Příběh OpenID zatím nekončí, přesto nabízí ponaučení i pro ostatní projekty. Obzvlášť pro projekty podobného ražení. Pokud vám připadá, že se OpenID nějak neujalo a hledáte příčinu v technických problémech, zbystřete – podle všeho se totiž opakuje historie o technicky zajímavém, ale zcela zbytečném řešení.
Jak bylo na virtuální konferenci FOSDEM.
Jak je to s přístupností mobilního menu z klávesnice? Používáte odkazy “více” a “zde”? Znáte rozdíl mezi aria-label, aria-labelledby a aria-describedby? Je PDF strojově čitelný formát z pohledu zákona o přístupnosti?
Posledních pár let mě baví se zabývat bezpečností aplikací. Čistě technicky. A když člověk tyhle věci implementuje, dostane se k zajímavým problémům, které by ho ani nenapadly. A tak se stalo, že jsem se dostal k proxy. Jako slepý k houslím.
já myslím, že ani openid ani mojeid uživateli nechybí
jak již bylo zmíněno, většina uživatelů má téměř vždy stejné uživatelské jméno a heslo, které používá na mnoha webech a kašlou na to, jestli to je nebo není bezpečnostní riziko. Ti pokročilejší uživatelé pak používají KeePass, 1Password a podobné programy a tím eliminují to bezpečnostní riziko (osobně mám v jednom z těchto programů 115 účtů se 115ti různými a složitými hesly). Dnes se navíc „probojovává“ přihlášení přes FB nebo Twitter, příp. přes Google Accounts.
OpenID nebo MojeID má v této konkurenci zásadní problém – v obou případech si díky způsobu nastavení providera nemám šanci zapamatovat přihlašovací jméno a pak to, že získá-li někdo k tomu účtu přístup, má pak přístup všude a v případě MojeID dokonce ověřený…
Re: já myslím, že ani openid ani mojeid uživateli nechybí
A lze v pripade OpenID nebo MojeID zdelovat na ruznych webech ruzny e-mail? e-mailu mam pet a kazdy na neco jineho ;)
Re: já myslím, že ani openid ani mojeid uživateli nechybí
MojeID má 2 (nebo 3?) e-maily: normální, !další e-mail“ a email pro oznámení. Rozhodně ty první 2 lze sdělit danému subjektu selektivně, ale taky bych tam snesl těch mailů víc.
Re: já myslím, že ani openid ani mojeid uživateli nechybí
OpenID tomu nijak nebrání.
Re: OpenID: poučení z krizového vývoje
Jako programator lehce stizen paranojou ze zdelovani osobnich udaju, me MojeID donuti pouzivat jen zakon a to jeste jen mozna. A podobneje to s OpenID. Ruzne weby pozaduji ruznou sumu osobnich informaci, od jmena, pres bydliste po e-mail, a obvykle zadavam jen to co je nezbytne nutne a jeste premyslim o tom kam to zadavam.
Takze OpenID a MojeID musim rici je: „ne, děkuji“
Re: OpenID: poučení z krizového vývoje
100% souhlas. Nadruhou stranu pouzit otevreny standard treba pro alternativu k reseni datovych schranek mi prijde jako suprove reseni. Jeste by se to dalo prodavat jako licenci, pro firmy, co by statu openid zarizovali. neco podobneho ackoliv asi ne pod openid nyni resi v nemecku. vice viz clanek pana Peterky na lupe. Tam se soudruzi z NDR (teda z SRN) zamysleli a myslim, ze vyuzili otevrene standardy, ktere sveri akreditovanym komercnim autoritam a maji vystarano. daji job vicero firmam a maji reseni „zadarmo“ resp. kazdy si to zaplati sam podle toho jak a co chce pouzivat. ne jako tunel do sw602 pres ceskou postu cerna dira s.r.o.
Re: OpenID: poučení z krizového vývoje
co vam brani u openid nevyplnovat vsechny udaje? a co brani pouzivat treba vic identit u vice provideru? Takze za tak nekvalifikovane vykriky muzi rict akorat: „ne, děkuji“
Re: OpenID: poučení z krizového vývoje
Proč by to ale dělal? Jaký pro něj bude mít přínos vytvořit si X identit pro přihlášení k X službám u Y providerů, když si může rovnou vytvořit X identit u X služeb?
Re: OpenID: poučení z krizového vývoje
pokud bude X identit bude mensi nez X sluzeb tak se to vyplati:)
Re: OpenID: poučení z krizového vývoje
Myslim, že spíš ne, protože tuhle správu identit vyřeší uživatel pomocí služby zapamatuj si heslo v prohlížeči a ušetří čas nutný k zjišťování, jak OpenID použít :)
Re: OpenID: poučení z krizového vývoje
„Myslim, že spíš ne, protože tuhle správu identit vyřeší uživatel pomocí služby zapamatuj si heslo v prohlížeči a ušetří čas nutný k zjišťování, jak OpenID použít :)“
Pokud by ty dvě řešení měly stejné vlastnosti, tak nic proti :) (což nemají). Čas, který uživatel potřebuje k naučení se práce s OpenID je podstatně menší než čas, který potřebuje k naučení se práci se všemi službami, práci se správcem hesel, zálohování správce hesel, přenos správce hesel na nový počítač/OS, atd, atd…
Re: OpenID: poučení z krizového vývoje
Hlavní je, když má i X různých bezpečných hesel. Pokud ne, odmítám se bavit o jakémkoli srovnání :).
Re: OpenID: poučení z krizového vývoje
Mě naopak přijde jednoduší vytvořit si více OpenID identit, které mají předem předvyplněny právě jen vybrané údaje.
Zmíním jednu velkou výhodu OpenID: pokud se rozhodnu provozovat více webů a chci napříč jimi uživatelům držet jednu identitu (alá lupa.cz, root.cz, podnikatel.cz), mám bez práce hotové řešení.
