abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 07:00 | Nová verze
Byla vydána verze 4.13 desktopového prostředí KDE. Nová verze přináší především vylepšení aplikací. Vlastní prostředí a knihovny jsou od vydání verze 4.11 (zprávička) v udržovacím módu. Vývojáři se primárně věnují přechodu na KDE Frameworks 5. Jedinou novinkou je vylepšené sémantické vyhledávání.
Ladislav Hagara | Komentářů: 10
dnes 06:55 | Zajímavý článek
V listopadu loňského roku vyšel na stránkách Opensource.com úvod do SELinuxu plný obrázků (zprávička). Dan Walsh byl za něj oceněn v rámci 2014 Opensource.com Community Awards. Máirín Duffy, autorka obrázků použitých v článku, zveřejnila na svém blogu SELinux omalovánky vytvořené na základě článku. Omalovánky jsou k dispozici ve formátech PDF a SVG pod licencí CC BY-SA 4.0.
Ladislav Hagara | Komentářů: 7
dnes 01:23 | Komunita
V San Francisku probíhá čtyřdenní konference Red Hat Summit 2014. Vybraná videa z konference, například přednáška prezidenta a CEO Red Hatu Jima Whitehursta, se začínají objevovat na YouTube kanálu Red Hat Summit.
Ladislav Hagara | Komentářů: 0
včera 23:52 | Zajímavý článek
Debian oznámil LTS podporu pro Debian 6.0 Squeeze. Za normálních okolností by jeho podpora skončila 31. května. LTS podpora bude pokračovat do února 2016, tedy pět let od jeho vydání. Pokud se tento model osvědčí, předpokládá se jeho využití i pro další vydání.
fish | Komentářů: 8
včera 10:11 | Komunita
OpenBSD 5.5 vyjde 1. května. Oficiální píseň je už ale k dispozici. Nejnovější hudební hit z produkce OpenBSD je věnován problému roku 2038: Řekněte mi doktore, jaký bude rok, 1901 nebo 2038? OpenBSD 5.5 přijde s 64bitovým time_t na všech platformách. Píseň s názvem Wrap in Time lze stáhnout ve formátech MP3 a OGG.
Ladislav Hagara | Komentářů: 28
15.4. 23:38 | Pozvánky
LvB a Openmobility vás zvou na 103. sraz příznivců svobodného SW a HW, který se bude konat v pátek 18. dubna od 18 hodin v restauraci Magistr na ulici Hrnčířská 23. Těšíme se na vás.
Ladislav Nešněra | Komentářů: 22
15.4. 17:18 | Nová verze
Clement "Clem" Lefebvre oznámil, že desktopové prostředí Cinnamon dospělo do verze 2.2. Verze 2.2 vychází půl roku po verzi 2.0 (zprávička). Přehled vybraných nových vlastností i s náhledy v oznámení.
Ladislav Hagara | Komentářů: 15
15.4. 07:44 | Komunita
Mitchell Baker oznámila, že prozatímním CEO Mozilly se stal Chris Beard. Chris Beard nahradil Brendana Eicha, který před několika dny na funkci CEO rezignoval a Mozillu opustil (zprávička).
Ladislav Hagara | Komentářů: 11
15.4. 06:15 | Zajímavý projekt
V říjnu loňského roku byl spuštěn projekt, jehož cílem je provést opravdový bezpečnostní audit TrueCryptu (zprávička). Webová stránka Is TrueCrypt Audited Yet? byla aktualizována. První fáze bezpečnostního auditu byla dokončena. Nalezeno bylo několik zranitelností. Nebyla ale nalezena zadní vrátka nebo záměrně škodlivý kód. Na stránkách projektu Open Crypto Audit (OCAP) je k dispozici dvaatřicetistránková závěrečná zpráva (pdf). [Slashdot]
Ladislav Hagara | Komentářů: 6
14.4. 07:32 | Komunita
GNOME Foundation se potýká s finančními problémy. Bylo rozhodnuto o zmrazení veškerých výdajů, které nejsou nezbytně nutné pro chod nadace. Jednou z příčin jsou zvýšené administrativní náklady spojené s projektem Outreach Program for Women (OPW). Podrobnosti v často kladených dotazech (FAQ). Podpořit GNOME Foundation lze několika způsoby. [Slashdot]
Ladislav Hagara | Komentářů: 123
Máte na svém notebooku zašifrovaný pevný disk?
 (77%)
 (23%)
Celkem 465 hlasů
 Komentářů: 9, poslední dnes 13:05
Rozcestník
Reklama
Autoškola testy online Levný benzín

Vložit další komentář
13.2.2008 11:01 Semo | skóre: 44 | blog: Semo
Rozbalit Rozbalit vše Re: OpenID
Viem, ze je to trocha OT v tomto blogu, ale Google je spolu s M$ fakt asi posledny u koho by som si nechal overovat svoje ID.
If you hold a Unix shell up to your ear, you can you hear the C.
frEon avatar 13.2.2008 16:28 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: OpenID
mozna to je ot, ale naprosto s tebou souhlasim
Talking about music is like dancing to architecture.
pavlix avatar 14.2.2008 23:29 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Tak si ho u nich neověřuj.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 11:11 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
k tomu výmyslu začínam byť skeptický. tak ako teraz sa "spolieha" na serióznosť autorov pri ukladaní hesiel, tak s týmto sa bude spoliehať na serióznosť pri presmerovávaní (že vôbec presmeruje).

reálne, mňa netrápi či týpek na tomto site-e je ten istý ako na inom, či tie žvásty píše nejaký CEO alebo niekto z internet-cafe. Od toho tu už predsa dávno máme elektornický podpis (hmm, dobre, to je námet na viac rozmýšľania ako "zbavím sa toho")

13.2.2008 11:34 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
Poznámku o spolehání se na přesměrování nechápu.

Jako autora webu požadujícího authentifikaci, je ve tvém zájmu, aby ověření proběhlo správně. Když neproběhne, nemusel si se s ověřováním vůbec namáhat.

Jako uživatele je správný provoz tvého openID serveru tvou priorituou. Když bude nespolehlivý, vyměníš provozovatele.
Hlasuj pro zavedení OpenID na Abclinuxu!
13.2.2008 11:39 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Jako uživatele je správný provoz tvého openID serveru tvou priorituou. Když bude nespolehlivý, vyměníš provozovatele.
A když bude nespolehlivý provozovatel delegující stránky, vyměním identitu. Jak prosté…
13.2.2008 11:54 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
nepochopil jsem, rozveďte
Hlasuj pro zavedení OpenID na Abclinuxu!
13.2.2008 12:15 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Vaše identita je svázána s nějakou URL a s tím, že dokážete zajistit, aby taková URL existovala a byla nějakým způsobem provozována. Je úplně jedno, jestli technicky vzato je to URL poskytovatele OpenID, nebo je to URL delegující stránky – identita je pevně svázána alespoň s jedním z těchto URL. Zánik takového URL znamená zánik identity, pokud se to URL dostane do moci někoho jiného, znamená to, že danou identitu může najednou ovládat někdo jiný. Takže jako teď skupují spekulanti staré nepoužívané domény, aby tím dodali před vyhledávači punc věrohodnosti svému obsahu, budou nově skupovat domény proto, aby se dostali ke starým identitám.
pavlix avatar 14.2.2008 23:32 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Pokud těm spekulantům prodáš svoji doménu, je to tvoje blbost.

Pokud ji necháš propadnout... tak to znamená, že tu identitu už asi nepoužíváš. To máš stejný jako s e-mailem, který se používá na obnovování hesel. Ten taky sedí na nějaké doméně, kterou když ztratíš, tak ji může zase někdo koupit.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 12:30 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
poznámka o presmerovaní = nepresmerujem, ale zobrazím stránku tvojej "identifikačnej autority" (budem proxy), cestou si uložím tvoje prihlasovacie údaje a začnem vystupovať ako ty
pavlix avatar 14.2.2008 23:34 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Neobudeš proxy a ani nemusíš mít možnost si cestou uložit přihlašovací údaje, viz napříkad xmppid.net, tam se žádná hesla nezadávají.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 11:18 misch
Rozbalit Rozbalit vše Re: OpenID
To delegování identity na zaměstnance mi přijde velice zajímavé. Vidět třeba v diskusi, že nějaký příspěvek napsal opravdu X.Y. z ABC, a ne nějaký praštěný anonym, je lákavá možnost.

Na druhou stranu, využívání OpenID jen pro to abych si nemusel pamatovat stovky hesel je IMHO zbytečné. Osobně k tomuhle účelu používám javascriptový generátor hesel, ale existují i různé pluginy do Firefoxu apod.
Výhody oproti OpenID:
- hlavní heslo si jen pamatuji, není uložené na žádném serveru, nikdo ho nemůže hacknout
- stejně tak neexistuje ani žádná databáze serverů na kterých jsem heslo použil: prostě jen pro vytvoření hesla používám hash(heslo+název_domény)
- nejsem závislý na tom že konkrétní poskytovatel OpenID přestal fungovat, nebo že má klientský server využívající OpenID problémy při komunikací s protistranou

Tzn. OpenID beru jako šikovný prostředek pro to, aby si ostatní mohli ověřit že něco napsala konkrétní OpenID identita. K samotnému přihlašování mi ale nepřipadá nijak extrémně užitečný.
13.2.2008 11:30 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
Pokud ty dnes použiješ jiný přohlížeč nebo počítač, nepřihlásiš se. Já se běžně pohybuji mezi třemi pc a browsery střídám časěji než ponožky. Také asi nebude nejsnazší střídat identity, což OpenID elegantně umožňuje.

Pokud jsi s OpenID na vlastní doméně, nejsi závislý na konkrétním provozovateli. Když se ti současný znelíbí, přesuneš doménu jinam. Samozřejmě, když použíješ ekvivalent freemailu, tak neseš i stejná rizika.
Hlasuj pro zavedení OpenID na Abclinuxu!
13.2.2008 12:46 misch
Rozbalit Rozbalit vše Re: OpenID
Ne-e, bez problemu to pouzivam na _kteremkoli_ pocitaci, ke kteremu se dostanu (a kteremu verim ze tam neni keylogger ;-)). Ten generator hesel samozrejme nemam reseny jako bookmarklet (i kdyz i tak by to slo), ale jako normalni javascriptovy formular na svem webu.

Tzn. kdyz si nahodou na cizim pocitaci chci precist sve maily na gmail.com, tak jen vlezu na http://muj_web/hesla, vygeneruji si tam heslo, a je to.

Jo, je to (v tomhle konkretnim pripade) trochu podobne jako OpenID, az na to ze kdyz se za 3 roky rozhodnu ze uz o svou puvodni domenu nestojim, tak si generator presunu jinam, a je to. A nemusim si delat starosti s tim, ze novy majitel domeny bude mit tim padem pristup k me puvodni identite.
13.2.2008 12:49 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
hmm, spojiť to s overovaním napr cez sms, zmenou na náhodné heslo (ak neverím poznámke v zátvorke) ... :-)
pavlix avatar 14.2.2008 23:35 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
OpenID se dá za jistých okolností používat i bez obav z keyloggeru.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 18:47 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: OpenID
- hlavní heslo si jen pamatuji, není uložené na žádném serveru, nikdo ho nemůže hacknout

Ani u OpenID nemusíš mít heslo na žádném serveru. Nikde není řečeno, že ověřování musí probíhat pomocí hesla na serveru. Může to být třeba přes čipovou kartu, přes čtečku otisku prstu ... Fantazii, jak server ověří tvoji identitu, se meze nekladou.

pavlix avatar 14.2.2008 23:47 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
+1
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
xkucf03 avatar 15.2.2008 00:48 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Jo, může třeba použít http://xmppid.net/ a přihlásit se pomocí Jabberu :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 15.2.2008 00:50 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Jj, jen mi dělejte reklamu.... doufám, že mi to poběží, přecejenom je to jen testovací režim :).
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
xkucf03 avatar 15.2.2008 00:55 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Zdálo se mi, že se ostýcháš hodit sem svůj odkaz, tak jsem to udělal za tebe :-)

BTW: na svých stránkách jsem taky napsal o OpenID (jak to tu všichni řeší, tak jsem se neudržel a musel se taky přidat :-D)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 15.2.2008 01:03 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Já se ani neostýchám :D, jen jsem měl jiný věci na práci než sledovat flamy na abc.

Teď už jsem se k tomu dostal a komentoval jsem až dost :).

Co že nejsi na Jabberu?
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 01:04 Honza Jaroš | skóre: 4 | Bohnice
Rozbalit Rozbalit vše Re: OpenID
To je hezký! Půjde tam zadat i nějaké nacionále (jméno a tak)? Nebo je to bude přebírat z jabberovského účtu?
pavlix avatar 15.2.2008 01:18 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Krátká odpověď: Ano.

Delší odpověď: ještě nejsem rozhodnutý, jestli používat vcard nebo možnost zadat ručně.

Taky zrovna přemýšlím o nějaké "privacy extension", která neprozradí Jabber ID, ale bude schopná zajistit opakované přihlášení.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 14.2.2008 23:35 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Nezávislý na funkci konkrétního OpenID provozovatele můžeš být vždycky.

Javascriptový generátor mi přijde zbytečný, když mám OpenID :D. Hlavní heslo mám buď na OpenID server nebo řeším přihlašování jinak (třeba i bezpečněji).
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
andree avatar 13.2.2008 11:31 andree | skóre: 39 | blog: andreeeeelog
Rozbalit Rozbalit vše Re: OpenID
hmm, len ma teraz napadlo, ako fajne sa bude google mat, az budu openid skoro vsade - clovek si da najst "torrent openid:company.com/john.smith" alebo "torrent seed openid:*.com", a to sa potom budu diat veci, ak si niekto neda bacha :-D

inak openid podporujem, uz ma tiez nebavi v kazdej posahanej phpbb diskusii davat ani len tie hesla typu "asdf" a "xyz" :o))
pavlix avatar 14.2.2008 23:36 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
rofl
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 11:37 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Všechno co píšete ale platí jenom do té doby, dokud poskytovatel OpenID funguje. Jakmile přestane fungovat, mám smůlu, protože k účtu nemám jiný login ani heslo. Jakmile přestane fungovat, skončila tím moje identita svázaná s příslušným ID. A můžu stokrát chtít dát najevo, že Filip Jirsák minulý týden a Filip Jirsák dnes jsem já, ale když mi to poskytovatel prvního OpenID neumožní, mám smůlu. Takže je to všechno hezké, ale musíte přistoupit na to, že se stáváte rukojmím poskytovatele OpenID. Takže ona „centralizace dobrým způsobem“ je ve skutečnosti „centralizace tím nejhorším možným způsobem“, protože vytváří jediný bod, který když selže, selže vše související s danou identitou. To bylo ve filmu Síť, jak jedním zásahem do cetrální databáze bylo možné vymazat identitu člověka ze světa, nebo ji přiřadit někomu jinému? Tady to máte to samé, jenom těch identit můžete mít víc, a jde o „pouhé“ komunitní servery nebo webové služby, nejde o „reálný“ život.
13.2.2008 11:53 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
A kdyz mam v browseru ulozene hesla a sejme se mi disk tak se stane co? Takhle alespon muzu vyuzit spolehlivou sluzbu, treba komercni, u ktere si budu moct byt jisty ze k fatalnimu vypadku nedojde.

A jeste jednou, kdyz nechces tak OpenID nemusis pouzivat. Muzes si na kazdem serveru zalozit novou identitu a budes mit uplne stejnou situaci jako bez OpenID, takze fakt nechapu co mas porad proti.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 12:04 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
A kdyz mam v browseru ulozene hesla a sejme se mi disk tak se stane co? Takhle alespon muzu vyuzit spolehlivou sluzbu, treba komercni, u ktere si budu moct byt jisty ze k fatalnimu vypadku nedojde.
Zálohování již bylo vynalezeno dávno. Hesla můžu mít uložená třeba vytesaná do kamene ve dvaceti různých trezorech, když na to přijde. Poskytovatele OpenID pro jednu identitu můžu mít jenom jednoho.
A jeste jednou, kdyz nechces tak OpenID nemusis pouzivat. Muzes si na kazdem serveru zalozit novou identitu a budes mit uplne stejnou situaci jako bez OpenID, takze fakt nechapu co mas porad proti.
Proti mám to, že je to hloupě vymyšlený koncept, který složitě řeší věci, které není potřeba řešit, a vůbec neřeší věci, které by řešit měl. Jenomže to bude vypadat, že tady řešení problému s účty nějaké je, tak se nebude dlouho hledat jiné řešení, a zakonzervuje se tím špatný stav.
13.2.2008 12:12 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Proti mám to, že je to hloupě vymyšlený koncept, který složitě řeší věci, které není potřeba řešit, a vůbec neřeší věci, které by řešit měl. Jenomže to bude vypadat, že tady řešení problému s účty nějaké je, tak se nebude dlouho hledat jiné řešení, a zakonzervuje se tím špatný stav.
Ano presne, on resi uplne neco jineho nez chces aby resil. Ale o tom to je. Proste to resi uplne jine veci, se kterymi treba ty nemas problem, ale jini ten problem maji. Kdyz chces resit nejake jine problemy, tak vymysli s novym standard. Proste OpenID resi veci ktere resi a jine resit nebude.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 12:18 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
A co tedy ten koncept řeší? Možnost jednoduchého přihlášení uživatele z více míst? To řeší dost neohrabaně. Nebo možnost zachovat identitu napříč různými provozovateli služeb? To řeší dost nešťastně, když jedno z hodně problematických míst toho konceptu je právě možnost ztráty nebo zcizení identity.
13.2.2008 12:23 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
OpenID is a decentralized single sign-on system. Using OpenID-enabled sites, web users do not need to remember traditional authentication tokens such as username and password. Instead, they only need to be previously registered on a website with an OpenID "identity provider" (IdP). Since OpenID is decentralized, any website can employ OpenID software as a way for users to sign in; OpenID solves the problem without relying on any centralized website to confirm digital identity.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
pavlix avatar 14.2.2008 23:41 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Poskytovatele OpenID pro jednu identitu můžu mít jenom jednoho.
Tuším, že jich můžeš mít kolik chceš. Holt si musíš hlídat, aby ti nevypršela doména, kde máš web.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 11:53 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
Opakuji: pokud použijete free poskytovatele, nesete riziko. Je to vaše volba.

Nic vám nebrání vytvořit si vlastní doménu, na ní identitu a tu pak svěřit provozovateli (jako GoogleApps) nebo si ji provozovat sám. Při této variantě můžete provozovatele při zachování identity měnit třeba každý týden.
Hlasuj pro zavedení OpenID na Abclinuxu!
13.2.2008 12:10 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Pokud si někdo dokáže zařídit a provozovat doménu a je si jistý, že ji bude schopen provozovat celý život, nebude mít problém zařídit si přihlašování se synchronizací hesel ani jiným způsobem.

