar, ideea initiala de a incuraja si pe altii (alte situri) sa adopte .NET Passport a fost gresita.

Cu OpenId o sa fie foarte usor sa se faca un profil al utilizatorului: pe site-uri a intrat, ce a cumparat etc; deci o sa fie mina de aur pentru cei vor putea sa adune datele si cum provideri de identitate o sa fie doar citiva pina la teoria BigBrother mai e un mic pas.

das, frumusetea metasistemelor de identitate este tocmai faptul ca providerii de identitate detin doar setul de "claim"-uri ale userilor si nu au nici o treaba cu activitatea acestora. Activitatea userilor ramane pe siturile vizitate. Imagineaza-ti ca un sit web outsourseaza identificarea userilor catre un tert (provider de identitate) si nu vrea sa afle decat un set precis de claim-uri, pe care le cere de la user. Numai ca user-ul nu introduce acele claim-uri intr-un form ci delega providerul sa le trimita in numele sau.

Smecheria devine splendida in momentul in care comunicatia dintre cele 3 parti (user, sit si provider) se face prin protocoale standard, fiindca toate cele 3 parti sunt libere sa aleaga orice tehnologie.

Probabil ca intr-un viitor nu foarte indepartat vom avea nevoie toti de un OpenID, daca vrem sa ne platim impozitele online.

Gabi, nu cred ca pentru operatiuni atat de senzitive este potrivit OpenID. Dimpotriva...

Asta depinde de provider. Pana la urma e vorba de ce relatie exista intre cel care face autorizarea si cel care face autentificarea.

The Dark Side.

http://www.gnucitizen.org/blog/hijacking-openid-enabled-accounts

Gabi, eu ma refeream la slabiciunile native ale OpenID, cum ar fi ca e gandit sa transporte claimul de username (fara altceva si fara posibilitatea de extindere) si nu in utlimul rand slabiciunea la phishing, adica tocami ce ne indica si

Geo: intr-adevar, este trivial ca cineva sa creeze un provider fake si sa-ti fure identitatea. De aia, daca faza initiala a OpenID se combina cu information cards, atunci se elimina slabiciunea la phishing.

"MCTI supune consultării publice proiectul de act normativ pentru autentificarea prin protocolul OpenID"

http://www.mcti.ro/index.php?id=28&L=&lege=1412

Nu cred ca se va ajunge in situatia in care nu te vei putea autentifica pe PayPal fara OpenID.

OpenID este perfect pentru site-uri pe care nu iti pasa ce se intampla cu username-ul si parola ta (ex site-ul acesta). Prin integrarea OpenID nu va mai trebui sa ai 100 de conturi pe 100 de bloguri, forumul, wiki-uri ... dintre care multe stocheaza parola in clar. Cu OpenID parola nu ajunge la blog-ul acesta.

Chiar daca Google. IBM, Yahoo, Microsoft isi fac publicitate prin faptul ca sustin OpenID in afara de Blogger am vazut foarte putin aplicatii utile ale OpenID.

Fara de sistemul actual, prin folosirea OpenID avem doar de castigat. Poti fi sigur ca webmasterul nu iti stie parola iar daca providerul tau de OpenID suporta HTTPS te poti autentifica cu HTTPS si pe site-uri ce nu suporta HTTPS.

PayPal sau orice alt site, va decide singur ce fel de autentificare acceptă. Decizia asta este de business: dacă pierde clienți, va accepta și username/password. Dacă pierderea asta de clienți este compensată de alte câștiguri, atunci de ce nu?

Avand in vedere obiectivele OpenID, precum si riscurile pe care le implica, probabil ca un PayPal sau alt similar nu isi va risca imaginea fara garantii serioase. Garantii pe care standardul in sine nu le poate oferi din motive ... evidente.

In special in cazul platilor online, care nici acum nu au o imagine prea buna, dupa atatia ani de prezenta pe piata, o afectare a imaginii publice inseamna scoatere de pe piata. Chiar daca initial au existat ratiuni de business in spatele acceptarii OpenID.