A také, mě se to prostě líbí. Autor píše, že to uživatele nebolí. Mne ano, desítky hesel, které jsou téměř stejné a které zkouším z hlavy a tedy jsou tuplem nebezpečné, mě štvou. Nějaké aplikace pro správu hesel používat nechci, protože co až o ně přijdu (například přeinstalace počítače). OpenID vše toto krásně řeší.
Opět použiji jako příklad root.cz: nejspíš tu mám nějaký účet a možná jich bude dokonce více. Ale už o tom nemám ani páru. Root.cz je jen jeden z mnoha webů, kam chodím, navíc nepravidelně. Proč bych si měl pamatovat byť jen login natož heslo? S OpenID bych se třeba i přihlásil a nepřispíval jako anonym.
Tady jde jen o blbé komentáře, ale pokud mají pro provozovatele údaje o návštěvníkovi nějakou hodnotu, měl by mít zájem na jeho jediné registraci a ne x duplicitních. V opačném případě není důvod vůbec vyžadovat přihlášení. Proto z tohoto pohledu jsou pro OpenID zákazníky provozovatelé, jen na to někteří zatím nepřišli. Velcí budou prosazovat svá řešení (Facebook, Google), malí díky OpenID mohou mít plnohodnotnou alternativu.
souhlas
Uz dlouho jsem mel pocit ze OpenID nejak smrdi – ale nikdy jsem si to nedal dohromady – tady je to krasne shrnuto – resi problem ktery lidi nepali.. je to proste tak.
Ted se na OpenID pravdepodobne aplikuji metody pro mrtve kone a spousta firem se pokusi ozivit mrtveho kone OpenID, protoze odmitne pripustit ze se zmylili.
Re: souhlas
Mně osobně vždy taková možnost chyběla, takže jsem uživatelem OpenID už mnoho let… spousta webů (hlavně diskuzních apod), by mě měla jako registrovaného uživatele, pokud by OpenID uměly a viditelně nabízely.
Sám bych OpenID aktivně používal a propagoval na veškerou autentizaci uživatelů, šetří to čas a nervy i na straně admina a tvůrce aplikací. Ale, naštěstí pro mně, jsem business webových řešení opustil a začal se věnovat zajímavějším věcem.
Mimochodem, jak že je to tady s možností používat OpenID na rootu? Už léta tu píšu bez registrace právě kvůli tomu, že nechci další login a heslo na další službu.
Re: souhlas
A nemáš lepší používat keeppass? Je verze pro windows, linux, mobily.. tuším že i pro hloupé s J2ME.. :)
Re: souhlas
„A nemáš lepší používat keeppass? Je verze pro windows, linux, mobily.. tuším že i pro hloupé s J2ME.. :)“
Nemám.
Povedlo se
Tak… už jsem objevil jak se přihlásit pomocí OpenID :). Tak uvidíme, jak to bude vypadat. Možná je to u jiných jinak, ale mě si služby, které podporují single sign on (zvlášť v této podobě) docela získávají.
Re: Povedlo se
Sám OpenID mám a používám, jen mám čím dál neodbytnější pocit, že jsem v tom sám… ;)
Re: Povedlo se
To já zase OpenID mám, ale prakticky ho nepoužívám – na většině webů jsem totiž měl klasickou registraci ještě dříve než podporovaly OpenID – a pak už jaksi nebyl důvod si ho k danému účtu připojovat, když si stejně hesla pamatuje prohlížeč (nebo ta důležitá i já).
Re: Povedlo se
Nikdy jsem nebyl ochotný pro všechny ty služby vymýšlet samostatná hesla, jen proto, že tam přijdu jednou :). Takže kdekoli je dobrá podpora OpenID, tak to uvítám.
Re: Povedlo se
Ha. OpenID tu funguje.. Akorat mi chybi to co umi stackoverflow – tam se prihlasuju ‚Login->OpenID->(obrazek gmailu)‘. Ten hnusnej retezec `https://www.google.com/accounts/o8/id` si nepamatuju a nechce se mi jej porad hledat.
Taky mi chybi moznost automaticky vytvorit ucet pro dany OpenID.
Re: Povedlo se
„Taky mi chybi moznost automaticky vytvorit ucet pro dany OpenID.“
Vytvořit účet s OpenID bez hesla se mi tu povedlo. Jinak bych se na Rootu asi nikdy nezaregistroval.
Re: Povedlo se
Já se přhlašuju přes OpenID na několik webů. A podobných uživatelů tam je docela dost.
Mě ten problém pálí
Mě ten problém pálí, protože si pro každý účet udržuji unikátní kombinaci jména a hesla. Navíc používám několik počítačů, mezi kterými musím synchronizovat KeePass. Problém s OpenID vidím spíše v tom, že ho skoro nikdo nenabízí. Nedělal jsem si přesnou statistiku, ale odhaduji, že těch cca 50ti účtů, které aktivně používám, budou OpenID přihlášení nabízet tak 2-3. Takže v tuto chvíli smysl nemá. Až bude OpenID alespoň na třetině e-shopů a diskuzních fór, pak o něm začnu uvažovat.
Re: Mě ten problém pálí
A mohl bych se zeptat, jak KeePass synchronizujete mezi počítači? Já to dělám tak, že synchronizuji celý program přes Dropbox (exe v Linuxu pouštím přes mono) a lokálně na jednotlivých počítačích (bez synchronizace) mám ještě soubor s klíčem nutným pro vstup do databáze hesel. Nevím ale, zda to takto není z bezpečnostního hlediska riskantní.
Re: Mě ten problém pálí
Synchronizuji kdb soubor (databáze hesel) přes Syncplicity. Bezpečnostní riziko tu určitě je, kdyby se někdo dostal ke kdb souboru, může hrubou silou prolomit hlavní přístupové heslo a má přístup ke všem účtům. Nečekám ale, že bych se stal obětí sofistikovanějšího útoku. Pravděpodobnější nebezpečí hrozí spíš od majitele nějakého no name e-shopu, který ukládá hesla v plaintextu a napadne ho třeba zkusit stejné heslo na e-mail. Nebo mu přihlašovací údaje někdo ukradne. A tato nebezpečí jsou unikátními kombinacemi přihlašovacích údajů pro každý účet minimalizována.