Že nebude Abíčko spravovat tisíce hesel pro přístup na Abíčko, ale místo toho bude Google Apps spravovat hesla miliónů uživatelů a umožňovat jim přístup k tisícům aplikací, to je opravdu pokrok v zabezpečení…
13.2.2008 12:15 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Ano, stejne jako je bezpecnejsi kdyz banka spravuje penize milionu klientu, nez kdyz si je kazdy uklada do matrace.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 12:21 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
To je ale rozdíl v kvalitě, nikoli v kvantitě. Proč nenapíšete, že je to jako rozdíl, když banka spravuje účty milionům klientů, a přístup k těm účtům je po telefonu po odříkání 4místného pinu, a jako když jednotlivec uloží peníze tak, že investuje do nemovitostí nebo podobně. Spravovat si hesla sám totiž ještě neznamená mít jediné heslo a to ještě nalepené na štítku na monitoru.
13.2.2008 12:24 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Kurna ale OpenID je pro BFU, kteri maji jako heslo svoje krestni jmeno a prihlasuji se na porno servery stejne jako do banky.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 12:40 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
výborne, o dôvod viac prečo nepoužívať openid
13.2.2008 12:45 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Muzes nejak objasnit svoje myslenkove pochody?
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 12:55 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
môžem :-)

hlavný zámer: zneužiť systém, i.e. ukradnúť identitu. teraz môžem ukradnúť l/p na svoj site a spoľahnúť sa na BFU, no ďaľší výskyt musím hľadať (rovnaký l/p, iný site)
po novom? ukradnem url a heslo, a ajhľa, už som všade niekto iný :-)

inými slovami, celý ten nápad je len uľahčenie práce spamerom, phisherom a podobným opovrhnutiahodným individuám

13.2.2008 13:20 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Zadna databaze serveru na ktere se uzivatel prihlasil s nejakym OpenID prece neexistuje.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 13:23 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
No pokud má OpenID poskytovatel poskytnout serveru příště informace bez nějakého vyptávání, asi tu databázi bude potřebovat…
13.2.2008 13:24 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Eh co? OpenID neni system automatickeho prihlasovani.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 13:32 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Tak třeba citát od Misantropa:
Na stránkách Poskytovatele se Uživatel standardním způsobem přihlásí, pokud je třeba, a určí, jaké údaje budou předány (pokud je třeba).
Buď si OpenID poskytovatel bude pamatovat, které údaje mohou být kterému serveru předány (a že uživatel ten server vůbec autorizoval), to pak ale musí mít tu databázi serverů, kam se uživatel přihlásil. Nebo si to pamatovat nebude, uživatel to bude muset určovat pokaždé znova, a pak je to ještě blbější, než jsem si myslel.
13.2.2008 13:35 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Viz reakce v druhem vlakne.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
pavlix avatar 14.2.2008 23:47 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Přesně tak. Obě možnosti fungují.

Buď si OpenID server pamatuje, s kým má navázaný vztah, nebo se pokaždé znovu zeptá. Záleží na implementaci na straně serveru.

Rovněž existuje možnost ukládat kryptografické tokeny.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 13:59 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
veď o tom je "single sign-on", pri použití openid tú "databázu" vytváram svojím prístupom a stále som to ja, bez ohľadu na to, či som tam chcel alebo nechcel pristúpiť.

ale nejak to asi nechápete :-(

13.2.2008 14:02 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Na strane serveru kam se prihlasuji se jenom ulozi ze se autentizuji pomoci OpenID: ferda.mravenec.cz. Pokud se servery mezi sebou neznaji domluvi se na spolecnem tajemstvi, ktere se pak pouziva pri dalsi komunikaci. Zadna centralni databaze neni.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 14:33 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
no, ale o tomto predsa nevravím. ja vraví o vstupe do komunikácie tak, že sa nakoniec budem ja tváriť ako ten ferda.mravenec.cz. A keďže tá centrálna db neexistuje, tak kdekoľvek (s podporou openid) kliknem, všade budem vystupovať ako vy, všade budem využívať vašu identitu, vaše údaje, či už online kasíno (tomu váš poskytovateľ dôveruje, a vy ste sa overil (teda ja, ale to už je detail), tak prečo nesprostredkovať platbu?)

mimochodom, môžete objasniť vaše myšlienkové postupy, ako ste sa dostal k tej databáze navštívených stránok?

13.2.2008 14:46 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Moji identitou? Ale jak zjistim na kterych serverech jsem s tim ferda.mravenec.cz zaregistrovan? Jelikoz neni centralni DB, tak to nezjistim. Takze je to same jako kdyby mi nekdo ukradl heslo, ktere siroce pouzivam, stejne musi jeste zjistit kde ho pouzivam a narozdil od tohoto pripadu mam single point, tudiz mi staci zavolat/poslat mail providerovi aby mi dane vygeneroval nove heslo k OpenID a mam hotovo.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 13:06 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Takže jim rovnou do ruky dáme nástroje, jehož hlavní myšlenkou je všude stejné heslo je správné™. Jinak BFU, který si spravuje vlastní doménu a bude si do své webové stránky dávat tag <link> na svého OpenID providera, bych chtěl někdy potkat.
13.2.2008 13:22 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Coze jakou domenu zase? Ne myslenkou OpenID je ze server kde jsem prihlaseny nema mit k dispozici moje heslo, pouze overeni ze ja jsem ten za koho se vydavam.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 13:27 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Doménu pro URL identifikátoru OpenID. Neustále se tím všude (v blogu i v dukuzi) operuje, jak uživatel může mít OpenID pod vlastní doménou.

OpenID server nepotřebuje znát žádné heslo, server implementující přihlášení přes OpenID ani nemusí žádná hesla podporovat. Ale OpenID je ten způsob autorizace, takže možnost ovládat OpenID je ekvivalentní znalosti hesla pro přístup k serveru. Pokud server implementuje víc úrovní, do nižší vás pustí třeba s automatickým přihlášením nebo OpenID, do bezpečnější úrovně jedině znovu zadáním hesla, dostanu se pořád alespoň na tu nižší úroveň. Navíc ale přihlašovat se někam jinak, než přes OpenID, jde proti duchu OpendID.
13.2.2008 13:33 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Ano, muzu mit OpenID pod vlastni domenou, ale nechapu proc bych to musel mit?

Boze, kde tyhle blbosti ctes? OpenID funguje hodne podobne jako platba pres PayPal. Nejaky web chce abych zaplatil, tak mne presmeruje na PayPal, tam se prihlasim, odklikam ze souhlasim, pak mne to vrati na ten puvodni web, ktery mezi tim dostal potvrzeni ze jsem to potvrdil od PayPalu. OpenID je ale narozdil od PayPalu decentralizovane, takze popisuje obecny protokol (velice podobny) mezi libovolnym providerem a webem.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 14:36 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Boze, kde tyhle blbosti ctes?
To je právě ono. Obhájci OpenID se ještě nedokázali shodnout ani na tom, co OpenID vlastně je a pro koho je určeno. V blogu a v diskuzi padlo na obhjaobu OpenID mimo jiné následující:
  • Pokud jsi s OpenID na vlastní doméně, nejsi závislý na konkrétním provozovateli. Když se ti současný znelíbí, přesuneš doménu jinam. [Jako reakce na to, že s OpenID na cizí doméně se člověk stává rukojmím současného a všech budoucích majitelů té domény]
  • Kurna ale OpenID je pro BFU, kteri maji jako heslo svoje krestni jmeno a prihlasuji se na porno servery stejne jako do banky.
  • Z tohoto pohledu je tedy decentralizovaná. Místo aby jedna služba centralizovaně (např. abclinuxu.cz) spravovala tisíce hesel, každý si spravuje jen to své. [= správa většího množství přístupových práv na jednom místě je špatně]
  • Jakmile se OpenID začne masově využívat, jistě bude podporován službami typu Google Apps, [= ideální je mít všechna přístupová práva spravovaná na jedom místě]
  • OpenID is a decentralized single sign-on system.
Další budu jen parafrázovat – OpenID není jen systém pro přihlašování k webu; OpenID je pouze autentizace, tedy ověření přihlášení k webu.

Pominu teď, že OpenID je určen pro BFU počítačové odborníky, a jeho výhoda je, že je decentralizovaný, takže nespravuje jeden server přihlášení pro tisícovky uživatelů, ale jeden server spravuje přihlášení pro desítky tisíc uživatelů pro tisíce služeb.

Ale zajímalo by mne (mimo popisu konkrétních postupů pro Abíčko, ke kterým se níž zatím překvapivě nikdo nevyjádřil):
  • OpenID je systém pouze pro autorizaci, nebo umožňuje předávat i nějaké informace o „uživatelském profilu“ – jméno, přezdívka, e-mail…?
  • Umožňuje OpenID nějaký server autorizovat a přihlašovat se k němu automaticky (tj. jsem přihlášen k OpenID a při pokusu o přihlášení k serveru nebudu muset znova potvrzovat, že tomuto serveru důvěřuju)?
  • Identifikace napříč různými servery (komentář od XYZ na živě.cz a na Abclinuxu.cz je opravdu od toho samého člověka) je myšlena opravdu vážně a předpokládá se, že bude OpenID uživatele zveřejňováno, nebo je tohle věc nepodstatná a OpenID nemá za cíl identifikovat uživatele pro jiné uživatele, ale jde jenom o autorizaci vůči serveru?
13.2.2008 14:54 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Vsechno to jsou reakce na konkretni kritiku.
  • Nestaci ti ze si vyberes spolehliveho providera, fajn, muzes si delat providera sam sobe.
  • Ano u BFU zavedeni OpenID dramaticky zvysi jejich bezpecnost (pokud ho zacnou pouzivat, coz zacnou, protoze je to pohodlne).
  • Sprava vetsiho mnozstvi hesel na jednom miste neni spatne. Typicky ale se uzivatele prihlasuji na mnoho serveru stejnym heslem. Nektere z techto serveru jsou spatne zabezpecene, takze mas mnohem horsi situaci nez kdyz mas jeden dobre zabezpeceny server.
  • No proc by nebyl podporovan Goole Apps? A ano je vysoce pravdepodobne ze Google bude poskytovatel OpenID. Nevidim na tom nic spatneho.
  • Ano to je. Je to decentralizovany system (muzes si vybrat providera, nebo byt sam sobe providerem). Je postaven tak ze autentizovat se muzes libovolnym providerem, ktereho si vyberes. A je single sign on, to jeste dokud je platna session (u providera) nemusis zadavat znovu heslo, i kdyz behas po ruznych webech.
K dalsi sekci. V zakladu je OpenID IMHO jenom pro autorizaci.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 15:27 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
To je právě ono. OpenID je takové teoretické něco, které může sloužit k čemukoli. Takže když se to hodí, může být určené pro BFU, když je to potřeba, je zase určené pro IT odborníka. Jenomže praxe takhle gumová není, a jakmile si zkusíte představit něco praktického, že to není ani pro BFU, ani pro odborníka. Že se to nehodí ani jen k přihlašování, ani k ničemu navíc.

Dotazy na praxi jsou tady ke konci diskuze, a jsou přímo na Abíčko. Zatím jsem to pochopil tak, že všechno by bylo stejně, jako dosud, akorát místo automatického přihlášení na základě cookie nebo přihlášení jménem a heslem bych se mohl přihlásit OpenID (které samotné bude delší než jméno a heslo dohromady), což by znamenalo zadat víc údajů a navštívit víc stránek. Připomíná mi to jediné – zkratka byla sice delší, ale o to náročnější.
13.2.2008 15:35 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Dotazy na praxi jsou tady ke konci diskuze, a jsou přímo na Abíčko. Zatím jsem to pochopil tak, že všechno by bylo stejně, jako dosud, akorát místo automatického přihlášení na základě cookie nebo přihlášení jménem a heslem bych se mohl přihlásit OpenID (které samotné bude delší než jméno a heslo dohromady), což by znamenalo zadat víc údajů a navštívit víc stránek. Připomíná mi to jediné – zkratka byla sice delší, ale o to náročnější.
Ano presne tak by to fungovalo. Pokud pouzivate na kazdem serveru samostatne OpenID tak je to opravdu narocnejsi nez normalni prihlasovani (ktere ale OpenID nema nahrazovat). Cimz se ale vracime k uplnemu zacatku, kdyz chcete mit na kazdem serveru samostatny login a heslo (na kazdem serveru jine) tak nejste cilovym uzivatelem OpenID.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 15:58 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
A můžete už konečně napsat, jak by to vypadalo, kdybych chtěl používat všude jedno svoje OpenID? V čem by bylo to přihlášení jednodušší či rychlejší? Dobře, asi by nebylo jednodušší pro jeden server, to je daň za univerzalitu. Ale tak by pro mne mělo být jednodušší se přihlásit na dva servery s OpenID než bez něj. Se správcem hesel to tak ale pořád nebude. Tak jaké jsou předpoklady toho, že přihlášení s OpenID bude výhodnější?
  • server podporuje OpenID
  • většinou nejsem na „svém“ počítači (resp. profilu), kde si hesla pamatuje prohlížeč
  • jsem BFU, takže si neumím zařídit bezpečný přístup k heslům odkudkoli, kde není keylogger (nebo odkudkoli s jednorázovými hesly)
  • přihlašuji se během jednoho sezení k několika různým službám
  • jsem ochoten zabývat se registrací OpenID
  • nastavím si pro OpenID silné heslo
  • jsem aspoň poučený uživatel, takže mi nedělá problém někam místo jednoduchého jména a hesla psát URL (a to URL si pamatovat)
  • moc mi nezáleží na aktuální identitě, takže mne nebude trápit, pokud o OpenID přijdu; prostě si zaregistruju nové jinde
  • záleží mi na tom, aby někdo mé identity nezneužil, takže nechci mít pro víc služeb stejné jméno a heslo
A možná ještě nějaké další… Pokud některá z těchhle podmínek není splněna, je přihlašování buď méně komfortní, nebo je méně bezpečné (často obojí). A kolik uživatelů všechny tyhle podmínky splňuje? Když napíšu nula, asi jsem se moc nespletl, že?
13.2.2008 16:07 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Bude to fungovat stejne jako funguje PayPal, jak uz jsem jednou psal.

Chci se prihlasit na server zive.cz, zadam svoje OpenID, server zive.cz mne presmeruje (protoze neni schopen overit moje OpenID) na meho OpenID poskytovatele, tam zadam heslo, jsem presmerovan zpet na zive.cz kde jsem nyni prihlasen. Mam ted otevrene dvoje sessions (jednu s OpenID poskytovatelem, jednu s zive.cz). Nyni jdu na server abclinuxu.cz tam zadam svoje OpenID, protoze mam validni session se svym OpenID poskytovatelem dojde k overeni na pozadi, jsem prihlasen. Ted se vratim na zive.cz kde mi ale mezitim vyprsela session, tak zadam OpenID, kdyz je session s OpenID poskytovatelem porad validni, dojde opet k prihlaseni na pozadi.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 16:16 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Já vím, jak to bude fungovat, ptám se, kdy to bude lepší řešení než existující způsoby nebo nějaký nový způsob přihlašování (třeba certifikát, bookmarklet apod.) To, co popisujete, je sice hezké, ale přihlášení se zapamatovanými údaji v prohlížeči je daleko rychlejší.
13.2.2008 16:28 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Boze ty si fakt dement. KDYBY KAZDY ODESLANY EMAIL BYL PODEPSANY KVALIFIKOVANYM CERTIFIKATEM TAK NEEXISTUJE SPAM. Mas pocit ze se to pouziva???

Zapamatovane udaje v prohlizeci jsou ti naprd kdyz si presednes k jinemu pocitaci, jedine ze bys se sebou nosil papir se seznamem vsech hesel, ale ten kdyz ztratis tak se muzes jit obesit. OpenID nema zadny jiny ekvivaletni zpusob prihlasovani.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 16:30 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
ked končia argumenty, nastupujú nadávky a krik :-)

13.2.2008 16:32 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Ne, kde konci nervy tam zacinaji nadavky a krik. Taky uz tady koncim. Uz jsem tady zabil dost casu.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 17:00 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Boze ty si fakt dement. KDYBY KAZDY ODESLANY EMAIL BYL PODEPSANY KVALIFIKOVANYM CERTIFIKATEM TAK NEEXISTUJE SPAM
Co by bránilo někomu poslat spam podepsaný kvalifikovaným certifikátem?
13.2.2008 17:50 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
To ze za posilani spamu dostanes pokutu?
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 18:37 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
No asi jak kde. To, že každý e-mail musí být podepsaný certifikátem vydaným nějakou registrovanou certifikační autoritou je technicky řešitelné – udělá se protokol SMTPbž, který tohle bude vyžadovat, ustanoví se Nejvyšší globální úřad pro potírání spamu, který bude vydávat seznam Registrovaných CA. Jenomže pak ještě zbývá druhá věc, zařídit, aby když vám přijde odněkud z Nigérie e-mail podepsaný nějakým Papuáncem, abyste dokázal toho Papuánce donutit zaplatit pokutu případně ho dostat za mříže, a lid spammerský se tak rozdělil na ty, kteří už si to nerisknou, a na ty, kteří už sedí.

Jednoznačná identifikace odesílatele e-mailu totiž není podmínka postačující. No a protože podepsání e-mailů k eliminaci spamu nestačí, proto se také k eliminaci spamu nepoužívá.
13.2.2008 18:46 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Jenomze v momente jak jednou nekdo posila spam tak je spamer a neni problem ho zablokovat (nebo oznacovat jeho emaily automaticky za spam), coz je diky unikatni identifikaci mozne udelat jednoduse a trvale.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 18:53 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Takže by musela vzniknout navíc ještě databáze spammerů, pokud možno nějaká centrální. A pak už se můžou vést jenom nekonečné soudní spory o to, kdo spammer je a kdo není.

Já souhlasím s tím, že jednoznačné identifikace odesílatele je nutné podmínka pro „násilnou“ eliminaci spamu (tedy pokud spam nevymizí sám, protože se nevyplatí). Ale není to podmínka jediná. A právě proto se zatím něco takového nepoužívá – protože je tam spousta dalších „kdyby“. A přesně z toho samého důvodu se mi nelíbí OpenID – je tam spousta kdyby. Přičemž si dovedu představit řešení, které za stejných „kdyby“ bude daleko efektivnější a bezpečnější.
13.2.2008 18:57 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Ehm a ted jako nemame centralni databaze spameru? Zadne kdyby neni, to jen ty si porad vymyslis silene hypoteticke na hlavu postavene situace.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
pavlix avatar 14.2.2008 23:50 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
To je právě ono. OpenID je takové teoretické něco, které může sloužit k čemukoli.
Přečti si specifikaci.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 14.2.2008 23:43 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Pokud si někdo umí zařídit synchronizaci hesel, zvládne nejspíš i jednoduché a elegantní řešení jako je OpenID.

Nemusíš google používat.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 12:39 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
he? to akože môže vypadnúť len free poskytovateľ? ojoj, toľká naivita :-)

jednotné server-side prihlásenie imho môže fungovať len ak je centralizované (resp obmedzene decentralizované).

nakoniec to skončí tak, že openid síce podporovať bude každý site, ale bude akceptovať len jedného dôveryhodného poskytovateľa ... samého seba. A user bude na tom rovnako, miesto písania login/password bude písať šialené (z pohľadu bfu) url a heslo k tomu.

13.2.2008 12:47 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
he? to akože môže vypadnúť len free poskytovateľ? ojoj, toľká naivita
Ted nevim jestli to byla reakce na mne, ale kdyz jo, tak:

Samozrejme ze muze, ale kdyz uz ma komercniho poskytovatele tak jaksi muzu ocekavat dostatecnou kompenzaci za zpusobene problemy. Ze stejneho duvodu pouzivam komercni email.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 12:58 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: OpenID
linka "výše" na mojom príspevku príspevku ukáže, na koho som reagoval :-) a kompenzácia? ojoj, toľká naivita :-D (ktorý poskytovateľ mi napr vynahradí to, že svojím výpadkom ma pripravil o možnosť vyhrať v online stávkovke?)
13.2.2008 13:23 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
a kompenzácia? ojoj, toľká naivita
No, to je spis vase debilita, kdyz podepisete takovou smlouvu.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 18:55 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: OpenID

Ale tak to je přece u všech síťových služeb. U e-mailu, u IM ... dokonce i u elektronického podpisu.

pavlix avatar 14.2.2008 23:41 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Všechno co píšete ale platí jenom do té doby, dokud poskytovatel OpenID funguje.
To není pravda. Jako OpenID můžeš používat jakoukoliv stránku, do které můžeš psát, takže i vlastní doménu.

