abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    RubyMine nově zdarma pro nekomerční použití
    včera 21:00 | IT novinky

    RubyMine, tj. IDE pro Ruby a Rails od společnosti JetBrains, je nově zdarma pro nekomerční použití.

    Ladislav Hagara | Komentářů: 0
    Český překlad příručky LibreOffice Calc 25.2
    včera 18:22 | Nová verze

    Český LibreOffice tým vydává překlad příručky LibreOffice Calc 25.2. Calc je tabulkový procesor kancelářského balíku LibreOffice. Příručka je ke stažení na stránce dokumentace.

    ZCR | Komentářů: 2
    GIMP 3.1.4 (vývojová verze)
    včera 01:44 | Nová verze

    Byla vydána (Mastodon, 𝕏) vývojová verze 3.1.4 příští stabilní verze 3.2 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání.

    Ladislav Hagara | Komentářů: 0
    Kazeta, linuxová distribuce inspirována herními konzolemi z 90. let
    1.9. 23:44 | Nová verze

    Zakladatel ChimeraOS představil další linuxovou distribuci zaměřenou na hráče počítačových her. Kazeta je linuxová distribuce inspirována herními konzolemi z 90. let. Pro hraní hry je potřeba vložit paměťové médium s danou hrou. Doporučeny jsou SD karty.

    Ladislav Hagara | Komentářů: 0
    Linux From Scratch a Beyond Linux From Scratch 12.4
    1.9. 23:00 | Nová verze

    Komunita kolem Linuxu From Scratch (LFS) vydala Linux From Scratch 12.4 a Linux From Scratch 12.4 se systemd. Nové verze knih s návody na instalaci vlastního linuxového systému ze zdrojových kódů přichází s Glibc 2.42, Binutils 2.45 a Linuxem 6.15.1. Současně bylo oznámeno vydání verze 12.4 knih Beyond Linux From Scratch (BLFS) a Beyond Linux From Scratch se systemd.

    Ladislav Hagara | Komentářů: 0
    Hlasujte o přednáškách na letošní LinuxDays
    1.9. 10:55 | Pozvánky

    Organizátoři konference LinuxDays ukončili veřejné přihlašování přednášek. Teď je na vás, abyste vybrali nejlepší témata, která na letošní konferenci zaznějí. Hlasovat můžete do neděle 7. září. Poté podle výsledků hlasování organizátoři sestaví program pro letošní ročník. Konference proběhne 4. a 5. října v Praze.

    Petr Krčmář | Komentářů: 13
    Snap! 11.0.0
    1.9. 02:22 | Nová verze

    Byla vydána verze 11.0.0 vizuálního programovacího jazyka Snap! (Wikipedie) inspirovaného jazykem Scratch (Wikipedie). Přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Týden v GNOME a Týden v KDE Plasma (29. a 30. srpna 2025)
    31.8. 06:00 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma. Vypíchnout lze, že v Plasmě byl implementován 22letý požadavek. Historie schránky nově umožňuje ohvězdičkovat vybrané položky a mít k ním trvalý a snadný přístup.

    Ladislav Hagara | Komentářů: 0
    Wayfire 0.10.0
    30.8. 20:00 | Nová verze

    Wayfire, kompozitní správce oken běžící nad Waylandem a využívající wlroots, byl vydán ve verzi 0.10.0. Zdrojové kódy jsou k dispozici na GitHubu. Videoukázky na YouTube.

    Ladislav Hagara | Komentářů: 0
    Výkonný ředitel GNOME Foundation po necelých čtyřech měsících skončil
    30.8. 04:00 | Komunita

    Před necelými čtyřmi měsíci byl Steven Deobald jmenován novým výkonným ředitelem GNOME Foundation. Včera skončil, protože "nebyl pro tuto roli v tento čas ten pravý".

    Ladislav Hagara | Komentářů: 7
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (81%)
     (8%)
     (2%)
     (3%)
     (4%)
     (2%)
    Celkem 129 hlasů
     Komentářů: 9, poslední 28.8. 11:53
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Blogy / Co není v hlavě / Opravník obecně oblíbených omylů o OpenID / Opravník obecně oblíbených omylů o OpenID (diskuse)
    Štítky: bezpečnost, DNS, DVD, e-mail, firewally, Instant messaging, Internet, Jabber, KDE, komunikace, Microsoft, programování, prohlížeče, Python, SSH, SSL, TLS, web