Re: Mě ten problém pálí
Možná by Vám také pomohlo přihlašování do programu pomocí hesla a klíče: pokud by někdo ze synchronizačního programu získal soubor s databází, pořád ještě nemá klíč. A teď mě napadlo změnit příponu souboru s databází: případný „narušitel“ soubor nerozpozná, i když se k němu dostane.
Re: Mě ten problém pálí
Použití klíče je určitě dobrý nápad. Udělám to, díky za radu.
Re: Mě ten problém pálí
Taky má keepass možnost vícenásobného zašifrování databáze.. Nastavením vyšího čísla se výrazně prodlouží doba prolamování hesla metodou bruteforce. Například můj keepass se na procesoru 2.2GHz otevírá ~5s .. Už jsem si zvykl.
Re: Mě ten problém pálí
Stačí synchronizovat tu databází nemusíte celý program. Osobně mám zálohy databáze s hesly uloženy v kontejneru šifrovaném pomocí TrueCrypt a tento kontejner pak synchronizuji přes Dropbox.
Re: Mě ten problém pálí
snazsi nez synchronizovat tc container pres dropbox, je pouzivat na synchronizaci spideroak ci wualu … ty maji lokalni sifrovani a zero knowledge policy (pouzivam spideroak, ale o wuale je to zname tez)
Re: Mě ten problém pálí
„A mohl bych se zeptat, jak KeePass synchronizujete mezi počítači? Já to dělám tak, že synchronizuji celý program přes Dropbox“
Takže kdyby Dropbox nabízel OpenID, tak se na to celé můžeš vykašlat :D.
Re: Mě ten problém pálí
„Mě ten problém pálí, protože si pro každý účet udržuji unikátní kombinaci jména a hesla.“
Já pro „hloupé“ služby používám univerzální hesla… a když to někdo zneužije, napíšu adminovi či majitelům, ať s tím něco udělají.
„Navíc používám několik počítačů, mezi kterými musím synchronizovat KeePass.“
Na to bych neměl nervy.
„Nedělal jsem si přesnou statistiku, ale odhaduji, že těch cca 50ti účtů, které aktivně používám, budou OpenID přihlášení nabízet tak 2-3. Takže v tuto chvíli smysl nemá. Až bude OpenID alespoň na třetině e-shopů a diskuzních fór, pak o něm začnu uvažovat.“
Njn, jsem o krok dál. Až bude OpenID (či lepší náhrada, pokud v budoucnu vznikne) na třetině e-shopů (ne celkově, jen těch zajímavých), přestanu chodit na ty ostatní.
S clankem v zasade nesouhlasim
Nekdo si musi sve omyly svest na jine omyly, ale v zasade se da snest velice primitivni dukaz ze se plete. NEJVETSI PROBLEM JE OPRAVDU ZMRSENA IMPLEMENTACE, jak je na zacatku clanku pripomenuto, ze implementovat posledni verzi je velice obtizne.
Kdyz totiz dodelat prihlaseni na web je s OID otazkou dne, pak dopsat tam facebook login je otazkou na hodinu. Nikdo nechce davat data vybrane spolecnosti? Zato vsichni bez problemu daji data facebooku nebo microsoftu. Portaly umi spoustu prihlasovacich protokolu, kolikrat tam openid chybi. Proc?
Ne panove, OpenID bylo totalne zabito, prave svou technickou implementaci, velci hraci jej neprijali, protoze jim neprineslo takove zjednoduseni prace jako mit vlastni protokol.
Re: S clankem v zasade nesouhlasim
k slozitosti implementace se nemuzu vyjadrit, protoze jsem o ni nezavadil ani pohledem. Ovsem jako uzivatel mohu rict, ze mi takova sluzba opravdu neschazi. Jako programator pouzivam internet denne, ale rozhodne nemuzu rict, ze bych se ustavicne logoval na ruzne weby. Jestli pravidelne pouzivam ucet na 4 webech, tak je to moc. Nechci tim rict, ze nekdo na tom neni jinak.
Dalsi veci je, ze temer vyhradne pri registraci udavam fiktivni udaje. Mozna jsem ze stare skoly, ale po mem jmenu a adrese nikomu nic neni. Samozrejme nejde to tak delat vzdy.
Dalsi veci je, ze nikomu neni nic po tom, na jake weby chodim. A nechtejte mi namluvit, ze se to na overovacim serveru neloguje.
A snad posledni veci je potencialni velky pruser pri zcizeni identity. I kdyz bych mel na 10 webech stejny login a heslo, tak utocnik musi vedet ktere weby navstevuju a na kazdem „neco provest“, treba mi zmenit heslo a ukrast mi tak ucet. Pocitam, ze u openid zmeni heslo na jednom miste a jsem v perdeli pane hrabe. Pokud zjistim napadeni uctu na jednom webu, muzu si porad zachranit ucty na ostatnich webech.
Mozna jsem necemu kolem openid neporozumel, tak me prosim poucte.
Obecne mam pocit, ze centralizace sluzeb neprospiva soukromi na siti. Ale to je jina debata.
Re: S clankem v zasade nesouhlasim
Já se k složitosti implementace vyjádřit mohu. Pokud si píšete z čisté vody kompletní implementaci protokolu, je to porod, protože OpenID verze 2 sestává z několika specifikací a je to opravdu „lahůdka“, srovnatelná např. s psaním SOAP služeb od základu na koleni. Tedy spousta stran dokumentace, spousta práce, spousta ladění a výsledkem je něco, co už dávno existuje. Ovšem od toho jsou knihovny; kdo knihovny „neuznává“ a vše si radši napíše sám (a že takových programátorů není málo), tomu není pomoci.