Je to věc DNS, stejně jako již zmíněný mail... používaný i na password recovery, když zapomeneš heslo.

Aha... katastrofické filmy... njn, hele a co když na nás spadne meteorit? :D
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 11:58 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Ještě jedna věc, která se týká implementace OpenID tady na Abíčku: mohl by někdo ze zastánců OpenID popsat, jak by se OpenID tady na Abíčku mělo používat? Ať už do bugzilly, nebo do diskuze, klidně to pak do bugzilly okopíruju. Nezapomeňte na to, že účet tady na Abíčku znamená mimo jiné:
  • login, který je součástí některých URL, a číselné ID, které se používá v datových strukturách a jinde v URL
  • volitelně přezdívka, volitelně jméno a příjmení – jedním z toho je člověk identifikován pro uživatele
  • uživatelský profil, ve kterém jsou volitelně různé informace o uživateli
Zajímalo by mne hlavně to, jakým způsobem by nově s použitím OpenID probíhali tyto procesy (pokud by se na nich něco změnilo):
  • registrace nového uživatele
  • změna profilu uživatele (editace na Abíčku, editace u OpenID poskytovatele – kdy se údaje přenesou)
  • přihlášení uživatele
  • automatické přihlášení uživatele
  • zaslání hesla/změna hesla, pokud by takové možnosti pro uživatele s OpenID existovaly
  • vložení komentáře/dotazu od neregistrovaného uživatele s OpenID (pokud by to bylo odlišné od neregistrovaného uživatele)
13.2.2008 14:50 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
minimální varianta: Prostě "místo" (může to být volitelně) pole heslo, bude pole OpenID. Vše ostatní zůstane stejné. Já budu dál mrzout, blog mrzutej, jen při přihlašování nebudu psát heslo abc, ale ověřím totožnost přes openID.

optimální varianta: V profilu si budu moci zaškrtnout checkbox "zveřejnit openid" (samozřejmě takové, u kterého mne abc ověřilo), čímž se budu moci pro třetí stranu (čtenáře) přihlásit ke své globální identitě.
Hlasuj pro zavedení OpenID na Abclinuxu!
13.2.2008 14:52 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
Tím pole jsem myslel pole v databázi. Při přihlašování je login zbytečný, ale budiž.
Hlasuj pro zavedení OpenID na Abclinuxu!
13.2.2008 15:04 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Aha, takže pro neregistrované uživatele to bude stejné, a pro registrované uživatele s OpenID bude rozdíl jedině v tom, že místo automatického přihlášení na základě cookie napíšu dlouhé OpenID, budu přesměrovánna stránku poskytovatele OpenID, tam potvrdím, že AbcLinuxu důvěřuju a budu přesměrován zpátky. Místo nahrání jedné stránky a automatického ověření tedy budu muset napsat OpenID, autorizovat server AbcLinuxu.cz a to celé přes několik přesměrování. To se fakt vyplatí.
13.2.2008 21:54 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
Pravda, v úvaze jsem došel jen k přihlašování pro registrované uživatele. Jako jednomu z nich by mi to pro začátek stačilo.

Vychytávky typu umožnit přispívat do diskuze bez registrace jen na základě platného openID, plus pozdější připojení takto zapsaných záznamů k vytvořenému profilu se stejným openID, by sice potěšili, ale v první fázi by být IMHO nemuseli.

Samozřejmě že přihlašování s OpenID jde udělat tak, aby otravovalo. Ale je to rozhodnutí autora.

Přihlašování přes cookie? Proč by to nemělo fungovat s OpenID? Prostě se jednou přihlásím, abclinuxu si uloží cookie s informací kdo jsem a příště se toto použije. Trvalé přihlášení na seznam.cz myslím funguje podobně, že počáteční ověření proběhlo přes openID a ne přes heslo je přeci úplně jedno.

Přihlašovací dialog může nechat zadat openID nebo login a heslo. Pokud tam bude openID, tak přesměruje. Po návratu jde tamtéž co platné přihlášení přes heslo. Je tam jen jedno načtení stránky navíc, to já rád podstoupím. Podruhé už budu považován dáíky cookie za přihlášeného, bude-li to implemetováno dobře a ne se záměrem dokázat,že je openID nesmysl.
Hlasuj pro zavedení OpenID na Abclinuxu!
pavlix avatar 14.2.2008 23:59 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
dlouhé OpenID
Tím dlouhým OpenID jsi myslel pavlix.net?
autorizovat server AbcLinuxu.cz?
Což uděláš jen jednou (pak si openid server abclinuxu zapamatuje).... nebo pokud dovolíš OpenID autorizovat všecko, tak ani jednou.
To se fakt vyplatí.
Vyplatí.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 12:59 Honza Jaroš | skóre: 4 | Bohnice
Rozbalit Rozbalit vše Re: OpenID
Každý si může založit doménu a na ni rozchodit vlastní OpenID a tím se všude přihlašovat.
Nějak mi uniká, co pořád všichni mají s tou doménou. OpenID server nepotřebuje vlastní doménu, směrodatné je URL. Na jedné doméně tudíž může být více OpenID serverů a naopak - URL OpenID serveru nemusí doménu obsahovat vůbec a mít místo ní IP adresu.
13.2.2008 13:11 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Mají s tou doménou to, že URL (jehož součástí je doména) je součástí jednoznačné identifikace identity, a není možné je změnit. kdo ovládá doménu, ovládá všechny identity, které mají danou doménu v URL, když doména zanikne, zanikají všechny identity. IP adresa místo domény není řešení, zachovat si jednu stálou IP adresu je ještě těžší, než si udržovat doménu.
13.2.2008 14:12 Honza Jaroš | skóre: 4 | Bohnice
Rozbalit Rozbalit vše Re: OpenID
Víte jistě, že reagujete na můj příspěvek? Protože vaše polemika se s ním poněkud míjí. Nebavím se o tom, kdo co ovládá, bavím se o tom, že doména není nutnou součástí provozu OpenID. Stejně jako třeba v případě webu. Technicky jde o URL, ne o doménu - tu ostatně zrovna tak může ovlivnit můj správce DNS, pokud už chcete být jó paranoidní.
13.2.2008 15:00 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
To URL se ale nepoužívá jenom jako identifikátor (jako třeba u jmenných prostorů XML), ale je to skutečně adresa, kterou bude server číst. Takže pokud se někde přihlásím s OpenID http://example.com/filip.jirsak, bude ten, kdo tohle URL ovládá (tedy ten, kdo ovládá doménu example.com) mít v moci mou identitu. A to se netýká jenom nynějška, ale i budoucnosti. Tzn. když já něco letos napíšu pod touhle identitou, a za rok mne ta doména přestane bavit a opustím ji, ten, kdo ji získá po mně, může tuhle identitu ovládnout a tvrdit, že ty komentáře psal on. Může mi (třeba tady na Abičku) měnit zápisky v blogu, přidá si tam odkazy na nějaké svoje stránky… Ne že by mi třeba na tomhle konkrétním komentáři tak záleželo, ale že bych chtěl začít používat technologii, kde k téhle „ztrátě identity“ zákonitě musí dojít? (Stačí, když si vzpomenu, kolik už jsem změnil e-mailů…)
13.2.2008 15:03 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
A jak by to udelal? Nema prece tvoje heslo.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 15:07 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
K čemu by mu bylo. Vždyť on ovládá ten stroj, který hesla ověřuje. Tak si to heslo nastaví, jaké bude chtít, nebo si tam nainstaluje OpenID providera, který heslo nevyžaduje.
13.2.2008 15:10 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Uf, trochu se v tom co pises ztracim. Kdyz te prestane bavit nejake tvoje OpenID a zrusis si ho a neupdatnes ucty na serverech kde si to OpenID pouzival, tak ano. Stejne to funguje s telefonnimi cisly, emaily, klasickymi adresami, proste se vsim.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 15:17 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Pokud OpenID nezruším sám, ale bude mi zrušeno, nemusím mít vůbec šanci někde něco přeregistrovávat, i kdyby to server uměl. A rozhodně si nebudu pamatovat, kde všude jsem OpenID použil, abych ho přeregistrovával.

S telefonními čísly, e-maily či kalsickými adresami to takhle nefunguje. Tam se při změně mění od teď do budoucnosti, ale nemění se historie. S OpenID se změní historie. Jako kdyby se někdo přestěhoval na vaši bývalou adresu, a rázem měl všechno, co jste na té adrese kdy měl vy. Nebo kdyby získal vaše telefonní číslo, a s ním i všechny vaše minulé telefonní hovory.
13.2.2008 15:24 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Bude ti zruseno? Co to je za blbost? To ze si nepamatujes kde vsude si registrovany, je tvoje blbost.

Kdyz nekdo ziska moje telefonni cislo a vi kdo jsem, tak se za mne muze velice efektivne vydavat a tim ziskava vsechno. To same plati pro emailovou adresu (OK, pro realnou adresu az tak moc ne).
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 15:40 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Bude ti zruseno? Co to je za blbost?
Můj poskytovatel OpenID přestane existovat, nebo se na mne naštve, a přestane poskytovat službu mně. Vyprší platnost mojí domény a než si ji stihnu zaregistrovat znova, zaregistruje si ji někdo jiný. Skončí webhosting, na kterém jsem měl delegující web stránku. Nebo stačí jenom to, že webhosting s delegující stránkou někdo hackne, na chvíli si přesměruje OpenID k sobě a někde mne přeregistruje na jiné OpenID.

To ze si nepamatujes kde vsude si registrovany, je tvoje blbost.
To je to, o čem tu celou dobu mluvím. OpenID je strašně nevyvážené. Tohle je další věc. Mám se s ním snadno přihlašovat, kam mne napadne, ale pak abych si vedle na papír psal, kam jsem se všude přihlásil. To už si vedle můžu psát i ty hesla…
Kdyz nekdo ziska moje telefonni cislo a vi kdo jsem, tak se za mne muze velice efektivne vydavat a tim ziskava vsechno. To same plati pro emailovou adresu (OK, pro realnou adresu az tak moc ne).
Ne, když někdo získá moje telefonní číslo, může se vydávat za mne od okamžiku získávání čísla dál do budoucnosti. Ale nemění se tím nic ohledně telefonních hovorů uskutečněných v minulosti. Ty staré telefonní hovory byly stále uskutečněny mezi vámi a někým, ne mezi novým majitele čísla a někým.
13.2.2008 15:46 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Můj poskytovatel OpenID přestane existovat, nebo se na mne naštve, a přestane poskytovat službu mně. Vyprší platnost mojí domény a než si ji stihnu zaregistrovat znova, zaregistruje si ji někdo jiný. Skončí webhosting, na kterém jsem měl delegující web stránku. Nebo stačí jenom to, že webhosting s delegující stránkou někdo hackne, na chvíli si přesměruje OpenID k sobě a někde mne přeregistruje na jiné OpenID.
Prestane existovat - pak mi to OpenID nemuze nikdo ukrast. Kdyz se na mne nastve PostSignum (certifikacni autorita) tak muzou dat muj kvalifikovany certifikat (ekvivalent notarsky overeneho podpisu) nekomu jinemu. Kdyz nekdo hackne web kde mas stejne heslo jako na jinych webech, tak mas stejny problem. Zbytek je tvoje blbost.
Ne, když někdo získá moje telefonní číslo, může se vydávat za mne od okamžiku získávání čísla dál do budoucnosti. Ale nemění se tím nic ohledně telefonních hovorů uskutečněných v minulosti. Ty staré telefonní hovory byly stále uskutečněny mezi vámi a někým, ne mezi novým majitele čísla a někým.
To same plati pro OpenID. Kdyz nekdo ziska moje OpenID tak se muze za mne zacit vydavat.
To je to, o čem tu celou dobu mluvím. OpenID je strašně nevyvážené. Tohle je další věc. Mám se s ním snadno přihlašovat, kam mne napadne, ale pak abych si vedle na papír psal, kam jsem se všude přihlásil. To už si vedle můžu psát i ty hesla…
Neni nevyvazne, jenom resi jednu konkretni vec, protoze ty ostatni uz resi jiny sluzby/protokoly.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 16:10 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Prestane existovat - pak mi to OpenID nemuze nikdo ukrast.
Do té doby, než začne existovat někdo jiný, se stejnou adresou. Jakmile se tak stane, identita je zcizena.
Kdyz se na mne nastve PostSignum (certifikacni autorita) tak muzou dat muj kvalifikovany certifikat (ekvivalent notarsky overeneho podpisu) nekomu jinemu.
Oni se na vás nemusí naštvat, stačí, když jim předání vašeho certifikátu odsouhlasíte. A i vy sám budete svůj certifikát zveřejňovat, pokud vám má k něčemu být. Nepleťte si certifikát veřejného klíče s klíčem soukromým. Soukromý klíč máte naopak jenom vy, certifikační autorita ani nikdo jiný ho nemá. Dokud se na sebe nenaštvete vy sám, je použití soukromého klíče a certifikátu bezpečné.
Kdyz nekdo hackne web kde mas stejne heslo jako na jinych webech, tak mas stejny problem. Zbytek je tvoje blbost.
Jenže OpenID je prezentováno jako lék na daleko méně závažné blbosti. Takže uživatel OpenID musí být jednak totální budižkničemu, aby se mu vyplatilo používat OpenID místo něčeho lepšího, jednak musí být pomalu bezpečnostní expert, aby si správně vybral poskytovatele OpenID, dostatečně silné heslo, zařídil, aby nikdo nemohl jeho OpenID napadnout ze strany uživatele…
To same plati pro OpenID. Kdyz nekdo ziska moje OpenID tak se muze za mne zacit vydavat.
Máte to tu písemně :-) Ne „může začít“ – když někdo získá moje OpenID, stává se jeho majetkem i vše, co jsem až dosud pod tímhle OpenID dělal. Pokud jsem třeba složil básničku a dal jí na blog chráněný OpenID, okamžikem zcizení OpenID se on fakticky stává jejím autorem. Protože na webu jsem tu básničku nenapsal já, ale ta identita OpenID. A tu identitu nyní ovlává on.
13.2.2008 16:23 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Do té doby, než začne existovat někdo jiný, se stejnou adresou. Jakmile se tak stane, identita je zcizena.
Ale houby, precti si uz konecne jak to funguje.
Oni se na vás nemusí naštvat, stačí, když jim předání vašeho certifikátu odsouhlasíte. A i vy sám budete svůj certifikát zveřejňovat, pokud vám má k něčemu být. Nepleťte si certifikát veřejného klíče s klíčem soukromým. Soukromý klíč máte naopak jenom vy, certifikační autorita ani nikdo jiný ho nemá. Dokud se na sebe nenaštvete vy sám, je použití soukromého klíče a certifikátu bezpečné.
To je sice hezke ze certifikacni autorita muj soukromy klic nema, ale muze klidne vydat klic s mym jmenem nekomu jinemu a ten muj zneplatnit.
Jenže OpenID je prezentováno jako lék na daleko méně závažné blbosti. Takže uživatel OpenID musí být jednak totální budižkničemu, aby se mu vyplatilo používat OpenID místo něčeho lepšího, jednak musí být pomalu bezpečnostní expert, aby si správně vybral poskytovatele OpenID, dostatečně silné heslo, zařídil, aby nikdo nemohl jeho OpenID napadnout ze strany uživatele…
Ne, to jenom ty tady porad pises ze OpenID je nanic protoze neresi veci, ktere proste resit nema a nikdo netvrdi ze je resit ma nebo kdy mela. To ze mam mit silne heslo vi kazdy nouma, jenomze protoze si silne heslo nedokaze zapamatovat (duplem kdyz mam mit vsude jine, nebo je pravidelne menit) tak ma kazdy pitome slabe hesla.
Máte to tu písemně :-) Ne „může začít“ – když někdo získá moje OpenID, stává se jeho majetkem i vše, co jsem až dosud pod tímhle OpenID dělal. Pokud jsem třeba složil básničku a dal jí na blog chráněný OpenID, okamžikem zcizení OpenID se on fakticky stává jejím autorem. Protože na webu jsem tu básničku nenapsal já, ale ta identita OpenID. A tu identitu nyní ovlává on.
Coze? Jak basnicka chranena OpenID? Jses ozralej nebo co? Kdyz mam v Ceske sporitelne nastavene overovani pomoci SMS, tak ten kdo ziska moje telefonni cislo se prave stal majitelem obsahu meho uctu.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 16:36 Ignor
Rozbalit Rozbalit vše Re: OpenID
Ale houby, precti si uz konecne jak to funguje.
Já jsem četl specifikaci a nenašel jsem tam nic, co by bylo v rozporu s jeho tvrzením. Muzes to teda prosim vysvetlit? Rád bych věděl, jak to s tím openid je.
13.2.2008 17:50 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Prehlid jsem se, je tam uvedeno ze kontrola je volitelna.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 18:47 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Řekl bych, že je to navíc kontrola něčeho jiného (jenom pravosti údajů v aktuální session). Pro kontrolu toho, že dvakrát po sobě komunikuji se stejným OpenID poskytovatelem, by OpenID poskytovatel a server musely mít nějaké společné tajemství (heslo) nebo by OpenID poskytovatel musel serveru poskytnout svůj veřejný certifikát a server by si ho musel uložit spolu s OpenID. V obou případech samozřejmě po odsouhlasení uživatelem, a obojí by samozřejmě musel server kontrolovat. U delegující web stránky by to šlo zabezpečit jedině certifikátem serveru, který by delegující stránku hostoval, takže by delegující stránka musela být pod HTTPS.

Ovšem ani v jednom případě mi není moc jasný postup legální změny certifikátu serveru (ať už OpenID, nebo serveru hostujícího delegující stránku). Protože to by v nějakém okamžiku musel server (se starým certifikátem) nějak oznámit, že bude přecházet na nový, přechod by se musel uskutečnit v nějakém časovém okně, kdy by si server (portál) musel certifikát u uživatele vyměnit, a během té doby by musely platit oba dva certifikáty… Prostě jako studie by to popsat šlo, ale reálně by se to používat nedalo.
13.2.2008 18:49 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
by OpenID poskytovatel a server musely mít nějaké společné tajemství
Necekane prave o tom se v popisu pise. Aspon vidim ze si to ani nevidel.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
13.2.2008 19:01 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
A kde konkrétně? Tak podrobně jsem specifikaci zase nečetl, abych to nemohl přehlédnout. Každopádně pokud OpenID poskytovatelem má mít se serverem, kam se uživatel přihlašuje, nějaké společné tajemství, musí mít evidenci serverů, kam se někdo přihlásil, a má-li to být opravdu bezpečné, musí to být tajemství unikátní pro každý pár server–uživatel. Takže z toho plyne u poskytovatele OpenID existence seznamu serverů, na které se uživatel přihlásil, což je zase v rozporu s tím, co tady někdo tvrdil.
pavlix avatar 15.2.2008 00:08 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Si to najdi, ne :). Jo... věci, co tvrdí různí lidé jsou v rozporu dost často :D. Zvlášť, když má většina z nich jen povrchní znalosti.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 11:39 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Proč bych to hledal, když jsem přesvědčen o tom, že to tam není? To bude muset udělat někdo, kdo chce moje tvrzení vyvrátit.
pavlix avatar 15.2.2008 12:10 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Shared secret se na OpenID používá.