To co zmiňujete jsou „výhrady programátora“. Ano, je to přesně tak jak píšete: efekt „kroužku na klíče“ (ztratíte je hezky najednou) i možnost logování tu je. Na druhou stranu čistě technicky – openID je decentralizované a když budete chtít, budete svým vlastním poskytovatelem, takže žádné logování u třetí strany nehrozí.
Ovšem tohle jsou věci, které trápí techniky, ale běžný uživatel vidí problém někde jinde… tedy lépe řečeno: Běžný uživatel v tom problém nevidí, takže pro něj je OpenID řešení něčeho, co ho netrápí.
Re: S clankem v zasade nesouhlasim
Já bych se k složitosti vrátil. Nejde to totiž odmávnou „máme na to knihovnu“. Na internetu máme 100+1 technologií a ne na všechnu lze nainstalovat tu knihovnu. Další problém je v tom, že OpenID je tak přeplácané, že k podpoře všech featur je to kolikrát zásah do celého informačního systému. Když už člověk začne zkoumat, „co je pod kapotou“, narazí na slepenec technologíí, které jsou použitý bez ladu a skladu a bez jakéhokoliv zdůvodnění, proč by tam vlastně měli být. Jestli použití „standardních“ protokolů mělo vyjít vstříct velkým hráčům, tak se to povedlo ale jen částečně, protože se objevilo mnoho poskytovatelů. Zároveň ale velci hráči neberou OpenID vážně, aby všechny své služby převedly na OpenID autentifikaci.
Co se standardních knihoven týče, tak když jsem se na to díval před rokem, byla to katastrofa. Časem se objevily knihovny, které na jednoduché přihlašování v PHP mají primitivní rozhraní. Ale to už je podle mne pozdě a navíc pořád je tam schovaný ten kostlivec v té složitosti. Co je platné, že jde o otevřený software, když jeho střevům malokdo rozumí. Potíže nastávají zejména v okamžiku, kdy nějaká součást celého kolosu přestane fungovat. Zpravidla proto, že velcí hráči standardní knihovny nepoužívají a investují do vlastního vývoje, lépe propojeného s jejich vlastní informačím systémem. Čím pak je systém komplikovanější, tím je víc míst, kde to může selhat.
A to není jediné bolavé místo OpenID. Dalším bolavým místem je používání uživatelsky nepřátelského identifikátoru. Znáte všechny podoby openId? A že jich je hodně! Každý BFU, který se přihlásí poprvé k internetu si někde založí e-mailovou schránku. E-mail už dnes respektují všichni, mají to krásně oddělené. Pokud něco obsahuje zavináč, sedí za tím člověk, pokud to připomíná webovou adresu, není to člověk, ale služba. Spousta BFU zná svůj e-mail a to jim stačí. PROČ SE TEDY MUSÍ UČIT DALŠÍ IDENTIFIKÁTOR? Proč prostě autentifikace neprobíhá jen na základě zadaného e-mailu? E-mail po nás dneska chce kde kdo. Zadáváteho do facebooku, do google, do různých registrací, jen proto, aby vám přišel e-mail s ověřovacím kódem. Tohle je také jedina doposud nepřekonaná metoda ověření platnosti identifikace. Přitom by stačilo, aby service provider mohl ověřit e-mail přímo s identity providerem, namísto zasílání e-mailu a opisování ověřovacího kódu. Uživatel by se nemusel nic učit a e-shopům, blogům a podobně by odpadl náročný proces registrace.
Co se přirovnání ke kroužku s klíči týče, tak to je naprosto zcestná představa. Jistě, možná funguje v případě, že si někdo jde na NIC.CZ vytvořit OpenID. To je ale špatně. Ani zajímavá cena v soutěži mě nedonutí lézt někam, kde mi nic nenabízí a vytvářet si další klíč na kroužku. Ale snad tady máme velké portály, třeba Seznam. Na Seznam chodím tak jako tak, a jakmile jsem přihlášen na seznamu, nemusím se přihlašovat na žádné stránky s OpenID. ID je předvyplněno, session je otevřená, kliknu na přihlásit a jenom to potvrdím. Žádný další klíček na kroužku, dveře otevírám klíčem od Seznamu. JENŽE VYSVĚTLETE TO BFUČKOVI. Z tohoto důvodu třeba některé moje přihlašovací formuláře vypadají takto:
http://www.hasicislapy.cz/?g=login
A stačilo by, aby tam svítilo okénko „přihlašte se e-mailem“ a uživatel by už nic nemusel řešit. Co já bych za to dal, kdybych si třeba nemusel pamatovat, jaký login a heslo mám v Alze. Většinou stejně moje přihlášení vypadá takto.
– Zapoměl jsem heslo,
– odeslat na e-mail
– přečist kód pro změnu hesla
– změnit heslo
– přihlásit se.
Re: S clankem v zasade nesouhlasim
BFU, na rozdíl od vás, tenhle problém ani nemá. V Alze má totiž buď stejný login jako na iks dalších webech, nebo si to za něj pamatuje prohlížeč / KeePass / Roboform…
Re: S clankem v zasade nesouhlasim
Jasně, a BFU ví, co je KeePass a Roboform. A nechávat přihlašovací údaje ve formuláři nechce, protože jeho počítač používá celá rodina
Zpátky na zem!
Re: S clankem v zasade nesouhlasim
Než přistanete, tak si ještě pročtěte průzkumy chování uživatelů, nad kterými lomí rukama firmy „přes bezpečnost“ – hesla napsaná na papírcích, hesla stejná na všechny služby, hesla uložená v prohlížečích, to jsou nejčastější způsoby… Ti lidé nemají problém, ti si své řešení, s nímž jsou spokojení, našli.
Re: S clankem v zasade nesouhlasim
To jim přece nikdo nebere…! Konečně, dnes není problém si založit a používat OpenID a i nadále lze používat papírky a hesla uložená v prohlížeči.
Mimochodem, já vycházím z dotazů mých uživatelů, kteří používají aplikace Lištička a Pošťák. Třeba například typické chování uživatele Pošťák je mít v počítači jeden účet a v Pošťákovi připojené e-maily celé rodiny. Proto se hodně objevují dotazy, jak vypnout v Pošťákovi automatický vstup do schránky, aby schránku nemohli číst příslušníci rodiny. Takže asi tak.
Problém je v tom, že OpenID nechtějí implementovat žádní service provideři. Vemte si, jak je komplikované nakoupit v obchodu bez registrace, co všechno musí člověk vyplnit. Jak je komplikované tohle naprogramovat? Oproti použití nějaké identifikační metody, přesto se k tomu e-shopy uchylují, ačkoliv to zrovna uživateli práci nezjednoduší a je tak vysoké riziko, že v půlce formuláře si to rozmyslí a obchod neuzavře. Přesto zatím nikdo neadaptoval žádný uznávaný protokol identifikace.
Možná to je taky tím, že základní verze OpenID obsahuje minimum informací potřebných pro e-shop, třeba jako dodací adresa, fakturační adresa, kontakt, apod a podpora rozšíření OpenID je zase na straně portálů mizerná až nulová.
Ano, někdo se tu vysmívá easyloginu, ale takovéhle věci tam třeba jdou dělat. Jenže ja jsem malý člověk, abych dokázal tohle zpropagovat a měl čas to dál rozvíjet a třeba objiždět providery.
Re: S clankem v zasade nesouhlasim
Já bych Vás chtěl jen podpořit.
Osobně si myslím, že za neúspěchem je skutečně debilně navrhnutý tento standard. A implementace, na to jak jednoduchou věc to má dělat, je složitá.
Osobně si rovněž myslím, že složitost implementace to zabila spíše, než důvody v článku.
Mám vůbec pocit, že kolem webů se vytvářejí složitější věci, než dělají v doktorátech atomové fyziky. A že se to pak smaže a pak se jede odznovu.
Všechny analýzy složitost webových standardů podceňují, ale složitost programátorské implementace zabila už hodně webových technologií, mimo jiné i XHTML, kdy se výrobci prohlížečů šprajcli a vzkázali W3C ať si jeho XHTML 2 nacpe laskavě kam slunce nesvítí.
Stejně tak si myslím, že za neúspěchem OpenID je mnohem více přehnaná složitost implementace, řekl bych že je to tak 75% příčin neúspěchu.
Veškeré rozbory, které dělá tento článek zapomíná, že nelze oddělit implementace a uživatelské hledisko. Například myslíte, že kvantový počítač by byl uživatelsky neúspěšný? Možná, ale především není obchodně úspěšný a nežene ekonomické zisky proto, že je obtížně implementovatelný. Zde by analýza pouze z uživatelského hlediska neobjasnila příčinu.
OpenID podle mě zabilo ze 75% složitost implementace, 25% nedostatek propagace s vysvětlením co to přinese uživateli (zde se OpenID vysvětlival naopak technoidně, uživatelé tomu nerozuměli) a že sami propagátoři žijí s nohama v oblacích.
Re: S clankem v zasade nesouhlasim
„Osobně si myslím, že za neúspěchem je skutečně debilně navrhnutý tento standard. A implementace, na to jak jednoduchou věc to má dělat, je složitá.“
Standard jsem četl a je navržený velmi dobře.
Implementační problémy se týkají jen tvůrců knihoven a ti už dokázali, že to zase takový problém není.
Re: S clankem v zasade nesouhlasim
BFU má na Alze úplně jiný login než jinde, protože zrovna na Alze bylo Janička25 už obsazeno a navíc tahle služba chce login maximálně na osm znaků a heslo minimálně na šest (příklad).
Předřečník popsal skutečný problém OpenID a tím je identifikátor. Kdyby stačilo zapsat identifikátor ve tvaru emailu, tak by ta služba dávno prorazila.
Re: S clankem v zasade nesouhlasim
Takový Seznam to vysvětluje pomocí obrázků – to snad pochopí i BFU, ne?
jan.novak@seznam.cz → jan.novak.id.seznam.cz
Re: S clankem v zasade nesouhlasim
naprosto presne jsi uhodil hlavickou na hrebicek :-)
K tomu musim pridat jednu moji historku.
Mel jsem krasnou credit kartu (CartaSi – odnoz Visa). Tahle varianta mela krasny web, na kterem se dalo v realnem case videt stav uctu. Vsechno fungovalo krasne do okamziku, kdyz nektery idiot vymyslel, ze v ramci bezpecnosti by si uzivatele tohoto webu meli aspon kazde 3 mesice zmenit heslo. A vzhledem k tomu, ze uzivate jsou samozrejme nesvepravni a heslo by si dobrovolne nezmenili, tak to udelali povinne. Kazde 3 mesice zmenit heslo a heslo nesmi byt stejne jako nektere, ktere bylo pouzito behem posledniho roku. Vzhledem k tomu, ze jsem na tento web chodil tak radove jednou za 1/4 roku, tak kazde moje prihlasovani naprosto pravidelne koncilo tim, ze jsem 3 krat spletl heslo, coz vedlo k zablokovani uctu, musel jsem si vyzadat nove provizorni heslo, na neco ho zmenit a za 3 mesice se situace opakovala.
Nekolikrat jsem si s nimi vymenil dost na*rane maily, ale byli neoblomni. Takze jsem tento problem vyseril naprosto jednoduse. Vzal jsem nuzky, kartu jsem prestrihl, ucet v bance jsem zrusil a udelal jsem si ucet u jine banky, kde mam 1. kartu kompletne zadarmo, 2. vypis z karty na stejnem webu jako zbytek banky, 3. nenuti me menit heslo, mam tam stejne heslo uz nekolik let.
Re: S clankem v zasade nesouhlasim
násilná změna hesla je nejdebilnější a zároveň pro uživatele nejméně bezpečná metoda zabezpečení.
Milionkrát zadávané heslo před bůhvíkým, kdy provozovateli posílám vlastně všechna hesla, jaká jsem kdy kde použil, ve snaze trefit to správné.