To že jsi přesvědčen o tom, že něco není ve specifikaci, kterou jsi nečetl, je moc hezký. Ale šířit takové přesvědčení a vést za něj slovní svaté války ti tu vybuduje špatnou pověst.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 13:55 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Shared secret se na OpenID používá.
Ano, používá. Ale já jsem napsal tohle:
OpenID poskytovatel a server by musely mít nějaké společné tajemství
A nějaké společné tajemství, které používá OpendID a u kterého není jisté, kdo všechno ho ví, a společné tajemství právě a jen serveru a OpenID poskytovatele jsou dvě naprosto odlišné věci. To druhé je skutečné zabezpečení toho, že server komunikuje se správným poskytovatelem OpenID. To první je pouze aplikace principu „kdo dřív přijde, ten dřív mele“, ovšem nikde nemáte zaručeno, že jako první přijde „ten hodný“. A nejde jen o ustavení asociace, ale i o její změnu. Nebo snad někde v popisu protokolu vidíte, že uživatel musí každé ustavení i změnu „společného tajemství“ schválit?
xkucf03 avatar 15.2.2008 14:43 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
To druhé je skutečné zabezpečení toho, že server komunikuje se správným poskytovatelem OpenID Nečetl jsem celou diskusi, ale: k čemu máme TLS/SSL a certifikáty podepsané důvěryhodnou autoritou?
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
15.2.2008 15:03 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Pokud něco funguje na principu „tento klíč byl kompromitován, příště použijte následující klíč“, to celé podepsáno oním kompromitovaným klíčem, těžko to lze považovat za bezpečné. Certifikáty podepsané důvěryhodnou autoritou se v OpenID nevyskytují, tam je důvěryhodný ten certifikát, který se objeví jako první.
xkucf03 avatar 15.2.2008 15:46 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
šlo mi o HTTPS šifrování komunikace mezi OpenID serverem a serverem poskytujícím službu. Někdy se sice používá prosté HTTP, ale nebyl by snad problém HTTPS vynutit a pak můžeme věřit, že když komunikujeme s https://openid.cz, že je to skutečně openid.cz.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
15.2.2008 16:21 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
To ano, ale už nevím, zda je to to samé openid.cz, jako včera.
xkucf03 avatar 15.2.2008 16:40 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
hmm, předpokládáš, že doména změní vlastníka... To je ale neřešitelný problém. Ve svém článku píšu, že existují jiné (asi i lepší) podobné systémy. Ale tomuto problému se člověk tak jako tak nevyhne. Buď tu bude centrální registr (případně DNS) a pak jsme závislí na provozovateli toho registru (případně na tom, že se vlastník domény nezmění) nebo budeme používat certifikáty a pak ale stojíme před rizikem, že si někdo vygeneruje pár klíčů se stejným hashem jako my (což je nepravděpodobné, ale vyloučit to nelze) a pak bude cizí člověk vystupovat naším jménem.

Zatímco Jabber ID nebo OpenID url nebo e-mail si člověk zapamatuje nebo napíše na vizitku, s hashem veřejného klíče už je to horší. Navíc, abych mohl někoho kontaktovat na základě jeho identity (hashe), tak stejně musí existovat nějaký registr, pomocí něhož ho dohledám.

Nejlepší by bylo použít nějaký přirozený jedinečný identifikátor (PK člověka), ale to moc nejde. Beztak by ale musel nějaký registr existovat.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 15.2.2008 17:44 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Tak existuje DNS, pokud někdo svůj veřejný identifikátor pustí, je to jeho problém.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 15.2.2008 18:43 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Jinak neřešitelný problém to není, dá se jako identifikátor používat dostatečně bezpečný hash nějakého soukromého klíče, zkusím to prozkoumat... a podívám se, jestli pánové od OpenID na něčem takovém nepracují jako na alternativně k ověřování pomocí DNS (a jiných) registrů.

Ovšem takový identifikátor si člověk běžně nepamatuje, bylo by vhodné mít na to podporu nějakého software.

Pak ještě vyvstává problém s nedůvěryhodnými počítači... ale co, uživatel si může koupit nějakou tu "chytrou klíčenku", že? Jo... a ještě by to chtělo, aby tu klíčenku neztratil.

Problém je řešitelný, ale řešení není ani jednoduché ani levné (z globálního pohledu).

Proto je potřeba v základní variantě nabídnout jednoduché ověřování pomocí DNS registru a ověřovacího serveru. To může bez problémů použít každý, kdo má účet na nějakém OpenID serveru (nebo třeba Jabber ID a použít xmppid.net).

Pro lidi s náročnějšími potřebami pravděpodobně časem přijdou další metody.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 19:22 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
hmm, předpokládáš, že doména změní vlastníka... To je ale neřešitelný problém. Ve svém článku píšu, že existují jiné (asi i lepší) podobné systémy. Ale tomuto problému se člověk tak jako tak nevyhne. Buď tu bude centrální registr (případně DNS) a pak jsme závislí na provozovateli toho registru (případně na tom, že se vlastník domény nezmění) nebo budeme používat certifikáty a pak ale stojíme před rizikem, že si někdo vygeneruje pár klíčů se stejným hashem jako my (což je nepravděpodobné, ale vyloučit to nelze) a pak bude cizí člověk vystupovat naším jménem.
To není neřešitelný problém. Onen centrální registr lze s certifikáty propojit. Centrální registr (nebo registry, certifikační autority) zajistí unikátnost páru veřejný klíč–CA (z čehož je odvozena unikátnost páru soukromý klíč–CA). Důvěryhodná třetí strana (CA) zde usnadňuje komunikaci, ale pořád nemusí mít bezvýhradnou důvěru. Pokud by CA selhala a vydala certifikát pro stejnou „identitu“ ale s jiným párem klíčů, lze pořád ještě kdykoli (i zpětně) dohledat, co bylo podepsáno pravým párem, a co tím falešným. Tohle u OpenID nefunguje – pokud selže OpenID a povolí přístup někomu jinému, než je právoplatný uživatel, nelze to už nikdy dohledat ani dokázat. Jako poslední instance tady funguje poskytovatel OpenID, nikoli ona „identita“.

Jenomže to už vymýšlíme vymyšlené – autorizaci klientským certifikátem v HTTPS (to konkrétně na webu, jinak autorizaci klientským certifikátem obecně).
pavlix avatar 15.2.2008 17:44 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Certifikáty podepsané důvěryhodnou autoritou se v OpenID nevyskytují
Přečti si něco o HTTPS a TLS/SSL. Díky moc.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 15.2.2008 17:47 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Jen ještě pro doplnění... OpenID je samozřejmě možné a běžné používat bez certifikátů, ale pokud OpenID Consumer (server kam se chcete zalogovat - pro ty, co ještě neviděli specifikaci a jenom chrlí moudra) bude přijímat jen zabezpečená OpenID, nevidím v tom problém.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 19:04 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Jak souvisí HTTPS certifikát s OpenID identifikátorem? HTTPS zabezpečuje jednu session, nezabezpečuje, že https:/example.com ovládá dneska stejný majitel, jako zítra.
pavlix avatar 15.2.2008 17:49 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
okud něco funguje na principu „tento klíč byl kompromitován, příště použijte následující klíč“, to celé podepsáno oním kompromitovaným klíčem, těžko to lze považovat za bezpečné.
A tímhle způsobem funguje co?
Certifikáty podepsané důvěryhodnou autoritou se v OpenID nevyskytují, tam je důvěryhodný ten certifikát, který se objeví jako první.
RTFM a nevymýšlej si kraviny.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 19:07 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Že byste si tu specifikaci prozměnu přečetl vy? Doporučuji tu část o shared -secret. Že se můžou certifikáty podepsané důvěryhodnou třetí stranou vyskytnout v transportní vrstvě pro ten protokol absolutně nic neznamená. To je jako byste dovozoval, že když se webová stránka přenese protokolem HTTPS, údaje na ní budou určitě pravdivé…
pavlix avatar 15.2.2008 17:40 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
To první je pouze aplikace principu „kdo dřív přijde, ten dřív mele“
Není. Je to aplikace principu, kdo přijde, ten bere, bez ohledu na to, jestli byl první. Shared secret se používají z jiného důvodu, ale o tom už jsem v nějakém komentáři psal, nebudu se opakovat.
Nebo snad někde v popisu protokolu vidíte, že uživatel musí každé ustavení i změnu „společného tajemství“ schválit?
Protokol nepopisuje uživatelské rozhraní. Takže tenhle dotaz je trochu mimo.

Jen pro upřesnění, shared secred v OpenID je (psal jsi, že není), ale neslouží (jak si asi sám dokážeš domyslet) ke kontrole vlastnictví domény.

K tomu slouží ve slabším případě DNS samotné, v trochu silnějším případě certifikáty (ale přečti si příspěvek od Santiaga).

Ke univerzálnímu kryptografickému ověření jedince doporučujou používat digitální podpis a ne hesla nebo ověřování pomocí serveru (ať už OpenID nebo jiné řešení).

OpenID slouží k ověření kontroly nad konkrétní doménou, případně URL, které se pak používá jako identifikátor. Tento účel splňuje myslím dobře.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 19:09 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
OpenID slouží k ověření kontroly nad konkrétní doménou, případně URL, které se pak používá jako identifikátor. Tento účel splňuje myslím dobře.
Konečně něco, na čem se shodneme. Teď už zbývá jen vyřešit otázku, proč je tohle vydáváno za ověření identity.
xkucf03 avatar 15.2.2008 23:09 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Stačí když identitu pojememe jako "ten kdo vládne daným URL", místo pojetí "konkrétní lidská bytost"

Je to vlastně taková identita znějící na držitele :-) Vždyť když ověřujeme heslo nebo certifikát, taky neidentifikujeme, jestli je to ten konkrétní člověk, ale to, jestli je to držitel soukromého klíče nebo znalec hesla.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
16.2.2008 11:24 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Stačí když identitu pojememe jako "ten kdo vládne daným URL", místo pojetí "konkrétní lidská bytost"
V lidské společnosti považujeme za údaje dostatečně identifikující identitu i jméno, příjmení a datum narození (případně ještě bydliště, místo narození nebo RČ). To je myslím dostatečné. Ale hlavně, tohle je identita, kterou člověk jednou nabyde, a pokud sám nic aktivně neudělá, nemůže o ni přijít. Zatímco OpenID identita je něco, o co se člověk musí neustále pečlivě starat, jinak o tu identitu přijde. To je v rozporu s důležitou zásadou bezpečnosti – bezpečný systém musí při chybě nebo nečinnosti spadnout do bezpečnějšího stavu, ne do méně bezpečného.
Je to vlastně taková identita znějící na držitele :-) Vždyť když ověřujeme heslo nebo certifikát, taky neidentifikujeme, jestli je to ten konkrétní člověk, ale to, jestli je to držitel soukromého klíče nebo znalec hesla.
Ano, jenomže certifikáty i hesla mají tu možnost říci „tohle heslo už neplatí, bylo prozrazeno“. A tohle se ověřuje způsobem nezávislým na původním certifikátu nebo hesle. U OpenID tohle neplatí, tam prostě záleží na tom, kdo bude rychlejší.

To je zajímavé, jak se všichni bojí velkého bratra v podobě státu nebo velkých firem, ale když se pak objeví systém, který při nečinnosti vede k méně bezpečnému stavu, systém, ve kterém důvěryhodnou třetí stranu nelze nijak kontrolovat, tak se k němu hned spousta lidí hrne, protože je to pohodlnější. Každý si pořád představuje omezení svobody jako něco, k čemu nás někdo musí násilím donutit. Vůbec ne, stačí nabídnout zdánlivé pohodlí…
xkucf03 avatar 16.2.2008 13:38 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Zatímco OpenID identita je něco, o co se člověk musí neustále pečlivě starat, jinak o tu identitu přijde.
Chápu, o co ti jde, ale obávám se, že se tu přeme o něco, co nejde vyřešit. Nezastávám se OpenID jako takového, ale spíš konceptu důvěryhodné třetí strany, který je z mnoha důvodů výhodný (ale nevýhody má taky, o tom žádná). Shrňme si možnosti:
  • Důvěryhodná třetí strana - spoléháme se na její důveryhodnost a trvalost, případně i na trvalost DNS záznamů.
  • Klasické přihlašování jménem a heslem - identita je nezávislá na třetí straně, ale zase když zapomenu heslo tak mám smůlu. To se řeší posíláním hesla na e-mail ale pak jsme na tom úplně stejně jako při použití důvěryhodné třetí strany, protože až můj poskytovatel e-mailu ukončí činnost a jeho doménu převezme někdo jiný, mám smůlu a mojí identity se zmocní někdo jiný.
  • Použití asymetrické kryptografie - což je super a bezpečné, ale má to taky nevýhody: certifikát musím nosit s sebou, teoreticky mohou vzniknout dva různé klíče se stejným hashem a dva lidé tak budou sdílet jednu identitu. Nutnost existence nějakých registrů pro zpětné dohledání - když někomu dám svůj e-mail, Jabber ID nebo OpenID, tak ví, kde mě má hledat, když si na vizitku napíšu hash svého veřejného klíče, tak mě bez registrů nebude schopný kontaktovat.
Obávám se, že dokonalé řešení neexistuje, vždycky to bude mít výhody a nevýhody. Pokud dokonalé řešení máš, tak to napiš a nemusíme se tu hádat. A ještě díky tomu budeš slavný a bohatý. :-) Ačkoli OpenID není dokonalé, přijde mi celkem fajn pro přihlašování na různé méně důležité weby, blogy, diskusní fóra - člověk může např. kdekoli zanechat svůj komentář, aniž by se musel nějak složitě registrovat (což je vopruz hlavně u stránek, kam člověk nemá v úmyslu chodit pravidelně).
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
16.2.2008 14:07 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Už jsem to to psal – koncept důvěryhodné třetí strany a asymetrické kryptografie lze spojit do jednoho. Tím se zaručí, že nedojde ke kolizi identit (protože identita není určena jenom klíčem, ale dvojicí klíč–autorita – a autorita už si pohlídá, aby nepodepsala dva stejné klíče pro různé identity). Zároveň ale asymetrická kryptografie omezí absolutní moc důvěryhodné třetí strany, protože umožní ji kontrolovat a i v případě jejího selhání umožní zpětně určit, co bylo legální a co vzniklo až důsledkem selhání autority.

O rozdílu mezi změnou/ztrátou e-mailu a ztrátou OpenID už jsme tu psal několikrát. E-mail je svázaný s časem vzniku – e-maily odeslané na určitou adresu před změnou dorazí jednomu adresátovi, odeslané na tutéž adresu po změně dorazí druhému adresátovi. Ale záleží na to času odeslání, ne na času, kdy to zkoumáte. OpenID tuhle provázanost s časem nemá, to je svázané vždy s aktuálním časem. Takže vše, co nějak souvisí s nějakým OpenID, ať to vzniklo kdykoli, je svázáno s jednou identitou – a to s tou, která aktuálně vlastní OpenID, které ověřujete.
Ačkoli OpenID není dokonalé, přijde mi celkem fajn pro přihlašování na různé méně důležité weby, blogy, diskusní fóra - člověk může např. kdekoli zanechat svůj komentář, aniž by se musel nějak složitě registrovat (což je vopruz hlavně u stránek, kam člověk nemá v úmyslu chodit pravidelně).
Jenomže to je problém toho webu, že neumožňuje anonymní (neregistrované) příspěvky sám od sebe, ale zprovozní je až v souvislosti s tím, že zavede OpenID. Kdyby povolil anonymní příspěvky sám od sebe, bude výsledek stejný. Takže to co vy požadujete za přínos není důsledek zavedení OpenID. Kdyby OpenID nebyl žádný protokol, ale nálepka „tento web nevyžaduje registraci“, fungovalo by úplně stejně (resp. ještě lépe, protože ani OpenID nevylučuje, že se budete muset registrovat).
xkucf03 avatar 16.2.2008 14:53 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
E-mail je svázaný s časem vzniku – e-maily odeslané na určitou adresu před změnou dorazí jednomu adresátovi, odeslané na tutéž adresu po změně dorazí druhému adresátovi. Ale záleží na to času odeslání, ne na času, kdy to zkoumáte. OpenID tuhle provázanost s časem nemá, to je svázané vždy s aktuálním časem.
Když např. napíšu komentář 16.2.2008 14:26, a identifikuji se pomocí OpenID https://frantovo.cz/openid, tak to znamená, že ten komentář psala osoba, který k okamžiku 16.2.2008 14:26 vládla adresou https://frantovo.cz/openid. Což mi přijde jako pro komentáře bohatě dostačující.

Certifikáty jsou fajn, ale hodí se až na ty důležitější věci, protože mají jednu celkem zásadní nevýhodu: musím ho nosit s sebou. U méně důležitých věcí, raději obětuji kousek bezpečnosti a budu používat obyčejná hesla nebo OpenID, protože je to pohodlnější a pro daný účel dostatečně bezpečné.
Kdyby povolil anonymní příspěvky sám od sebe, bude výsledek stejný.
Na svém webu mám možnost jak klasické registrace (jméno/heslo), tak přihlášení pomocí OpenID, tak i možnost psaní anonymních příspěvků (matematická captcha). Pokud se pod svůj názor někdo podepíše (buď heslem nebo pomocí OpenID), tak tomu přikládám větší vážnost než nějakému anonymnímu výkřiku. Nicméně nechávám na rozhodnutí každého, jak chce vůči ostatním vystupovat.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
16.2.2008 15:52 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Když např. napíšu komentář 16.2.2008 14:26, a identifikuji se pomocí OpenID https://frantovo.cz/openid, tak to znamená, že ten komentář psala osoba, který k okamžiku 16.2.2008 14:26 vládla adresou https://frantovo.cz/openid. Což mi přijde jako pro komentáře bohatě dostačující.
V jakémkoli čase jiném než 16.2.2008 14:26 už ale nedokážete určit, která osoba to je. Pouze můžete říci, že je tu jistá možnost, že je to ta samá osoba, která tou adresou vládla o 10 minut později nebo jí vládne teď.
Na svém webu mám možnost jak klasické registrace (jméno/heslo), tak přihlášení pomocí OpenID, tak i možnost psaní anonymních příspěvků (matematická captcha). Pokud se pod svůj názor někdo podepíše (buď heslem nebo pomocí OpenID), tak tomu přikládám větší vážnost než nějakému anonymnímu výkřiku. Nicméně nechávám na rozhodnutí každého, jak chce vůči ostatním vystupovat.
A tohle bude fungovat přesně jenom do té doby, než se OpenID rozšíří. Jakmile se rozšíří, všimnou si ho spammeři a různí šibalové, a vaše registrace bude mít zase jen dvě možnosti – jedna bude registrace na vašem serveru, která se následně bude ověřovat heslem nebo OpenID, druhá možnost bude anonymní příspěvek, ke kterému uživatel může napsat svoje neověřené jméno, nebo svoje OpenID – v obou případech chráněné captchou.

Vlastně ne, beru zpět. Spameři si OpenID všimnou dřív, než se rozšíří. Protože celkem záhy zjistí, že rozjet svůj vlastní OpenID server není nic náročného, ale má to pro spamera pozitivní efekt – spousta OpenID webů ho bude považovat za neanonymního uživatele. Ale ještě chvíli si můžete OpenID jako neanonymní identifikaci užívat.
xkucf03 avatar 16.2.2008 17:06 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Ale ještě chvíli si můžete OpenID jako neanonymní identifikaci užívat.
S tím spamem je to pravda, ale budu to řešit, až to přijde. Až se mi tam objeví první spam podepsaný OpenID, tak tam buď přidám captchu nebo OpenID vypnu. Podobně jako až přestane stačit primitivní matematická captcha (sčítání dvou čísel), tak budu muset přejít na silnější zabezpečení.

Snad nechceš, abych psaní komentářů podmiňoval použitím certifikátů? Ty mám sice rád (jsou o stupeň bezpečnější), ale tady bych to považoval za zbytečnou buzeraci.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
16.2.2008 17:22 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Snad nechceš, abych psaní komentářů podmiňoval použitím certifikátů? Ty mám sice rád (jsou o stupeň bezpečnější), ale tady bych to považoval za zbytečnou buzeraci.
Jistě že ne. Jenom bych nevydával OpenID za spásu, která zjednoduší registrace – ty budou pořád stejné. V některých případech to může zjednodušit přihlašování, ovšem ty případy jsou dost ojedinělé – a je poněkud zvláštní, že uživatelé, kterých se tohle týká, nepoužijí nějaké už existující řešení, které mohou začít používat hned. A místo toho čekají, až se začne používat OpenID – pak to prý konečně bude ono.

Ale docela by mne zajímalo, kdy se začne první spam „ověřený“ přes OpenID objevovat – jak jsou spameři rychlí. Jenomže to by znamenalo někde logovat i loginy neúspěšných pokusů, které neprošly přes captchu.
pavlix avatar 17.2.2008 07:23 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Jistě že ne. Jenom bych nevydával OpenID za spásu, která zjednoduší registrace – ty budou pořád stejné.
Jasně jasně...

Pořád budu muset jak blbec vymýšlet lokálně unikátní jméno....

Pořád budu muset vymýšlet zapamatovatelné heslo nebo použít to, co už má dvacet jiných bloggerů v plaintextu na svém disku...

Takovéhle stejné budou registrace?

Nespletl sis OpenID s něčím jiným?
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
17.2.2008 10:10 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Pokud vám na registracích vadí tohle, pak máte asi šťastnou ruku při výběru toho, kam se registrujete. O otravování v souvislosti s registracemi se mluví v souvislosti s nutností zadat e-mail, na který vám přijde ověřovací kód (a vy při tom chcete zadat jediný příspěvek), s nutností zadat všechno možné i nemožné ohledně vás, vaší rodiny a zaměstnání, včetně čísla bot babičky z matčiny strany atd. K nutnosti vymýšlet složitě lokálně unikátní jméno můžu doporučit jediné – zkuste použít jméno.příjmení.
pavlix avatar 17.2.2008 18:52 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Pokud vám na registracích vadí tohle, pak máte asi šťastnou ruku při výběru toho, kam se registrujete.
Co mi zbývá :).

Jinak psát asdf a zxcv umím docela rychle :).

E-mail a nesmyslné otázky se často řeší právě kvůli autentizaci.
K nutnosti vymýšlet složitě lokálně unikátní jméno můžu doporučit jediné – zkuste použít jméno.příjmení.
Díky, nechci. Jednak nemam často zájem publikovat své jméno a příjmení (nebo aspoň ne přímo), jednak se budeš divit, u kolika lidí to není unikátní.

A btw... moje jméno a příjmení si takhle může zaregistrovat každej. Kdyžto globální identifikátor je jenom muj :D.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
xkucf03 avatar 16.2.2008 13:45 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Ano, jenomže certifikáty i hesla mají tu možnost říci „tohle heslo už neplatí, bylo prozrazeno“.
Tak to by mě zajímalo, co mám dělat, když někdo odposlechne moje heslo na Ábíčko. Buď ho nezmění a pak si ho rychle změním já na jiné (kdo dřív přijde, ten dřív mele), nebo mi ho změní on a pak mám smůlu, protože už není cesta dopátrat, kdo je ten pravý xkucf03*. Heslo je možné poslat e-mailem, ale ten si zloděj může změnit na svůj a pak mám taky smůlu.

Když bude prozrazen např. můj OpenPGP certifikát, tak čím podepíšu, že byl prozrazen? Zase tím prozrazeným certifikátem? :-) A řeknu, že nyní používám certifikát s hashem 7eb37c958ffd61381a48ea88a7e348ca. Jenže totéž může udělat ten útočník a já, jakožto skutečný vlastník certifikátu, jsem pak mimo hru. Může pomoci CA, ale ta zase musí být důvěryhodná atd.

*) v mém případě možná jo, protože to je i moje identita ve škole, tak bych možná Leoše nebo Roberta přesvědčil, že to jsem skutečně já :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
16.2.2008 14:19 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Tak to by mě zajímalo, co mám dělat, když někdo odposlechne moje heslo na Ábíčko. Buď ho nezmění a pak si ho rychle změním já na jiné (kdo dřív přijde, ten dřív mele), nebo mi ho změní on a pak mám smůlu, protože už není cesta dopátrat, kdo je ten pravý xkucf03*. Heslo je možné poslat e-mailem, ale ten si zloděj může změnit na svůj a pak mám taky smůlu.
Pokud se všechny identifikační údaje sbíhají u jediného – u hesla – pak šanci opravdu nemáte. Muselo by to být řešeno nezávislým kanálem – např. byste musel mít druhé heslo, které by zabezpečovalo změnu e-mailu, nebo by změnu e-mailu musel potvrdit příjemce původního e-mailu.

OpenID poskytuje ale pouze jednu cestu, takže pokud byste chtěl implementovat ověření změny OpenID, musí to každý server udělat opět svým způsobem – některý může využít druhé přihlašovací jméno a heslo, jiný může použít zaslání ověřovacího kódu na e-mail (který nepůjde přes přihlášení přes OpenID změnit)…
Může pomoci CA, ale ta zase musí být důvěryhodná atd.
Ano, ale důvěryhodná CA znamená zcela něco jiného, než důvěryhodný poskytovatel OpenID. Pokud udělá chybu důvěryhodná CA, je možné takovou chybu odhalit a pak všechny případy rozdělit na ty, které vznikly legálně, a na ty, které vznikly jako důsledek chyby CA. Takže CA je důvěryhodná, ale lze ji kontrolovat. Poskytovatel OpenID musí mít vaši absolutní důvěru – jeho činnost nemůžete zkontrolovat, a pokud udělá něco špatně, je to technicky nerozlišitelné od toho, co jste dělal vy jako legální uživatel.
xkucf03 avatar 16.2.2008 15:01 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Ano, ale důvěryhodná CA znamená zcela něco jiného, než důvěryhodný poskytovatel OpenID. Pokud udělá chybu důvěryhodná CA, je možné takovou chybu odhalit a pak všechny případy rozdělit na ty, které vznikly legálně, a na ty, které vznikly jako důsledek chyby CA. Takže CA je důvěryhodná, ale lze ji kontrolovat. Poskytovatel OpenID musí mít vaši absolutní důvěru – jeho činnost nemůžete zkontrolovat, a pokud udělá něco špatně, je to technicky nerozlišitelné od toho, co jste dělal vy jako legální uživatel.
To nepopírám, ale IMHO je přece potřeba volit vhodný poměr mezi přínosem a újmou daného řešení, než usilovat o 100% bezpečné řešení vždy a všude (čehož stejně nejde dosáhnou).

Když půjdu na vesnici na pivo, tak klidně pojedu na kole a nechám ho opřené před hospodou a budu se spoléhat na to, že ho nikdo neukradne. Když pojedu do Chánova, tak si vezmu auto a najmu si gorilu s baseballkou, která mi ho pohlídá. :-)

Tím chci říct, že je potřeba volit adekvátní úroveň zabezpečení pro danou situaci.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
16.2.2008 18:41 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Tady se porad dokola toci blbosti. OpenID nevylucuje (a zaroven nevynucuje) pouziti CA. To ze to nevynucuje je velice logicky krok. Pak by tento standard byl nelegalni v mnoha zemich (treba ve francii je pouziti silne kryptografie mimo bankovni transakce a statni zpravu trestny cin). Proste kdo bude chtit (a bude moct) pouzije silne zabezpeceni, ten kdo nebude chtit (nebo tam kde to bude zbytecne) se proste pouzije jednoduche zabezpeceni.

To ze OpenID muzu ztratit je fakt, ale od toho mam duveryhodneho poskytovatele, pokud jsem natolik paranoiidni ze neverim nikomu, tak si to holt budu muset ohlidat sam, nebo proste nebudu OpenID pouzivat (tahle moznost tady porad je).
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
16.2.2008 18:59 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
OpenID nevylucuje (a zaroven nevynucuje) pouziti CA. To ze to nevynucuje je velice logicky krok.
V tom případě mám na vás několik otázek: kde najdu seznam certifikačních autorit, kterým má důvěřovat server, který chce OpenID používat (tedy seznam důvěryhodných certifikačních autorit pro OpenID)? Jaký údaj na certifikátu bude CA ověřovat a bude ho podepisovat? Jak CA zajistí, aby certifikát na stejné údaje nebyl vydán v budoucnosti nikomu jinému – bude existovat nějaký centrální registr?

Předpokládám, že nemáte na mysli HTTPS, protože jeho použití je z hlediska toho, o čem se tady diskutuje, nepodstatné. Nebo jste stále ještě nevzal na vědomí, že zabezpečení přenosu (HTTPS) ještě automaticky neznamená, že je důvěryhodný i přenášený obsah?
pavlix avatar 17.2.2008 07:34 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
kde najdu seznam certifikačních autorit, kterým má důvěřovat server, který chce OpenID používat
Seznam důvěryhodných autorit speciálně pro OpenID není potřeba.

Doporučuju přečíst http://en.wikipedia.org/wiki/Certificate_authority.

Certifikát má sloužit k ověření, zda nás DNS a TCP spojení dovedly opravdu k serveru, který obsluhuje dané doménové jméno. Stejným způsobem se dá postupovat u webu obecně, jabber, mailu, SSH a dalších služeb.

Seznam důvěryhodných autorit potom závisí na bezpečnostní politice.
Předpokládám, že nemáte na mysli HTTPS, protože jeho použití je z hlediska toho, o čem se tady diskutuje, nepodstatné. Nebo jste stále ještě nevzal na vědomí, že zabezpečení přenosu (HTTPS) ještě automaticky neznamená, že je důvěryhodný i přenášený obsah?
Samozřejmě, že máme na mysli použití HTTPS místo HTTP k OpenID komunikaci, viz výše.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
17.2.2008 10:22 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Certifikát má sloužit k ověření, zda nás DNS a TCP spojení dovedly opravdu k serveru, který obsluhuje dané doménové jméno.
Čímž ale máte jistotu jedinou, a to že právě teď komunikujete s právoplatným majitelem té domény*). Ale informaci o tom, že je to ten stejný majitel, jako byl včera, nemáte vůbec žádnou. Což je pro identifikaci poněkud hloupé, protože identifikace, která platí jenom v jeden okamžik je celkem k ničemu.

Pokud tvrdíte, že od OpenID takovou identifikaci nepotřebujete, je to vaše věc. Ale mezi tvrzeními „je to bezpečné“ a „není to bezpečné, ale mně to nevadí“ je dost podstatný rozdíl.

*) a teď pomíjím fakt, že může zaniknout vaše právo nakládat s doménou, ale dříve legálně vydaný certifikát vám bude platit až do doby vypršení jeho platnosti nebo jeho revokace. Což je ale problém opačné časové posloupnosti – nejprve by musel doménu vlastnit „ten zlý“ a po něm „ten hodný“. Nicméně pořád má „ten hodný“ šanci začít doménu používat pro bezpečnou komunikaci až s časovým odstupem, kdy bude malé riziko, že by ještě někdo měl certifikát pro doménu platný z dřívějška. Což je mimochodem argument pro vydávání serverových certifikátů na relativně krátkou dobu.
17.2.2008 10:50 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Čímž ale máte jistotu jedinou, a to že právě teď komunikujete s právoplatným majitelem té domény*). Ale informaci o tom, že je to ten stejný majitel, jako byl včera, nemáte vůbec žádnou. Což je pro identifikaci poněkud hloupé, protože identifikace, která platí jenom v jeden okamžik je celkem k ničemu.
Doporucuji si neco precist o tomhle a hlavne o tom proc se to nepouziva: http://en.wikipedia.org/wiki/Mutual_authentication
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
17.2.2008 11:11 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Když to sám používám, nepotřebuju si někde číst o tom, jak je to složité či nákladné, protože si o tom dokážu udělat obrázek sám. Ono pokud řešíte službu, která běží přes HTTPS, je tam elektronické podepisování, takže správa certifikačních autorit, CRL a podobné věci, a klienti mají vystavený přihlašovací certifikát, je HTTPS klientská autentizace ten nejjednodušší způsob přihlášení, který můžete implementovat :-)
17.2.2008 15:46 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: OpenID
Server používající OpenID ani žádný seznam certifikačních autorit mít nemusí, stačí, když uživateli zobrazí nějakou identifikaci certifikátu OpenID serveru, se kterým tu autentifikaci vyřizoval. Paranoidní uživatel si sám ověří, zda se ta identifikace shoduje s realitou. (Přesně tak, jako si dnes vždy svědomitě ověřujeme hash klíče, když nám přijde podepsaný e-mail :-))
pavlix avatar 17.2.2008 18:55 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Zobrazení takové identifikace je víceméně zbytečné. Stejně jako ten klíč v tom mailu.

Jakmile to neověřuješ elektronicky, tak ti na to každej dlabe. (I ty sám.)
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
xkucf03 avatar 16.2.2008 19:58 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Tady se porad dokola toci blbosti.
To je možné. Ale můžeš mi říct, proč to píšeš v reakci na můj příspěvek? :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 17.2.2008 07:05 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Jestli ti můžu doporučit, už to neřeš... a radši odpovídej někde, kde to má smysl.

Filip očividně nechce chápat ani OpenID ani Certifikáty (viz jeho věta o centrálním registru certifikátů). Myslím, že jsme mu věnovali naší snahy a času už dostatek, ne?
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 16.2.2008 00:00 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Protože je to ověření webové identity, tj URL. Skutečnou identitu ověřují jen biometriky a to ještě často ne tak spolehlivě, jak bys chtěl.

Ale chtěl bych vidět, jak si poradíš s biometrikou na vzdálený přihlášení k webu.

Njn, holt se ti systém webové identity buď nelíbí nebo ho nechápeš. Ať tak a nebo tak, máš smůlu.

Holt se udělala lepší náhrada za různý Passporty apod... a nejspíš si ji lidi oblíbí. Co naděláš. Vždycky je část lidí spokojená a část lidí ne.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
16.2.2008 11:33 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Holt se udělala lepší náhrada za různý Passporty apod... a nejspíš si ji lidi oblíbí. Co naděláš. Vždycky je část lidí spokojená a část lidí ne.
Ale jo, když si to lidi oblíbí, já budu taky spokojenej. Aspoň se vyřeší problém s anonymním přihlášením k webům, které anonymní přihlášení normálně neumožňovaly. Stačí udělat veřejný OpenID server, který bez ptaní ověří kterékoli OpenID v jeho doméně, případně poskytne vymyšlené jméno a neexistující e-mail, a anonymní přihlašování je hotovo.
pavlix avatar 17.2.2008 07:18 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Máš smůlu, jdeš pozdě :D.

Hmm, službu na vymýšlení neexistujících e-mailů a nových jmen nepotřebuju, mám fantazie dost. Ale tak pro lidi, co fantazii nemaj to může být dobré, že?

Jo btw... jsem zvědavej, jak budeš na webu ověřovat to jméno, příjmení a datum narození :D.

A nahrazovat captcha OpenID je blbost, to musí být každému průměrně inteligentnímu jedinci jasné. To samé platí pro nahrazování registrace OpenID, akorát tam už musí jedinec začít i přemýšlet.

OpenID řeší přihlašování, plus trochu pomáhá při vyplnění registračního formuláře a některých dalších úkonech.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
xkucf03 avatar 17.2.2008 10:07 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Co mě trochu štve, je implementace OpenID v Drupalu (5) - uživatel s OpenID se musí zaregistrovat prakticky stejně jako bez něj - taky mi na sebe vyzradí e-mail a další věci a musí si tou registrační procedurou prostě projít. OpenID mu registraci akorát usnadní tím, že se tam ty hodnoty předvyplní. Původně jsem si od toho totiž sliboval, že někdo přijde, zadá svoje ID, okomentuje článek a jde pryč.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
17.2.2008 10:28 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Vítejte do světa reálného OpenID. Takhle to totiž dříve či později bude všude – registrace s OpenID bude prakticky stejná, jako registrace bez něj. To, co jste si od toho sliboval, to se snaží pořád nenápadně podsouvat (skoro) všichni, kdo OpenID podporují. Jenomže to tak být nemůže, protože OpenID poskytovatel je důvěryhodné strana pro uživatele; pro server je OpenID poskytovatel stejně nedůvěryhodný, jako kterýkoli jiný anonymní návštěvník. Dokud si tedy server nezačne budovat svůj vlastní seznam důvěryhodných OpenID poskytovatelů. Což by tedy byl zajímavý postup, jak se přes několik řešení postavených na hlavu postupně propracovat k řešení rozumnému.
pavlix avatar 17.2.2008 18:47 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Ano vítej do světa OpenID, kde si můžeš všecko nastavit, jak potřebuješ.

Viz předchozí příspěvek.

U OpenID poskytovatele se řeší, jestli je důvěryhodný pro uživele, ne pro web. To už je problém uživatele. Důvěryhodnost vzhledem k webu je irelevantní.
Což by tedy byl zajímavý postup, jak se přes několik řešení postavených na hlavu postupně propracovat k řešení rozumnému.
Spíš přes několik rozumných řešení se propracovat k postavenému na hlavu.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
18.2.2008 08:10 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
U OpenID poskytovatele se řeší, jestli je důvěryhodný pro uživele, ne pro web. To už je problém uživatele. Důvěryhodnost vzhledem k webu je irelevantní.
To je právě ono. K čemu slouží registrace na webu? Aby zajistila alespoň jakousi důvěryhodnost uživatele vůči webu. Jenomže OpenID poskytovatel je pro web nedůvěryhodný, takže je nedůvěryhodné i to, co od něj zjistí. Takže stejně potřebujte vedle OpenID ještě nějaký důvěryhodný kanál…
xkucf03 avatar 18.2.2008 11:45 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID

To je právě ono. K čemu slouží registrace na webu?
To není zase tak jednoduchá otázka. Ověřování na webu slouží jednak jeho provozovateli k tomu, aby věděl kolik má oveček, případně aby jim mohl posílat více či méně (ne)vyžádané maily. Dále slouží danému uživateli - muže si upravit vzhled stránky, nastavit zobrazování jednotlivých komponent (boxů) na stránce, případně portletů v případě portálu. A taky slouží všem ostatním uživatelům, aby se mezi sebou poznali. Např. až někde na webu uvidím komentář podepsaný pomocí OpenID https://openid.abclinuxu.cz/filip.jirsak*, tak budu o něco víc věřit, že to jsi ty, kterého znám z Ábíčka, než kdyby to byl nepodepsaný komentář, kde anonym pouze vyplnil jedno políčko, kam napsat tvoje jméno a prošel captchou.

Takže tohle

Aby zajistila alespoň jakousi důvěryhodnost uživatele vůči webu.**
je jen velmi zúžený pohled.

V prvním případě je OpenID vyhovující, poskytovatel ví, kolik uživatelů má a zná i jejich adresy. V druhém případě je taky postačující. A ve třetím případě záleží na tom, čemu ostatní uživatelé důvěřují a které OpenID servery budou brát vážně: když tam uvidím třeba OpenID v doméně Ábíčka a se stejným loginem, jako ten člověk používá, tak vím, že to s největší pravděpodobností bude on (a to mi stačí). A když tam uvidím něco jako http://anonymous-openid-server.com/nologin/asldifgusdlai tak je to pro mě normální anonym, jako jakýkoli jiný. Tak v čem je problém?