Cyba OpenID je skutečně v neužitečnosti. Ale je to jeho designem.
Souhlasím Hlavní nevýhoda OpenID je, že je nepříjemné s špatné na použití pro všechny zůčastněné.
Uživatel: zajímaly by mne nějaké testy použitelnosti. Ikdyž vám, že GMail nebo Seznam podporují openID, bez hlubšího zkoumání stejně nevím svůj identifikáror.
A nebudu ho hledat, neb vím, že to bude dlouhé hledání a kdo ví, jestli to bude nakonec fungovat. (Nebude, na většině webů není implementováno a navíc bych si musel nejdelší ze svých ID)
Čili z pohledu uživatele velká a zbytečná investice.
Z pohledu investora riziková a zbytečná investice. Není žádný důvod, aby implementace byla super složitá. Když to začnu používat, kdo mi zaručí, že to bude použitelné v technologii, ve které budu tvořit za dva roky. Zásadní omezení použitelných tehnologií kvůli blbému přihlašování? Děkuji nechci. Zbytečnost je jasná. „Nikdo“ si nevybírá službu podle toho, jestli podporuje přihlašování X.
Z pohledu programátora: když je něco zbytečně složité, hromzí, že budu hledat jestli je chyba v mém kódu, nebo v knihovně nebo serveru. nepříjemná situace ve chvíli, kdy šéf zuří, peníze netečou a uživatelé se nemohou přihlásit. Díky složitosti protokolu se nemohu jednoduše podívat, jestli komunikace se serverem je v pořádku.
Re: S clankem v zasade nesouhlasim
Zkusil jsem to v Opere a skoncil jsem na strance „Redirection status“ a k tomu nejaky „kliknete na link“ a zadny tam nebyl. Vypada to ze se vsecko povedlo az na ten konec.
Re: S clankem v zasade nesouhlasim
bredy, bredy! zase ta tvoje pisnicka o openid ktery je tak slozity, ze ho nikdo nepochopi, a jak jsi misto toho vymyslel http://www.easylogin.net/ Nojo je videt, ze kdo openid nepochopi, tak ho vynalezne znovu!
Proč nemít jednu identitu?
Abych neumožňoval spojit aktivity na internetu podle jednoho ID.
Re: Proč nemít jednu identitu?
Vy máte na každém webu registraci jiným emailem? A platíte na každém eshopu jinou kartou? A pokaždé přistupujete z jiné IP adresy (což asi tak nejjednodušší z toho všeho)? :)
V podstatě ano,
většinou si vybírám eshopy, které registraci nevyžadují a zboží si nechávám posílat na firmu.
Re: V podstatě ano,
A co google – ten ví o každém vašem přístupu na jakoukoliv strnku co má alespoň nějaký google javascript (včetně adsense, vloženého youtube vide apod.). Proti tomu se taky bráníte, nebo vám nevadí že tu někdo spojuje cca třetinu vašich aktivit na netu podle unikátní cookie?
Re: V podstatě ano,
ghostery
Ano,
vadí, ale spojuje je s nějakou virtuální osobností.
Re: Ano,
„vadí, ale spojuje je s nějakou virtuální osobností.“
Stejně jako OpenID?
Re: V podstatě ano,
„A co google – ten ví o každém vašem přístupu na jakoukoliv strnku co má alespoň nějaký google javascript (včetně adsense, vloženého youtube vide apod.). Proti tomu se taky bráníte, nebo vám nevadí že tu někdo spojuje cca třetinu vašich aktivit na netu podle unikátní cookie?“
To je zcela v moci uživatele toto odstranit a tomuto zabránit.
Re: V podstatě ano,
„To je zcela v moci uživatele toto odstranit a tomuto zabránit.“
Taky máte máte v zásobě pár vtipů, co? (Za cookie si mimochodem místo HTTP cookie dosaďte obecný princip cookie).
Re: V podstatě ano,
„většinou si vybírám eshopy, které registraci nevyžadují a zboží si nechávám posílat na firmu.“
To musíte mít docela hodně firem, pokud ty objednávky nemají být spojené společnou identitou!
Re: Proč nemít jednu identitu?
„Vy máte na každém webu registraci jiným emailem? A platíte na každém eshopu jinou kartou? A pokaždé přistupujete z jiné IP adresy (což asi tak nejjednodušší z toho všeho)“
A jak se většina webů domluví a porovnají si vzájemně identifikace?
Na rozdíl od OpenID identity, kde existuje jedno ověřovací místo, kde se ověření setkají?
OpenID
Mně osobně se myšlenka OpenID moc líbí – a mám fakt dobrý pocit, že už mám několik OpenID identit – Seznam, Google, Google Apps, Microsoft Live a dokonce i MojeID a možná ještě několik dalších.
Akorát mám v sobě nějaký mentální blok a pro přihlašování se mi to nikdy nechce použít. Hlavně proto, že své e-mailové adresy používám diferencovaně – některé na vážnější věci, jiné na méně vážné. No a protože si už nepamatuji, kterou z nich jsem použil pro které OpenID, nemám odvahu se přes OpenID nikam přihlašovat.
S autorem článku v zásadě souhlasím – v podstatě mi to nijak nechybí. Většinu hesel mám uloženo v LastPass, případně generuji přes SuperGenPass.
Re: OpenID
Jsme na tom stejně…
Zbytečná paranioa
Mě se líbí, jak se tady každy bojí o své údaje na internetu. Přitom používání jediného ID je poslední věc, která vede k vystopování návštěvníka. Těch metod, jak zjistit „kdo kam chodi“ je mnoho a bez větších technických znalostí nemáte šanci se ukrýt. Schováváním se před jednotným ID je pak stejně zbytečné, jako schovávat se před krysou v medvědí jeskyni.
Re: Zbytečná paranioa
Porad je lepsi vedet, ze se musim kryt jen pred medvedem, nez mit jeste starost o to, kde ma ne vybafne krysa.
Opravdu nemam zapotrebi davat zbytecne nejake treti strane pravomoce k memu elektronickemu „ja“.
Pokud nekomu nevadi, ze nad jeho „elektronickym zivotem“ ma dohled zase dalsi „osoba“, a je mu zatezko si pamatovat par loginu a hesel, tak prosim, necht sluzby „sjednocovani identity“ pouzije. Nejspis se mu nic zleho nestane.
Re: Zbytečná paranioa
Mně ani tak netrápí, že si to někdo může dohledat. Zlý Google o mně bude vědět vše. Ale mám problém s tím, komu co říci. U Alzy a podobných nemám problém jim sdělit svou adresu a telefon, ovšem u běžného „diskusního“ serveru s tím problém mám. A i ten email bývá problém, protože řada „diskusních“ serverů je z nějakého důvodu předává spamerům (možná je někdo vykrádá), takže naprosto běžně používám 3 emailové adresy podle toho, co od dané služby chci (jeden mám pro služby, kde je to jen nutné zlo, čtu ho jen když musím něco potvrdit, druhý email občas i čtu, na tom třetím jsem skoro neustále) a nemusím tak řešit tolik spamu jako dříve. Zvláště u „diskusních“ serverů kde při registraci automaticky schvalujete „odebírání novinek“.
Kdyby OpenID nabízelo jednoduše implementované „úrovně autorizace“, abych se mohl některým serverům vydávat za „Karel“, jiným za celé své jméno včetně emailu a jiným i se svou adresou, telefonem a datumem narození, pak bych to opravdu zvažoval. Do té doby je to ale pro mně spíš přítěž. A Facebook účet nemám :-)
Re: Zbytečná paranioa
To je přesně ono. Na to všechno jsem myslel při návrhu easylogin.net. Možnost vytvářet aliasy (na straně identity providera), možnost skrytého přihlášení (uvedu pouze svého providera, ale plnou autentifikaci provedu až u něj).
Nicméně OpenID tohle samozřejmě má, ale BFU to nezvládne používat, a service provider to musí umět podporovat. Zase je to o tom technickém zpracování. To je proč OpenID se neujme.
Re: Zbytečná paranioa
Kolik lidí používá easylogin.net?
Re: Zbytečná paranioa
Je to laboratoř. Smyslem nebylo vydat službu. Na to nemám peníze. Spíš jen ukázat, že to jde navrhnout tak, že se celý protokol vejde do dvou čtyřstránkových PHP souborů
Re: Zbytečná paranioa
„Přitom používání jediného ID je poslední věc, která vede k vystopování návštěvníka.“
Ha ha ha, jako vtip dobrý.
Re: OpenID: poučení z krizového vývoje
Už jsem myslel, že to budou zase obvyklé žvásty a že by to chtělo nějaký odborný článek… ale nakonec to tak zlé nebylo.
Ad „zaregistrují se se svým oblíbeným jménem a heslem, zaregistrují se a kliknou na „pamatuj si mě“, uloží si heslo do prohlížeče“
Přesně tak. Navíc na slušných webech se není potřeba registrovat a stačí třeba jen opsat kód z obrázku.
Ale doplnil bych ještě jednu věc, která podle mého hodně brzdí používání OpenID. Tato technologie totiž často nenahrazuje registraci, ale pouze následné zadávání jména a hesla — a v tom je ten problém. Uživatel se tak jako tak musí registrovat (a sdělit svůj e-mail a pak kliknout na odkaz, který mu na něj přijde) a vedle toho akorát zadá OpenID. Někdy je to zamaskované tak, že člověk napíše komentář nebo vyplní nějaký formulář, zadá OpenID a už se těší, jak je to hotové — a najednou na něj vyskočí klasická registrace a potvrzování e-mailu — takže si tím OpenID vůbec nepomohl. Ovšem toto není chyba OpenID jako takového, ale poskytovatelů služeb, kteří ho tímto způsobem nasazují.
Re: OpenID: poučení z krizového vývoje
taky jsem se tesil, ale redakce asi usoudila, ze sebevetsim zvastem stejne „tricet let vyvoje bankovnich aplikaci v jave“ neprekona. // just kidding! ;)
Re: OpenID: poučení z krizového vývoje
To máte pravdu. Není to problém samotného návrhu OpenID, je to problém konkrétní implementace, ale dobré jméno to té technologii rozhodně nedělá.
Re: OpenID: poučení z krizového vývoje
Souhlas. On v pozadí ten profil vznikne vždycky, ale uživatel by to nemusel vědět. K tomu taky chybí v OpenID spoustu položek, které by uživatel mohl mít předvyplněné, třeba odkaz na ikonu, odkaz na webové stránky, nějaké sociální údaje, stačí se podívat na jakýkoliv diskuzák. Vše samozřejmě volitelně a s možnosti nastavit si to pro každého service providera jinak.
OpenID má mechanismus, jak přenášet tyto profilové údaje, ale znám málo IdP, kteří umí tak komplexni profily a málo SP, kteří to umí využít. Valná většina podporuje jen simple registration. A opět se vracíme k technické implementaci, protože SREG je ta nejjednodušší verze OpenID a prakticky nikomu se nechce jít do něčeho složitějšího. A SREG je zároveň konečná, protože technologické limity dané naprosto nevhodným způsobem přenášení údajů mezi subjekty neumožňují jakékoliv rozšíření. Ono to hodně vypadá, že OpenID vymýšleli hlavně produkťáci, obecně teoretici, ale zapoměli si pozvat nějakého schopného programátora/analytika
Re: OpenID: poučení z krizového vývoje
A jsme tam, kde to tvrdím.
OpenID zabil špatný návrh. A následně implementace.
Re: OpenID: poučení z krizového vývoje
„Ono to hodně vypadá, že OpenID vymýšleli hlavně produkťáci, obecně teoretici, ale zapoměli si pozvat nějakého schopného programátora/analytika“
Mám přesně opačný názor, totiž, že to dělali hlavně programátoři, a zapomněli o tom včas přesvědčit markeťáky :D.