*) až/jestli to ABC bude podporovat

**) a pokud by šlo o něco důležitého, že bys těm lidem chtěl něco prodávat, tak si buď vyžádáš platbu předem, nebo je donutíš prokázat svoji skutečnou totožnost, tím, že si vyžádáš certifikát podepsaný zákonem uznávanou autoritou nebo po nich budeš chtít, aby poprvé přišli osobně i s občanským průkazem. To jsou samozřejmě případy, na které je OpenID krátké. Ale tam ho nikdo nasazovat nechce, nebo snad ano?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 18.2.2008 19:30 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Důvěryhodný kanál? Doteď jsi ho nepotřeboval... stačily ti informace od uživatele... včetně jména a hesla, které znalo dvacet bloggerů, kam byl zaregistrovaný. Najednou si vymýšlíš nesmyslné požadavky.

Jako samozřejmě je bezpečnější nechat všechny uživatele přijít se dvěma doklady totožnosti a veřejným klíčem, ale pokud jsi bankovní ústav, tak holt musíš investovat do jiných technologií než je OpenID (aspoň v jeho současné podobě, není až tak těžké doplnit další alternativy, tahle diskuse mě kromě flamování dovedla k pár pěkným nápadům).
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
18.2.2008 19:39 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Důvěryhodný kanál? Doteď jsi ho nepotřeboval... stačily ti informace od uživatele...
To ale je pro server důvěryhodný kanál. Server si ověří, že uživatel zná heslo, a tím prokáže, že je to on. Ale s OpenID se mezi server a uživatele postaví (z pohledu serveru) nedůvěryhodný zprostředkovatel.
xkucf03 avatar 18.2.2008 20:15 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID

Kdo má zájem na tom, aby důvěryhodnost autentizace byla na dostatečné úrovni?? No přece uživatel. Takže je v jeho zájmu, aby si vybral důvěryhodného poskytovatele OpenID identity (HTTPS, stabilita, neplánuje ukončení činnosti...).

Za to nese odpovědnost uživatel, podobně jako v případě hesel nese odpovědnost za to, že si nezvolí slovníkové heslo nebo ho neprozradí kde komu. Pokud ti někdo "hackne" účet z důvodu nedůvěryhodnosti poskytovatele OpenID, je to stejné, jako by ti ho hacknul z důvodu, že jsi si heslo nastavil na křestní jméno tvé přítelkyně (tak jako tak je to tvoje chyba - chyba uživatele).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
18.2.2008 20:58 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
To je ale pořád dokola. OpenID poskytovatele se vybírá uživatel, ale důvěřovat mu musí server. A server nemá žádnou šanci zjistit, že tomuhle OpenID poskytovateli už uživatel nedůvěřuje – protože by to musel zprostředkovat ten nedůvěryhodný poskytovatel.
pavlix avatar 18.2.2008 21:08 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Jj, je to pořád dokola a stejně jsi to nepochopil. Uživatele si vybírá poskytovatele (případně si ho dělá sám) a server musí důvěřovat uživateli, že si zvolil (či nainstaloval) slušný autentizační server.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
18.2.2008 21:25 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Jenže server nemá šanci ověřit, že komunikuje s poskytovatelem, kterého si uživatel zvolil.
pavlix avatar 18.2.2008 21:33 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Jakože neveříš ani DNS ani certifikátům, jo?
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
18.2.2008 21:56 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Obojímu věřit můžu, ale ani jedno nezaručuje, že komunikuju s poskytovatelem, kterého si uživatel zvolil. Ale to je pořád dokola. Vy zase napíšete, že svědomitý uživatel, když už používá zázračné OpenID, zapomene na svoje dřívější špatné návyky, zvolí opravdu bezpečné a jedinečné heslo, předplatí si doménu na 100 let dopředu, pořídí serveru HTTPS certifikát, a pak až začne OpenID používat. Nemá smysl se o tom dál bavit. Jestli si myslíte, že je k něčemu dobrý systém, který stojí na předpokladu, že jakmile jej lidi začnou používat, změní najednou svoje zvyky, klidně si to dál myslete. A jestli si myslíte, že registraci do OpenID bude člověk vnímat jinak, než jako jednu z mnoha dalších registrací (kdy mu vedle 30 současných hesel přibylo další jednatřicáté), pak hodně přeceňujete rychlost, s jakou se bude OpenID šířit.
pavlix avatar 18.2.2008 22:43 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
zázračné OpenID
Kdy jsem to napsal?
Nemá smysl se o tom dál bavit.
To nemělo od začátku, s tebou, nebýt to veřejný kanál a nebýt dalších lidí, kteří občas ještě reagovali, ani bych ti neodpovídal.
A jestli si myslíte,
Jestli si myslíte, že ostatní přesvědčíte o svojí inteligenci tím, že vkládáte lidem okolo do úst věci, co neřekli. Nadáváte na standard, aniž byste sami udělali něco pro lepší implementaci... a do toho tvrdíte věci, ze kterých většina jsou naprosté nesmysly.... a jednou za deset příspěvků padne něco, co má náznaky smyslu, myslete si to dál :).

Přeju hodně úspěchů :).
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
19.2.2008 08:24 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: OpenID
Schválně, když napíšu další odpověď, jestli se mi to posune ještě víc doprava a budu muset scrollovat, abych ji viděl...
19.2.2008 08:27 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: OpenID
Tak nic. Ale už to začíná dost rozhazovat layout stránky :-) To abych si koupil větší display na takovýhle flejmy...
pavlix avatar 19.2.2008 08:39 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
No to si piš.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
xkucf03 avatar 18.2.2008 23:43 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Pořád ale nevím, v čem vidíš rozdíl mezi heslem a OpenID. Protože
  • Heslo = OpenID
  • Vyzrazení (odposlechnutí) hesla = kompromitace OpenID poskytovatele
  • e-mail = e-mail
V obou případech je poslední instancí e-mail, kam se uživateli zašle nově vygenerované heslo.

Pavlix je možná trochu fanatik :-) já bych byl schopný se takhle do krve hádat za Jabber, ale za OpenID tak tvrdě nestojím, protože vím, že jsou i jiné srovnatelné systémy/protokoly (proti kterým bys argumentoval přibližně stejně). Nicméně v oblasti blogů a diskusních fór tomu OpenID celkem fandím.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 19.2.2008 08:28 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Pavlix je možná trochu fanatik
Heh :). Tím, že řekneš o pavlixovi, že je (i když jen možná a trochu) fanatik (do OpenID)... bez důvodu... si ho moc nezískáš.

Takže očekávám hooodně dobrou citaci (toho co píšu já, ne toho, co o mě někdo tvrdí, že jsem řekl) a nebo omluvu.
já bych byl schopný se takhle do krve hádat za Jabber
Erm... já bych se nebyl schopný do krve hádat ani za Jabber, ani za OpenID :). Já mám jen ve zvyku uvádět věci na pravou míru, když někdo uvádí nesmyslné argumenty vůči čemukoliv. (takže bych byl vlastně jednou Linux fanatik, podruhé anti-Linux fanatik, to samý, když doplníš třicet jiných technologií v téhle větě).

Na jabberu se taky pár nepříjemných věcí najde (ne že by byly jinde nějak moc vyřešeny líp, ale to já neberu za argument)... hezký je na tom to, že ty věci se daj opravit a že se člověk může sám aktivně podílet... a co víc, u XSF se dočká i uznání.

Aneb krása otevřeně vyvíjených (nejen specifikovaných) protokolů, kam (snad) patří i OpenID.
Nicméně v oblasti blogů a diskusních fór tomu OpenID celkem fandím.
Což je přesně ta oblast pro kterou je navržené, a ve které se dá v současné době začít bez starosti používat. Na vyšší bezpečnost stejnak potřebuješ challenge-response systémy a autentizovat si sám a nespoléhat na to, v co věří uživatel.

Zrovna v zabezpečení "jedno kladivo na všecko" podle mě nefunguje.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
xkucf03 avatar 19.2.2008 14:43 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Takže očekávám hooodně dobrou citaci (toho co píšu já, ne toho, co o mě někdo tvrdí, že jsem řekl) a nebo omluvu.
Pokud se tě to dotklo tak promiň. Bylo to myšleno žertem viz ten smajlík. Přišlo mi totiž, že máš hodně velkou výdrž se tady s Filipem hádat a že z toho OpenID musíš být fakt nadšený, že jsi se na to ještě nevykašlal.
Nicméně v oblasti blogů a diskusních fór tomu OpenID celkem fandím.
Což je přesně ta oblast pro kterou je navržené, a ve které se dá v současné době začít bez starosti používat.
Ale vysvětlit to někomu, kdo se snaží o srovnání s klientskými certifikáty a vyššími autentizačními metodami je náročné.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 20.2.2008 02:00 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Vydržel jsem to tak dlouho, jak ty :D, to budu asi stejný fanatik jako ty, že? :) Jak už jsem psal... bylo blbý neodpovědět, dokud se diskuse účastní i další lidi :).
Ale vysvětlit to někomu, kdo se snaží o srovnání s klientskými certifikáty a vyššími autentizačními metodami je náročné.
To je jak házet perly sviním :).
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
20.2.2008 08:00 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Ale vysvětlit to někomu, kdo se snaží o srovnání s klientskými certifikáty a vyššími autentizačními metodami je náročné.
Mezi „vyšší autentizační metody“, se kterými OpenID srovnávám, jste zapomněl zařadit obyčejné přihlášení jménem a heslem… ;-)
xkucf03 avatar 20.2.2008 10:10 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
S jménem a heslem jsem to srovnal tady. Když si vybereš špatného poskytovatele OpenID identity, tak je to stejné, jako když si zvolíš slabé heslo nebo si ho napíšeš zespoda na klávesnici.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
19.2.2008 08:46 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Rozdíl vidím v tom, že OpenID (jako systém) oproti zabezpečení heslem nepřináší v zabezpečení nic nového pozitivního, ale naopak přidává koncept důvěryhodné třetí strany, kterou server nemůže nijak ověřit a uživatel jí musí absolutně důvěřovat (což je v oblasti zabezpeční podle mne bezprecedentní). A spoléhá se na to, že změna k lepšímu zabezpečení bude v tom, že se změní chování uživatelů. Přitom ale není moc důvod očekávat, že se chování uživatelů změní – při registraci OpenID to pro uživatele bude pouze x+1. heslo, které si musí zvolit a pamatovat, a při registraci k serveru bude muset i uživatel s OpenID projít stejným registračním procesem, jako uživatel registrující se jménem a heslem. Takže uživatel OpenID nembude mít důvod myslet si o OpenID, že je to něco extra, a chovat se k tomu, že je to něco extra (zvolit bezpečnější heslo apod.)

Mně se původně myšlenka OpenID pro blogy a diskuzní fóra taky líbila – než jsem zjistil, jak funguje ta technologie pod tím. Zjistil jsem, že to vůbec není technologický koncept vyšší bezpečnosti (technologicky jde naopak o oslabení bezpečnosti), ale je to jenom víra v to, že marketingová nálepka OpenID zlepší chování uživatelů. Což by se nakonec dalo udělat i bez té technologie pod tím, která bezpečnost v důsledku snižuje. Kdyby značka „tento blog používá OpenID“ znamenala, že uživatel jako login může zadat svůj e-mail (=unikátnost), který bude ověřen, bude možné ho změnit ale nebude zveřejněn, a že se ukládá hash hesla spolu s nějakým klíčem serveru nebo se solí (přičemž hash hesla zase znemožňuje použít HTTP digest autentizaci…), byl by výsledný efekt pro běžné uživatele stejný, a celková bezpečnost systému by se alespoň nesnížila.
pavlix avatar 19.2.2008 08:52 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Odpovím do nového vlákna.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 18.2.2008 21:04 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Ale s OpenID se mezi server a uživatele postaví (z pohledu serveru) nedůvěryhodný zprostředkovatel.
Pokud je uživatel pako.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 18.2.2008 21:05 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Zatímco v případě toho hesla se může přihlásit každej blogger z okolí, kde má uživatel registraci a byl líný vymýšlet jiné heslo.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
18.2.2008 21:24 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Což může s OpenID stejně, protože má uživatel stejné heslo i na OpenID.
pavlix avatar 18.2.2008 21:36 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Když je uživatel pako, tak nepomůže nic.

Pokud není pako, zvládne si jedno heslo zapamatovat, třicet hesel možná ne.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 17.2.2008 18:43 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Doporučuju si promyset, proč to tak asi bude.

Pokud dovolíš editaci/přidávání obsahu cizím lidem bez registrace, musíš se nějak bránit proti spamu. Samozřejmě to jde udělat tak... že všecko pojede rovnou (třeba to v tom drupalu jde i přepnout)... ale pak se musíš bránit jiným způsobem (třeba schvalováním, captcha aspoň při prvním komentář, ...).

Záleží na tom, jak to cheš jako majitel webu mít.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
22.2.2008 15:13 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
OpenID nebude fungovat jako ochrana před spamem (to ani nemůže, auth server spamera by prostě potvrdil identitu), jen pro propojení identity mezi servery.

Jako správce blogu dál budeš rozhodovat, zda povolíš komentáře neregistrovaných uživatelů (podepsané přes OpenID nebo bez) nebo budeš vyžadovat nějakou registraci. Bez registrace je daný příspěvek pro tebe jako příspěvek od anonyma, ne tak pro čtenáře, který si ho může zařadit. Že nejde o robota budeš dál testovat stejnými metodami jako dnes.

S registrací je příspěvek neanonymní pro tebe, ale registrace spjatá s OpenID dává navíc možnost podržet si identitu nad různými nezávislými servery.

To, že je heslo tajné i pro tebe jako provozovatele nebo že mohou být některé údaje předvyplněny, je další bonus.
Hlasuj pro zavedení OpenID na Abclinuxu!
22.2.2008 16:59 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
OpenID nebude fungovat jako ochrana před spamem (to ani nemůže, auth server spamera by prostě potvrdil identitu), jen pro propojení identity mezi servery.
Jedna z mála věcí, na kterou snad nakonec přistoupili všichni v této debatě, je, že OpenID nemůže fungovat jako propojení identity mezi servery, protože ohledně identity nezaručuje téměř nic. Může to být propojení OpenID mezi servery, ale OpendID není identita.
xkucf03 avatar 22.2.2008 17:16 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Když si založíš e-mail filip@seznam.cz, je to tvoje identita nebo ne?
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
22.2.2008 18:44 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
To si můžu určit. Může to být schránka určená pro zadávání e-mailů do registrací, ať si tam klidně chodí spam, a moje identita to není. A nebo ten e-mail budu rozdávat na vizitkách, a pak to bude moje identita do té doby, než z toho e-mailu pošlu svým kontaktům zprávu „vážení končíme, příště mě najdete na adrese xyz“ a začnu si tisknout na vizitky nový e-mail. Případně můžu ty e-maily pro stvrzení identity i elektronicky podepisovat… OpenID má blíž spíš k tomu prvnímu než k tomu druhému.
xkucf03 avatar 22.2.2008 23:07 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID

Co když ale Seznam* ukončí činnost a jeho doména bude volná a následně ji koupí někdo jiný. Tvoje identita je ztracená a může pod tvým jménem (e-mailem) vystupovat úplně jiný člověk. I když na tvých vizitkách je natisknutá původní adresa.

„vážení končíme, příště mě najdete na adrese xyz“

To ale musíš obeslat všechny, se kterými jsi si psal. V případě OpenID by sis musel změnit OpenID identitu na všech serverech, kde jsi ho použil** a zadat tam OpenID nové. Tudíž je to stejně práce jako v případě e-mailu.

*) no dobře, Seznam činnost neukončí, ale dosaďte si tam jinou doménu

**) např. v Drupalu máš identitu uvnitř dané instance Drupalu a k ní je přiřazené jedno nebo více OpenID url - tak to by sis musel změnit.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
24.2.2008 21:31 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Seznam lidí, se kterými jsem si psal, mám v adresáři. Seznam serverů, kde jsem použil OpenID, nemám nikde. Poslat lidem e-mail, ve kterém píšu, že měním e-mailovou adresu, je možné. Změnit OpenID mi server může umožnit, ale taky nemusí. Navíc u e-mailu je to pořád vazba dvou identit – mé identity jako člověka, a identity e-mailu. A pořád platí, že co jsem poslal pod identitou e-mailu v době, kdy jsem měl příslušnou schránku, poslal jsem to já jako člověk. Po změně majitele schránky se změní ono párování identit člověk–e-mail, ale pořád platí, že před změnou to byla jedna dvojice, po změně je to druhá dvojice. U OpenID máte jenom jednu identitu – OpenID, a nemáte žádnou šanci zjistit, jestli se to váže k nějakému konkrétnímu člověku, nebo jestli se tam ta vazba lidská identita – OpenID identita mění. U toho e-mailu normálně schránku přestanu používat, ale nějakou dobu jí ještě vlastním a e-maily mám přesměrované. Lidé, se kterými komunikuji, si postupně zvyknou na mou novou adresu, ale vědí, že e-maily poslané pod mou starší identitou jsou ode mne. Ale s OpenID tohle nefunguje, protože tam je množina „příjemců“ neomezená, kdokoli v narazí třeba za 10 let na můj diskuzní příspěvek pod nějakým OpenID, nemá šanci, jak zjistit, že tohle OpenID už nepoužívám, používám jiné, a to původní OpenID začal používat někdo jiný.
pavlix avatar 26.2.2008 23:34 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Seznam serverů, kde jsem použil OpenID, nemám nikde.
Mám tomu rozumět tak, že na e-mailu používáš automatické přidávání do adresáře, ale na OpenID ho nepoužíváš?

No holt každému dle jeho gusta, že?

Timestamp u mailu slouží ke stejnému účelu jako timestamp třeba u příspěvku autorizovanému pomocí OpenID.

Jo... a tvoje jistota, že mail, který má ve hlavičce tvojí mailovou adresu je od tebe... ta už sama o sobě něco říká.

Na ostatní reagovat nebudu, musel bych se opakovat.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
27.2.2008 08:11 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Na e-mailu žádné automatické přidávání do adresáře nepoužívám, používám automatické nemazání příchozí i odchozí pošty :-) O tom, že by hlavička e-mailu zaručovala, od koho ten e-mail je, jsem nic nepsal.
pavlix avatar 27.2.2008 11:37 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
No předtím jsi psal něco o adresáři, tak se rozmysli :).
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 26.2.2008 22:21 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
OpenID nebude fungovat jako ochrana před spamem (to ani nemůže, auth server spamera by prostě potvrdil identitu), jen pro propojení identity mezi servery.
Přesně tak. Techniky na ochranu proti spamu jsou o dost složitější.

Jinak to, že se nepřihlašuje ke stránkám pomocí (společného) hesla (neboli single sign-on) považuju za hlavní výhodu a globální identitu až za druhořadou. Ale každý má jiné priority, že.

I když to heslo se dá řešit i jinak, samozřejmě, Digest registrace a autentizace, ale na to nemáme browsery.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 16:58 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Ale houby, precti si uz konecne jak to funguje.
Dáme si příklad, ano?

Přihlašuji se na AbcLinuxu.cz, přihlašuji se kým čím, OpenID http://example.com/Jů_Hele. Na AbcLinuxu.cz zadám pouze tohle OpenID, žádná jiná identifikace není potřeba (Leoš psal, že bude vyžadovat normální registraci, ale to teď pomineme). Jsem přesměrován na server mého OpenID poskytovatele s nějakým tiketem, který určuje kam se mám vrátit a jaké OpenID chci autorizovat. OpenID poskytovatel nějakým způsobem ověří, že jsem to já – třeba heslem – a přesměruje mne zpátky na AbcLinuxu spolu s informací, že daný tiket je platný a uživatel se autorizoval. AbcLilnuxu.cz tedy odeslalo informaci „chce se přihlásit uživatel http://example.com/Jů_Hele (nic víc)“ a obdrželo odpověď „ANO“ (autorizoval se) nebo „NE“.

Doména example.com vyexpirovala, koupil ji nový majitel, zřídí si na ní OpenID server. Nový majitel se přihlásí na AbcLinuxu.cz, zadá OpenID http://example.com/Jů_Hele, a je přesměrován na OpenID server, aby se autorizoval. Nový server ho nějakým způsobem autorizuje – třeba hesla, nebo pozná svého pána po hlase – a pošle odpověď.

Všimněte si, že AbcLinuxu.cz nemá žádnou informaci o tom, že porpvé komunikovalo s jiným serverem, než s jakým komunikuje podruhé. Alespoň já nikde tuhle informaci nevidím, nevidím žádný požadavek ne její ověření, ani co dělat, pokud potřeba tuhle informaci legálně změnit.
To je sice hezke ze certifikacni autorita muj soukromy klic nema, ale muze klidne vydat klic s mym jmenem nekomu jinemu a ten muj zneplatnit.
Zneplatnění klíče je ale podstatně něco jiného, než získání klíče.
Coze? Jak basnicka chranena OpenID? Jses ozralej nebo co?
Básnička v blogu chráněném OpenID. Nepředstavitelné? OK. Napíšu sem do blogu na AbcLinuxu úžasný návod, jak rozchodit hro XY pod Wine. Přihlášen budu pod identitou http://example.com/VladceHer. Hra bude nadčasová, návod bude platný stále a budou ho číst lidi i za rok. Jenomže já se na Abíčko přihlašoval přes OpenID, o OpenID účet jsem přišel a získal ho někdo jiný. Ten teď do toho blogu nakonec připíše, že jestli chtějí identitě http://example.com/VladceHer lidé poděkovat, ať pošlou peníze na účet ten a ten – samozřejmě účet nového majitele identity. Nebo, pokud by byl blog po zápisu read-only, bude tím oblbovat mladé holky nebo budoucí zaměstnavatele. Protože se stal majitelem historie toho OpenID. Už je to jasné?
Kdyz mam v Ceske sporitelne nastavene overovani pomoci SMS, tak ten kdo ziska moje telefonni cislo se prave stal majitelem obsahu meho uctu.
Ano, ale nemůže měnit minulé transakce a nemůže z minulých transakcí profitovat.
pavlix avatar 15.2.2008 00:20 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Ano, ale nemůže měnit minulé transakce a nemůže z minulých transakcí profitovat.
OpenID není stroj času.
Doména example.com vyexpirovala.
Expirace domény je tvůj problém, stejně jako u mailu, Jabberu a ostatních služeb. Pokud chceš používat silnější bezpečnost, která nezávisí na DNS, používej soukromé klíče a ne OpenID.

(Třeba se časem mezi OpenID url nějaká metoda založená na veřejných klíčích přidá, není to zase tak složité, můžeš to lidem od OpenID navrhnout. Já jsem pro.)

Celou dobu tady omíláš a okecáváš, že OpenID je závislé na DNS. Ano, je to tak. OpenID je závislé na DNS, stejně jako drtivá většina jinýc internetových služeb. Jak vidíš, jde to říct jednou větou.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 11:48 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Celou dobu tady omíláš a okecáváš, že OpenID je závislé na DNS. Ano, je to tak. OpenID je závislé na DNS, stejně jako drtivá většina jinýc internetových služeb. Jak vidíš, jde to říct jednou větou.
Evidentně to nestačí. Protože se hned najde někdo, kdo problém závislosti na DNS opskytovatele vyřeší tím, že to předělá na závislost na DNS delegující stránky. Můžu já za to, že je potřeba mu znova explicitně napsat, že i to je závislost na DNS?
OpenID není stroj času.
Tady bych taky řekl, že to stačí říct jednou větou. A nestačí. Tak znovu a jinak. Pokud něco zabezpečíte elektronickým podpisem, můžete si být jist, že co bylo podepsáno v době od začátku platnosi podpisového certifikátu do konce jeho platnosi nebo do okamžiku revokace, podepsal vždy ten, kdo je majitelem certifiáktu a kdo je na certifikátu uveden.

U OpenID je to jiné. Tam víte, že danou věc „podepsal“ člověk, který danou identitu vlastnil v té době – což ale může být někdo jiný, než kdo je to dnes. Proto se OpenID nehodí jako systém pro identifikaci mezi různými servery a v různém čase. OpenId mi prostě nezaručí, že uživatel s OpenID http://blabla včera a uživatel s tímtéž OpenID dnes je tatáž osoba. Takže OpenID není neumožňuje nic jiného, než co umožňuje obyčejný „správce hesel“. Vy jste si možná o OpenID nikdy nemyslel, že je to něco, někdo si to ale myslel – a tvrzení, že to tak není bylo potřeba podložit nějakým argumentem.
pavlix avatar 15.2.2008 12:56 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Protože se hned najde někdo, kdo problém závislosti na DNS opskytovatele vyřeší tím, že to předělá na závislost na DNS delegující stránky.
Závislost na DNS je. K tomu není, co dodat. Jestli si DNS pořídíš ty nebou použiješ cizí je čistě tvoje věc.
Tam víte, že danou věc „podepsal“ člověk, který danou identitu vlastnil v té době – což ale může být někdo jiný, než kdo je to dnes.
OpenID není elektronický podpis a nezahrnuje ho. Dala by se udělat kombinace OpenID protokolu a elektronického podpisu a třeba se i udělá. Ale do té doby nemá smysl srovnávat OpenID s metodami založenými na soukromém klíči.

Když přijdete o DNS, může si ho někdo registrovat, tím získá vaší mailovou adresu a na ni si nechá poslat nové heslo (password recovery přes mail je běžná praxe). Tím se může cizí člověk vydávat za původního majitele. To platí s OpenID i bez něj.
Takže OpenID není neumožňuje nic jiného, než co umožňuje obyčejný „správce hesel“.
Jistěže umožňuje, například přihlašování jiným způsobem než heslem. A spoustu jiných věcí, jenže to bys musel o OpenID něco vědět. (A kdybys věděl, tak bys to takhle nenapsal.)
Vy jste si možná o OpenID nikdy nemyslel, že je to něco, někdo si to ale myslel – a tvrzení, že to tak není bylo potřeba podložit nějakým argumentem.
Pokud se chceš něco naučit, doporučuju se při argumentech opírat o specifikaci a ne o "jedna paní povídala". Jestli ti jde jen o flame, vyber si jinou oběť :).
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
xkucf03 avatar 15.2.2008 14:40 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Pokud něco zabezpečíte elektronickým podpisem, můžete si být jist, že co bylo podepsáno v době od začátku platnosi podpisového certifikátu do konce jeho platnosi nebo do okamžiku revokace, podepsal vždy ten, kdo je majitelem certifiáktu a kdo je na certifikátu uveden.
Sorry, že do toho šťourám, ale ani tohle není pravda. Technický pokrok nezastavíš a to, co bylo před patnácti lety kryptograficky dostatečně kvalitní, je dnes směšné a rozlousknutelné na běžném PC. Takže i my se můžeme dočkat toho, že naše dnešní šifry a podpisy budou snadno prolomitelné, protože technika bude zase o kus dál.

A k tomu DNS: přijde mi, že se trochu opakuje téma jedné diskuse. Bez DNS se prostě identita dělat nedá, nebo alespoň ne celosvětově jedinečná. Alternativou je leda použití hashe veřejného klíče jako identifikátoru, ale u něj nejde zaručit, že si dva lidé různí nevygenerují klíče se shodným hashem (i když je to těžce nepravděpodobné).
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
15.2.2008 15:28 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Sorry, že do toho šťourám, ale ani tohle není pravda. Technický pokrok nezastavíš a to, co bylo před patnácti lety kryptograficky dostatečně kvalitní, je dnes směšné a rozlousknutelné na běžném PC. Takže i my se můžeme dočkat toho, že naše dnešní šifry a podpisy budou snadno prolomitelné, protože technika bude zase o kus dál.
Souhlas, ale aspoň si můžu zvolit, jak silý chci klíč, a tím i určit, jak dlouho asi vydrží. A to udělám jednou, na začátku – a dál i pokud nebudu nic dělat, klíč je pořád bezpečný. Jenomže u OpenID musím naopak (neustále) vyvíjet aktivitu, aby zůstalo bezpečné – třeba musím udržovat doménu.

Identita se dá dělat bez DNS, ale nedá se dělat bez nějakého centrálního registru. OpenID používá jako centrální registr kořenové DNS servery a dále registrátory národních/generických domén. Což je poněkdu nešťastné – jednak má DNS jinou úlohu, než zabezpečovat identitu, za druhé centrální autorita u DNS neumožňuje druhou podstatnou službu, která je pro správu identit důležitá – možnost revokace. Jakmile nemáte možnost nějaký identifikátor revokovat u nějaké autority, která vás ověří nezávisle na tom identifikátoru, nemůže to fungovat – vždy je to jenom závod s časem, jestli „tenhle klíč už neplatí, použij tenhle“ udělá dřív právoplatný majitel, nebo zloděj.
13.2.2008 22:22 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: OpenID
> To je sice hezke ze certifikacni autorita muj soukromy klic nema, ale muze klidne vydat klic s mym jmenem nekomu jinemu a ten muj zneplatnit.

Proto je lepsi se na certifikacni autority vykaslat a navrhout svuj bezpecnostni model tak, aby koncept certifikacni autority nepotreboval. Podobne, jako jsem to navrhoval v jinem prispevku. Cela myslenka certifikacnich autorit je jen podivny obchod s duverou.

> Kdyz mam v Ceske sporitelne nastavene overovani pomoci SMS,

No ono overovani pomoci SMS je taky kapitola sama pro sebe. Jako by to bylo vymysleno za ucelem buzerovani uzivatelu (minimalni zvyseni zabezpeceni, znacne zvyseni nepohodlnosti).
pavlix avatar 15.2.2008 17:57 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Mě se oveřování pomocí SMS jako jeden z prvků docela líbí. Sice to nepřidá moc proti cílenému útoku, ale například lidem, co ani nevědí, co maj na počítači a používají internet banking to podle mě pomůže.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 15:59 Honza Jaroš | skóre: 4 | Bohnice
Rozbalit Rozbalit vše Re: OpenID
Boha jeho, začínám mít pocit, vy už taky začínáte tomešovatět? Proč mi cpete co kdo ovládá? Já neřeším zabezpečení, já upřesňuju technickou stránku věci! Zkuste číst, co kdo píše, a ne co byste chtěl aby psal.

Ach jo. :-(
13.2.2008 16:01 Honza Jaroš | skóre: 4 | Bohnice
Rozbalit Rozbalit vše Re: OpenID
Ech, a mně tam pro změnu po přepisu zbylo začínám mít pocit. Taky při kontrole čtu to, co si myslím, že tam má být a ne to, co tam skutečně je. :-(
13.2.2008 16:25 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
V tom případě nevím, na co se vlastně ptáte.

Jedna z námitek proti OpenID, když zrovna OpenID není „pouhé přihlášení“, ale „správa identit(y)“, je, že jako vlastník OpenID jsem „rukojmím“ toho, jehož hostname je uvedeno v URL mého OpenID. Proti tomu zastánci OpenID říkají: „můžeš mít OpenID, kde v URL budeš mít vlastní hostname“. Abych takové OpenID mohl používat, musím být ale schopen ono hostname ovládat – tj. provozovat na něm OpenID poskytovatele, nebo tam provozovat delegující web stránku, nebo (snad) delegující DNS záznam. Ke všemu ale potřebuju spolupráci majitele příslušné domény, tj. nechci-li být ničím rukojmím, musím být majitelem té domény já.

Jinými slovy – nestačí si vymyslet, že moje OpendID bude http://example.com/filip.jirsak, musím ještě zařídit, aby „doména“ (její majitel) example.com na tomhle OpenID nějak spolupracovala. Čistě technicky. Když ta doména spolupracovat nebude, moje hezky vymyšlené OpenID neexistuje.
13.2.2008 16:37 Honza Jaroš | skóre: 4 | Bohnice
Rozbalit Rozbalit vše Re: OpenID
Uaúúúúúúú!!!

Že já blbec na začátek tu řečnickou otázku dával! Člověče, zkuste si tu svoji svatou protiOpenIDovskou válku řešit s někým jiným, já vám opravdu partnera dělat nechtěl a nechci.
pavlix avatar 15.2.2008 00:23 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Ještě jednou jsme si dozvěděli, že OpenID závisí na DNS.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 15.2.2008 00:08 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
to je sice pravda, ale většina lidí asi bude dávat přednost doméně před IP adresou
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
15.2.2008 00:24 Honza Jaroš | skóre: 4 | Bohnice
Rozbalit Rozbalit vše Re: OpenID
Jasně, to bylo zmíněno jen jako opačný extrém. Šlo mi jen o odlišení pojmu URL a doména, což, zdá se, některým lidem v souvislosti s OpenID splývá. Alespoň co jsem tak v předchozích dnech pozoroval zdejší diskuse.
13.2.2008 14:34 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Re: OpenID
S OpenId pocitam. Jakmile se premigruji uzivatelske ucty do LDAP, planuju rozchodit OpenID. Ale na zadani loginu pri registraci stejne budu trvat, chci textovy identifikator uzivatele (pro url jeho profilu, jabber ucet, prolinkovani LDAPu s databazovym zaznamem uzivatele). Ale holt nemam dost casu, abych to vsecko napsal sam. Nejaky java developer (klidne i na brigadu) by se siknul ..
Zakladatel tohoto portálu. Twitter, LinkedIn, blog
Jan Drábek avatar 13.2.2008 16:28 Jan Drábek | skóre: 41 | blog: Tartar | Brno
Rozbalit Rozbalit vše Re: OpenID
Nějak mi to příjde jako bitvy za jabber, jak je to všechno super, zvlášť ta decentralizace...

To je všechno hezký, ale nějak mi tu uniká podstata toho všeho (já ji vidím, jen mi to prostě nepříjde super, cool, WOW...)

Nějak nám ten svět začíná velkobratřit, což se mi vůbec nelíbí.
01010010 01000101 01010000 01101100 01001001 00110010 01000100 01100101 01010110
13.2.2008 16:31 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Tady neni nic WoW, nebo cool. Proste OpenID zaplnuje mezeru. Podobne sluzby tady sice existuji, ale ani jedna z nich nedosahuje teto funkcnosti (nebo jsou vazane na velkeho poskytovatele - Microsoft, Google).
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
pavlix avatar 15.2.2008 00:25 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Nebo jako bitva za Internet. Ten taky blbci udělali decentralizovanej, viď :).

Heh, nejdřív píšeš, že se ti nelíbí decentralizace... pak se ti nelíbí velkobratření (neboli centralizace). Si to urovnej :D.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 17:13 CET
Rozbalit Rozbalit vše Re: OpenID
Jak jsem si cetl ten clanek, tak se mi docela libilo to delegovani a taky myslenka firemniho OpenID serveru je dobra, kdyz pak muzu uzivateli jeho ID zrusit, kdyz odejde z firmy, aby za ni nemohl vystupovat.

Mam ale dva dotazy. Jeden se tyka odstavce "Služby nebudou mít přístup k loginu a heslu, budou znát jen OpenID identitu.". Jak tohle bude resene? Prijdu na server a budu se chtit prihlasit. Na ktery prihlasovaci server me to presmeruje, kdyz jeste nebude znat muj login? Co je vlastne u OpenID login? Myslel jsem, ze to je ta URL. Nebo bude existovat nejaky centralni OpenID login server, kam se presmerujou vsechny zadosti o prihlaseni a na tom pak zadam login a heslo a to se pak overi u konkretniho providera a prideli identitu? Nebo se nejdrive zada URL a pak me stranka presmeruje na zadani hesla na stranku prislusneho providera? V kazdem pripade to znamena, ze bude existovat nekdo, kdo bude znat minimalne moje URL (muj login). Ale to nevadi, tohle se jenom ptam, abych to pochopil.

Pokud ale bude dochazet k takovymuhle presmerovani, tak tam vidim jeden obrovskej problem. Spousta ne-web sluzeb pozaduje zadani hesla v klientovi a zasila primo na server (ssh, ftp, ldap, sudo, vmware console, sasl, apache - prevazne mi jde o linux autentizaci). Aktualne existuje spousta ruznych pam modulu, ktere provadeji autentizaci vuci ruznym systemum - lokalni user DB, mysqldb, pgsql, ldap. Autentizaci provadi tak, ze od klienta prijde login a heslo a system ho zkontroluje. Pokud by melo platit tvrzeni o OpenID, ze ne sluzba nebude pozadovat (login a) heslo, musely by se kompletne prekopat vsechny tyhle aplikace, aby dokazaly reagovat na presmerovani na providera OpenID identity - a to pochybuju, ze by i tak bylo resitelne, protoze napr. budu mit na FW povoleny pristup pres ssh na nejake servery, ale kvuli openID bych musel otevrit firewall i pro klienta i na dalsi servery (prakticky pro cely internet), protoze by se klient musel spojit s providerem OpenID, tam se autentizovat, ziskat si OpenID identitu a pak pokracovat v prihlasovani na ssh server. SSH demon (resp. PAM) by naopak musel byt schopny provedit OpenID identitu u providera. Nevim, kolik sluzeb oficialne a jak kvalitne podporuje OpenID, ale obavam se, ze zatim moc ne. A pochybuju, ze nekdy bude podporovat, protoze by to znamenalo kompletne prekopat vnitrnosti a navic i kvuli tem firewallum to asi nebude realizovatelne.

Takze mi z toho vychazi, ze OpenID je reseni pouze pro web. Mam pravdu nebo to ma byt univerzalni reseni? osobne bych rekl, ze to uz je lepsi pouzivat system X509 certifikatu - budou jednak trusted certifikacni autority, jak je soucasny stav, a pak budou anonymni certifikacni autority, kde si budou moct lidi zrizovat anonymni certifikaty (ikdyz misto toho si muzou rovnou generovat self-signed).

Infrastruktura pro to uz je hotova, pouziva se to, napr. v SSH uz autentizace certifikatama je, pro webe je taky, takze je to i univerzalni reseni. Pak by to vypadalo tak, ze by clovek prisel na server, zazadal by o registraci, system by uzivatele pozadal o vlozeni certifikatu a hotovo. Pak by uz clovek jenom chodil po webech (nebo systemech) a kde by mel klic, tak by vybral ten spravny a bylo by.
13.2.2008 17:44 raul
Rozbalit Rozbalit vše Re: OpenID
Co je vlastne u OpenID login? Myslel jsem, ze to je ta URL.
j, presne tak
13.2.2008 21:59 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
Celé openID je dobře vysvětleno pod posledním odkazem ve spotu. Loginem je url, kam tě server přeměruje pro ověření.

Například zadám example.com/mrzout do loginu. Server mne přesměruje na tuto adresu a pokud ta mu odpoví, že jsem OK, budu považován za OK ke všemu, k čemu mne tato identita na serveru opravňuje. Jestli mě example.com authentifikuje díky loginu a heslu, sms zprávě nebo něčemu jinému, to původní server nezajímá.
Hlasuj pro zavedení OpenID na Abclinuxu!
13.2.2008 23:53 CET
Rozbalit Rozbalit vše Re: OpenID
Celé openID je dobře vysvětleno pod posledním odkazem ve spotu. Loginem je url, kam tě server přeměruje pro ověření.

Například zadám example.com/mrzout do loginu. Server mne přesměruje na tuto adresu a pokud ta mu odpoví, že jsem OK, budu považován za OK ke všemu, k čemu mne tato identita na serveru opravňuje.
Jo, takze to chapu spravne. Tohle je system pouze pro web. Sorry, ale X509 certifikaty (nebo PGP) se mi zdaji lepsi.
Jestli mě example.com authentifikuje...
Bacha na to - nekteri lidi by za tenhle vyraz zabijeli:-)
pavlix avatar 15.2.2008 00:30 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Skoro.