Použití OpenID v praxi
Přispěchám ještě s křížkem po funuse, ale zato s použitím OpenID.
OpenID používáme interně ve firmě pro autentizaci k několika různým intranetovým systémům. Než nutit nebohé uživatele pamatovat si sedm hesel k interním systémům, tak máme jeden centrální systém, který dělá OpenID providera. Všechny ostatní systémy, se ho pak umí přes OpenID zeptat, „kdo to ke mně přistupuje?“.
Protože OpenID je otevřený standard, výrazná část software ho podporuje a i dodavatele je s malým úsilím přesvědčit, aby „tohle stáhli“ a použili.
O jemných nuancích implementace v open-source, který jsme přihýbali, se vyjadřovat nebudu, nemohl bych zůstat u slušných slov. :-)
Globální využití OpenID jsem čekal pár let zpátky, ale nějak zatím nepřišlo…
Re: Použití OpenID v praxi
Pokud mě někdy někdo vůbec přesvědčí (jedině dostatečným obnosem peněz), abych vytvářel nějaké komplikovanější weby, správa identit bude jednoznačně postavena na OpenID, pokud do té doby nevznikne něco lepšího.
Re: Použití OpenID v praxi
Nějak takto? http://zdrojak.root.cz/zpravicky/zajimave-reseni-jednotneho-prihlaseni-pro-nekolik-webu/
Re: Použití OpenID v praxi
To je na nic. Kazdy vetsi portal ma vlastni system a vetsinou je to postavene na nejakem centralnim spravci session, ktery umi vyrobit session pro danou sluzbu bez nutnosti noveho prihlaseni. Takhle to ma resene Seznam. A neni tam potreba tahat OpenID.
Re: Použití OpenID v praxi
„To je na nic.“
Takynázor :).
Re: Použití OpenID v praxi
Ano, podobný problém, kde OpenID (dobře schované před uživatelem) je řešení.
Jen my to máme o trošku složitější, protože ne všechny systémy jsou Drupal – jde o historicky danou směs různých interních webů.
Re: Použití OpenID v praxi
Nebyl by lepší nějaký kvalitní SSO? Prostě přihlásím se ráno do domény a pak už je klikám? Třeba NTLM?
Re: Použití OpenID v praxi
Nemám nic proti kvalitnímu SSO, ale NTLM tam nejspíš nepatří. Pomněte, že klientská zařízení nemusíte mít pod kontrolou. Přihlášení do domény a NTLM over HTTP vyžaduje Windows, ne?
Pokud existuje elegantní řešení, které si poradí s různými verzemi webových prohlížečů na různých operačních systémech a to včetně úchylných prohlížečů v nejrůznějších mobilech, tak sem s ním.
Rád se podívám, jak se to dá udělat jednodušeji. Používat OpenID pro SSO není nejjednodušší, ale přišlo mi nejvíce funkční.
Re: Použití OpenID v praxi
Je nějaký důvod, aby kvalitní SSO nepoužívalo jako základ protokol OpenID?
Lidé chtějí anonymitu
Tu ale tento systém odstraňujě.
To je celé a proto ho nikdo nechce.
Re: Lidé chtějí anonymitu
Ne, nemáte pravdu.
Nic nebrání tomu používat nějakého OpenID providera, který Vám bude pro každou službu poskytovat jiný OpenID identifikátor, fiktivní jméno a e-mail, který Vám bude přeposílat.
Vyzkoušeno na testovacím serveru. Do ostrého provozu by to chtělo ještě tak týden práce (kterým bohužel nedisponuji).
Re: Lidé chtějí anonymitu
„Tu ale tento systém odstraňujě.“
OpenID? Neodstraňuje, nesmíš věřit všemu, co někdo napíše do internetové diskuze.
soutěž o iPad a Kindle 3
Založil jsem si MojeID a spojil ho se svojím účtem. Nechápu ale, jak root.cz nebo jiné servery iinfo.cz zjistí, že jsem si ho založil kvůli téhle soutěži a zařadí mě tak do slosování. Psal jsem kvůli tomu mail na mojeid@iinfo.cz a nikdo neodpověděl.
Re: soutěž o iPad a Kindle 3
Soutěž jsem neřešil… ale doporučuju zkusit napsat na nějaký obecnější mail iinfo.
Re: soutěž o iPad a Kindle 3
Dobrý den,
MojeID ví, ze kterého serveru člověk přišel, tj. díky komu si ho založil. Stejně tak ví, když se s ním člověk na server přihlásí. Tím pádem není problém splnit podmínku pro zařazení do slosování, kterou je založení účtu na některém našem serveru a alespoň jedno přihlášení pomocí MojeID na něm.
Re: soutěž o iPad a Kindle 3
Aha, díky. Tyhle komentáře jsem přehlídl. Z nějakého důvodu mi přestaly chodit upozornění na mail (gmail) – nejenom odsud, ale i z kalendáře Googlu. Je to divné.
Re: soutěž o iPad a Kindle 3
Tak už se to vysvětlilo, odpověděli mi. Je to podporované na straně mojeid.cz, které dostane data z automaticky (javascriptem) odeslaného formuláře ze serverů iinfa.
A jake problemy tedy lidi pali?
Kdyz se mluvi o tom, ze OpenID resi problem ktery lidi nepali – to by me zajimalo, jake problemy lidi dnes pali?
Re: A jake problemy tedy lidi pali?
Když se omezíme na web, tak třeba jeho zahlcení spoustou bezcenného obsahu (automaticky generovaný, zkopírovaný, hloupý, prošpikovaný reklamou…). Najít to, co člověk hledá, je čím dál těžší. Navíc spousta obsahu z webu prostě mizí (takže když člověk najde něco zajímavého, měl by si to uložit na disk, protože zítra už to tam nemusí být).
Re: A jake problemy tedy lidi pali?
Takhle by mělo fungovat laikovací tlačítko!