Server tě přesměruje na OpenID server, který je na té URL uvedený (HTTP hlavička, HTML meta tag, nebo jiný ze způsobů uvedených ve specifikaci).

A.... neautentifikuje, autentizuje.

Ostatní vypadá dobře, do způsobu autentizace uživatele původní server zasahovat nemůže, může si pouze některé věci vyžádat a doufat, že to identity server dodrží.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
13.2.2008 22:18 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Re: OpenID
To je ale zhava diskuse :-) Na openid se mi libi, ze mam jeden univerzalni login pro bezpocet sluzeb, tedy teoreticky. Je velka skoda, ze treba bugzilla jej jeste standardne nepodporuje. Kdyz najdu nekde bug, musi me hodne stvat, abych se zaregistroval do bugzilly daneho produktu a bug zadal. No a kdyz najdu druhy bug, nejspise si uz nevzpomenu, pod jakym emailem a heslem jsem se zrovna u teto bugzilly zaregistroval. Tohle by openid mohlo resit. Na kazdem serveru budu mit vlastni profil, ale prihlasovat se budu furt u sebe, na svem serveru (ci u sveho openid poskytovatele).
Zakladatel tohoto portálu. Twitter, LinkedIn, blog
13.2.2008 23:57 CET
Rozbalit Rozbalit vše Re: OpenID
To je ale zhava diskuse :-) Na openid se mi libi, ze mam jeden univerzalni login pro bezpocet sluzeb, tedy teoreticky. Je velka skoda, ze treba bugzilla jej jeste standardne nepodporuje. Kdyz najdu nekde bug, musi me hodne stvat, abych se zaregistroval do bugzilly daneho produktu a bug zadal. No a kdyz najdu druhy bug, nejspise si uz nevzpomenu, pod jakym emailem a heslem jsem se zrovna u teto bugzilly zaregistroval. Tohle by openid mohlo resit. Na kazdem serveru budu mit vlastni profil, ale prihlasovat se budu furt u sebe, na svem serveru (ci u sveho openid poskytovatele).
Na jednu stranu s timhle dost souhlasim. Je to dost otravny, kdyz se musim registrovat v nekolika ruznych bugzillach. Na druhou stranu mi to zase dava moznost byt zaregistrovany s ruznymi jmeny a pokud se nepletu, bugzilla bere jako login name email cloveka, takze pak kdyz se z nejaky bugzilly muj email proflakne a zacnou chodit spamy, tak muzu email zahodit. Pokud bych to stejne resil i s OpenID, tak mam o hodne vic prace s identitama.
14.2.2008 07:03 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Re: OpenID
Email jako login je nejvetsim problemem bugzilly. Zaprve je viditelny, tudiz chytrejsi spambot snadno ziska databazi emailu, za druhe zmena emailove adresy znamena konec identity v bugzille (prestanou mi chodit maily, nemam jak ziskat zapomenute heslo). Kdyby loginem mohl byt openid a bugzilla to chapala (a tudiz na nej neposilala emaily), vyresilo by to par problemu.
Zakladatel tohoto portálu. Twitter, LinkedIn, blog
14.2.2008 09:58 CET
Rozbalit Rozbalit vše Re: OpenID
Email jako login je nejvetsim problemem bugzilly. Zaprve je viditelny, tudiz chytrejsi spambot snadno ziska databazi emailu,
Jo, tohle muze byt problem. Uznavam.
za druhe zmena emailove adresy znamena konec identity v bugzille (prestanou mi chodit maily, nemam jak ziskat zapomenute heslo).
Mam dojem, ze bugzilla umoznuje zmenit email (login). Aspon naposledy jsem si chtel zmenit email na svym uctu, ale nenasel jsem to, tak jsem si zaregistroval novy email, ale pak jsem se kouknul jeste jednou a nasel jsem to. Ale uz jsem to nemohl zmenit, protoze jsem mel ten novej email zaregistrovanej.
Kdyby loginem mohl byt openid a bugzilla to chapala (a tudiz na nej neposilala emaily), vyresilo by to par problemu.
No, musela by si bud stahnout email z ty moji identity a nebo bych musel email zadavat stejne.
14.2.2008 10:33 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: OpenID
Ty jo, já tohle už nechápu. Zrůdní OpenID provideři se tajně přihlašují na uživatelovo účty, ze záhrobí se derou men-in-the-middle, každý na každém webu používá jiný login, aby lstivě zkřížil plány MicroGooglesoftu, ale přitom si ty loginy stíhá i s hesly pamatovat, a OpenID je fakt prostě totální propadák, protože BugZilla přeci potřebuje ten E-MAIL a ne nějakej blbej OpenID login.

Jenže on to propadák asi bude, protože jestli tady na AbcLinuxu, kde bych čekal, že je každý dost informaticky gramotný, téma OpenID vygeneruje stovky příspěvků o tom, jak a proč OpenID, tak fakt nechci vidět reakci normálního uživatele - tomu se při zahlédnutí slova OpenID snad vymažou všechna data, spadnou Wokna, umře pes a chytne barák.

Každej, kdo nebude mít od zítra OpenID login, k tomu Gravatar s naskenovaným otiskem prstu a aspoň jeden blogpost o webové autentizaci, bude na místě zastřelen - jen tak si dokážu vysvětlit zdejší aktivismus.
14.2.2008 13:00 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Re: OpenID
Kdepak, zadne automaticke doplnovani emailu z openid. Proste pokud nechci, nezadam email a bugzilla bude znat jen openid, coz jako vedlejsi efekt znamena, ze nebudu dostavat emilove notifikace. Pokud ale chci, zadam openid i email a budu mit oboje.
Zakladatel tohoto portálu. Twitter, LinkedIn, blog
14.2.2008 13:01 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Re: OpenID
oops, to byla reakce na prispevek o uroven vyse
Zakladatel tohoto portálu. Twitter, LinkedIn, blog
14.2.2008 15:10 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: OpenID
Na druhou stranu mi to zase dava moznost byt zaregistrovany s ruznymi jmeny

Tuto možnost máte přece při variantě s OpenID také. Prostě chcete vystupovat pod více identitami, tak je použijete.

Hlasuj pro zavedení OpenID na Abclinuxu!
pavlix avatar 15.2.2008 00:32 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Pokud bych to stejne resil i s OpenID, tak mam o hodne vic prace s identitama.
Práce s identitama máš stejně. Zajímavá možnost OpenID je ta, že se použije jen URL pro server a ne pro konkrétního uživatele... a uživatel sám vybere ze svých identit tu, kterou chce prezentovat.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
14.2.2008 08:44 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Jenomže tohle je problém, který OpenID může řešit jen tak mimochodem – a to je podle mne ještě naivní představa, že to tenhle problém vyřeší.

Když trochu rozepíšu, co popisuješ jako problém Bugzilly, bude to nějak takhle: Bugzilla má složitý systém registrace. Pro použití OpenID se ten systém registrace musí přepsat, aby byl jednodušší. K tomu ale přece není potřeba OpenID, zjednodušit systém registrace jde i bez toho. Druhá otázka je, jestli vůbec bude ochota s OpenID zjednodušovat i systém registrace.

Ty sám jsi napsal, že chceš na Abíčku podporovat OpenID, ale registrace zůstane stejná – jenom se místo loginu a hesla použije OpenID. Nebudou stejně postupovat i tvůrci Bugzilly? Oni zřejmě ty údaje zadávané při registraci potřebují, takže si je stejně budou muset zjistit, případně ověřit (platnost e-mailu zasláním potvrzovacího e-mailu apod.). Takže registrace bude stále stejně složitá, jenom se místo loginu a hesla použije OpenID. A místo vzpomínání, který e-mail jsem použil pro registraci budu vzpomínat, které jsem použil OpenID…

Nemůžu si pomoct, ale mám pocit, že OpenID vzniklo jako nějaká práce na škole. Všechno je teoreticky tak hezké… Ale proč když mám problém vzpomenout si, který e-mail jsem kde použil pro registraci, u OpenID ten problém mít nebudu? Proč když někdo používá slabé heslo, s OpenID najednou použije silné?

Jediné, co považuju za problematické na současném způsobu registrací je nejednotnost v požadavcích na login a případně na heslo. Někde mi login rovnou přidělí, což je nejhorší, někde může být jen z písmen… Kdybych nemůsel pro různé servery vymýšlet loginy odlišné od mého „standardního“ loginu Jmeno.Prijmeni, případně kdybych mohl jako login všude zadat e-mailovou adresu (která je unikátní), nebyl by se zapamatováním loginu problém.
14.2.2008 08:52 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
budu vzpomínat, které jsem použil OpenID
WTF? Jak vzpominat? Normalni lide maji jedno OpenID, to ze ty si paranoik a potrebujes mit na kazdem webu nove OpenID (pak ovsem nechapu proc te vubec OpenID zajima, protoze mas jednodussi pouzit normalni prihlasovani) je tvoje vec.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
14.2.2008 09:00 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
V tom případě normální lidé používají jeden e-mail, a nemají problém vzpomenout si, který použili pro registraci. Takže opět OpenID nepřináší žádné zlepšení.
14.2.2008 09:01 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: OpenID
Proc lide nemuzou s bugzillou pouzivat jeden email bylo napsano o kus vys. Ty proste musis porad dokola argumentovat stejnyma blbostma. Fakt dost zbytecna ztrata casu.
Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
14.2.2008 09:17 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: OpenID
Ono asi půjde spíš o ty hesla než o e-maily. Nebo máš snad všude stejné heslo? ;-)
14.2.2008 10:27 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Zrovna do bugzill, kam zadávám jednu chybu, klidně použiju stejné heslo. A i kdyby ne, použiju stejný základ hesla, a k němu přidám něco odvozené od domény bugzilly, třeba. Takže třeba zákaldní heslo bude „axerDa“, a z domény abclinuxu.cz udělám to, že 1. písmeno v doméně zaměním v heslu za druhé a dostanu „bxerDb“. Těch způsobů je opravdu spousta. Pokud někdo zatím žádný takový způsob nepoužívá, tak ho problém přihlašování asi zas až tak moc nepálí. No a jak to dopadne tam, kde je malá poptávka po změně, zato změna je nákladná, to je asi jasné…
pavlix avatar 15.2.2008 00:34 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Takže opět OpenID nepřináší žádné zlepšení.
Kromě všech těch již zmíněných.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
pavlix avatar 15.2.2008 00:37 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
Pokud si to umíš nastavit, můžeš mít na jednou serveru různá OpenID, ke kterým se dostaneš jednotným přihlášením, můžeš pak vybírat ze seznamu.

(Místo svých OpenID ale při loginu zadáváš OpenID toho serveru a pak vybereš ze seznamu.).

Samozřejmě musejí všechny ty OpenID být na adrese toho serveru (pro detaily přečti specifikaci), nemůže autentizovat úplně cizí URL.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
Petr Tomášek avatar 14.2.2008 08:55 Petr Tomášek | skóre: 31 | blog: Vejšplechty
Rozbalit Rozbalit vše češtin
„Právem podotýkám!“, nebo „Právem, podotýkám!“?
14.2.2008 15:15 mrzout | skóre: 11 | blog: mrzutej
Rozbalit Rozbalit vše Re: češtin
opraveno
Hlasuj pro zavedení OpenID na Abclinuxu!
pavlix avatar 19.2.2008 09:17 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
což je v oblasti zabezpeční podle mne bezprecedentní
Důvěra uživatele v autentizační server bezprecedentní podle mě není.
Přitom ale není moc důvod očekávat, že se chování uživatelů změní
Rozumní uživatelé dávají různá hesla, pokud můžou. a různé heslo pro každý blog nemůžou.
Mně se původně myšlenka OpenID pro blogy a diskuzní fóra taky líbila – než jsem zjistil, jak funguje ta technologie pod tím.
Mě se začala líbit, až když jsem zjistil, jak ta technologie funguje. A podle tvých dřívějších příspěvků si troufám tvrdit, že jsi to ještě (aspoň nedávno) nezjistil.
Zjistil jsem, že to vůbec není technologický koncept vyšší bezpečnosti
Od začátku diskuse ti v tomhle dávám za pravdu.
(technologicky jde naopak o oslabení bezpečnosti)
Já si myslím, že obecně ne, argumenty o stejných heslem už jsem uváděl.

Pokud chceš kromě hloupého plkání, co provozujem tady... v tomhle podniknout něco užitečnýho... komentuj přímo na komunikačních kanálech OpenID. Tam je možné dosáhnout i určitých změn, či upřesnění, to ti na ABCLinuxu poskytnout nemůžem.
marketingová nálepka OpenID
No comment.
zlepší chování uživatelů. Což by se nakonec dalo udělat i bez té technologie pod tím
Dalo, tím, že přesvědčíš uživatele, ať si pro každý z třiceti (nebo padesáti) webů vymyslí nové heslo. Utopie.
Kdyby značka „tento blog používá OpenID“ znamenala, že uživatel jako login může zadat svůj e-mail (=unikátnost), který bude ověřen, bude možné ho změnit ale nebude zveřejněn, a že se ukládá hash hesla spolu s nějakým klíčem serveru nebo se solí (přičemž hash hesla zase znemožňuje použít HTTP digest autentizaci…), byl by výsledný efekt pro běžné uživatele stejný, a celková bezpečnost systému by se alespoň nesnížila.
Tak proč to tam ještě není? Máš možnost takovýhle rozšíření navrhnout, sepsat... a nechat schválit. Teda pokud na něco takového teda technicky vůbec máš.

Digest autentizace má jedno velké kouzlo a kdyby se používala správně... tak celý problém s množstvím hesel řeší sama o sobě. U dobře implementované digest registace není nikdy potřeba sdělit serveru heslo, stačí mu sdělit ten hash, který si jinak server sám vypočítá pro uložení do DB. Při přihlášení už se jen hashe kombinují a jako celek znovu hashují, zbytek najdeš ve specifikaci.

Už teďka není HTTP jediným podporovaným typem URL, není problém přidat další, jen musíš přesvědčit implementátory o jeho užitečnosti (u openid-http se to podařilo, jak vidíš).

P.S.: Že se technologie dostala do obecného povědomí se pozná podle toho, že začnou vznikat blogposty zaměřené proti ní.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
19.2.2008 09:53 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
což je v oblasti zabezpeční podle mne bezprecedentní
Důvěra uživatele v autentizační server bezprecedentní podle mě není.
Ale já jsem nepsal o „důvěře“, ale o „absolutní“ nebo „bezmezné“ důvěře. Normálně je působnost autentizačního serveru omezená, nebo jej můžete kotnrolovat, S OpenID neplatí ani jedno.
Rozumní uživatelé dávají různá hesla, pokud můžou. a různé heslo pro každý blog nemůžou.
To ale není technologický důvod. A opravdu nevidím jediný důvod, proč uživatel, který má 30 loginů k různým blogům a všude stejné heslo, si najednou pro 31. login, který je nějaký podivně dlouhý, najednou zvolí heslo jiné.
Digest autentizace má jedno velké kouzlo a kdyby se používala správně... tak celý problém s množstvím hesel řeší sama o sobě. U dobře implementované digest registace není nikdy potřeba sdělit serveru heslo, stačí mu sdělit ten hash, který si jinak server sám vypočítá pro uložení do DB. Při přihlášení už se jen hashe kombinují a jako celek znovu hashují, zbytek najdeš ve specifikaci.
Díky, vždycky jsem si myslel, že HTTP Digest používá jenom jeden hash. Fakt jsou v té specifikaci dva. V tom případě nechápu, proč všechny běžné implementace serverové strany, na které člověk narazí, vyžadují přímo heslo. Dopíšu příležitostně do webserveru Jetty takový UserRealm, který vystačí s hashem místo hesla, ať už nemusím řešit, zda digest nebo hesla na serveru v otevřeném tvaru. Aspoň k něčemu byla tahle debata dobrá ;-)
xkucf03 avatar 19.2.2008 11:34 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
To ale není technologický důvod. A opravdu nevidím jediný důvod, proč uživatel, který má 30 loginů k různým blogům a všude stejné heslo, si najednou pro 31. login, který je nějaký podivně dlouhý, najednou zvolí heslo jiné.
Ono je to ale spíš tak, že dnes se posílají komentáře anonymně, protože kdyby ses musel přihlašovat, tak se ti na nějaké komentování většina lidí vybodne. Takže po (alespoň částečném) rozšíření OpenID mezi uživatele bude možné anoanymní posílání komentářů zakázat. A aspoň bude vidět, kdo je kdo.

Anonymové, kteří píší nesmysly pod deseti různými jmény to budou mít těžší (ale zase když budou chtít, tak budou spamovat stejně a akorát ještě zahltí servery OpenID poskytovatelů svými zbytečnými registracemi).
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 19.2.2008 13:00 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
I pod openid můžeš psát anonymně, ale můžeš si třeba vynutit captcha jenom při první příspěvku... a udělat z něj de facto velmi jednoduchou registraci. A doufat, že se na to spammer vykašle... případně můžeš udělat první příspěvek moderovaný a mít v admin rozhraní zaškrtávací políčko, jestli chceš tomu uživateli povolit okamžitý publikování pro další příspěvky.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.
19.2.2008 14:03 Fa & Bi | skóre: 65 | blog: Delfinárium
Rozbalit Rozbalit vše Re: OpenID
Dříve či později se bude muset začít i k OpenID registracím začít přistupovat jako k anonymním. Jednak kvůli spamerům, jednak nebude problém provozovat OpenID anonymizér, který vám poskytne jednorázové OpenID. Takže anonymové to nebudou míc vůbec těžší – prostě jenom využijí OpenID poskytovatele, který bez ptaní ověří libovolné OpenID.
xkucf03 avatar 19.2.2008 14:32 xkucf03 | skóre: 43 | blog: xkucf03
Rozbalit Rozbalit vše Re: OpenID
Dříve či později se bude muset začít i k OpenID registracím začít přistupovat jako k anonymním.
Na tom není nic pozoruhodného, i dneska, když se musíš regstrovat a ověřuješ se nějakým kódem poslaným mailem, jsi stejně anonymní. Můžeš použít jednorázový e-mail a ani si nemusíš zakládat schránku.

Stupeň anonymity se obecně nezmění, ale kdo nebude chtít být anonymní - nějak relativně důvěryhodně ukázat svoji totožnost ostatním - ten to bude mít snadnější: nemusí si pamatovat další heslo případně se registrovat.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 19.2.2008 12:57 pavlix | skóre: 47 | blog: pavlix | Praha
Rozbalit Rozbalit vše Re: OpenID
ad 1: podle mě platí obojí

ad 2: já ten důvod vidím a taky bych to tak udělal, kdybych na OpenID nějaké heslo vůbec používal, což teď nedělám
V tom případě nechápu, proč všechny běžné implementace serverové strany, na které člověk narazí, vyžadují přímo heslo.
Na HTTP Digest autentizaci server nikdy nevyžaduje přímo heslo. Tak funguje HTTP Basic, ne Digest.

Ten špatně udělaný bod není autentizace, ale registrace hesla. Jenže registrace v tom RFC není (!).

Rovněž Jabber umí používat Digest autentizaci (podle specifikace), ale neumí (podle mě) nastavit heslo, aniž by ho celé poslal serveru. Což se doufám změní.
Nevíme, jakými zbraněmi se bude bojovat ve 3. sv. válce, ale je jisté, že ve 4. sv. to budou klacky a kameny.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   Powered by Hosting 90 Server hosting
© 1999-2013 Argonit s. r. o. Všechna práva vyhrazena.