    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    freshmouse avatar 11.2.2008 13:39 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Díky, chtěl jsem ten svůj zápisek aktualizovat, ale tys mě předběhl. Nicméně musím dodat, že s novými (a snad správnými) informacemi se mi OpenID zdá ještě hloupější než předtím... :-(
    Věroš avatar 11.2.2008 13:42 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ptej se dál. :-)

    OpenID sleduju od 2005, docela se mi líbilo, ale v té době bylo v plenkách a používal ho snad jenom LiveJournal. Dneska to bude o něco lepší.
    Školím Ansible
    11.2.2008 13:51 Stevko
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ja sa teda opýtam. Ako to openID vlastne vyzerá? Pokiaľ viem, tak je to tvaru http://server/subor (alebo podobne). Prečo práve http? Prečo nie niečo iné (ftp, https)? Alebo prečo sa neprihlasovať všade mailom? Alebo JIDom?
    Věroš avatar 11.2.2008 15:03 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID vypadá jako URL, protože to URL je. Nejsem si jistý, jestli má smysl ho implementovat pro jiná URL než http.

    HTTP se používá nejspíš proto, že se pěkně implementuje autentizace bez velkého obtěžování uživatele.
    Školím Ansible
    11.2.2008 13:50 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nechápu co se ti na tom zdá hloupého, mně to příjde jako výborná věc. Ten model OpenID odpovídá modelu jiných služeb, třeba XMPP/Jabberu nebo emailu. Není na tom nic špatného, žádné Big Brother tendence to nestupňuje.
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    freshmouse avatar 11.2.2008 13:57 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Neodpovídá to mejlu nebo Jabberu, protože pod nimi se nikam nepřihlašuju. Nelíbí se mi zbytečná závislost na dalším poskytovateli něčeho.
    11.2.2008 13:58 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nechapu co je na tom hloupeho? Mam sveho duveryhodneho drzitele mych informaci, ostatni dostavaji jenom potvrzeni ze ja jsem ten za koho se vydavam, takze sice mam single-point of failure, ale ten muzu presunout na misto kde ta pravdepodobnost failure bude nizka, zaroven muzu tento single point zajistit jednim silnym heslem (schvalne kolik pouzivas hesel na webu).
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:14 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ještě k té centralizaci... Ona centralizace stejně bude probíhat, i když na několika různých místech (zní to šíleně, ale snad mi rozumíte). I když bude více poskytovatelů OpenID, každý z nich bude (podle mě zbytečně) hromadit údaje o uživatelích.
    11.2.2008 14:19 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Boze, OpenID je protokol, takze stejne jako jabber to muzu rozjet klidne na svem webu.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:25 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já tomu rozumím, ale co to na situaci mění?
    11.2.2008 14:33 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale co by to melo resit? Proste zadna centralizace neni. Kdyz budes chtit tak si na kazdem webu zalozis novy OpenID a mas stejnou situaci jako predtim. OpenID je proste protokol, ktery je zalozeny na stejnem principu jako protokoly ktere se denne pouzivaji (platebni karty, roaming u telefonu). Vyhodou je ochrana uzivatele pred potencionalne zakernym webem.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:22 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    A ještě něco.
    Jak nad tím tak přemýšlím, tak poskytování OpenID je velmi podobné poskytování e-mailových schránek. Člověk si buď založí účet u někoho, nebo si zřídí svépomocí vlastní.
    Jenže to definitivně stírá tu jedinečnost ID. Když přejdu k jinému poskytovateli OpenID (nebo k jinému poskytovateli e-mailu), tak: a) musím nějak přenést data z jednoho účtu na druhý; b) musím dojít na místa, kde jsem svoje ID (e-mailovou adresu) zadal a zadat tam to aktuální.
    11.2.2008 14:28 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    No samozrejme, ale tohle prece vubec OpenID nema resit a neresi. OpenID resi akutni problem toho ze uzivatele maji vsude po webu stovky roznych uctu se stejnym jmenem a heslem a to casto i na nebezpecnych webech, ktere jsou budto spatne zabezpecene, nebo jsou primo urcene pro ochytavani hesel.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:35 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Co se týče b), mrkněte na Misantropa a najděte si tam odstavec použití URL stránek jako OpenID identifikátoru (je to tučným písmem někde v první třetině). Pokud se na těch místech, kde zadáváte svoje OpenID, budete hned od začátku hlásit adresou stránky pro přesměrování na vašeho aktuálního poskytovatele (a tu můžete mít kdekoli, třeba na svém osobním webu), bude vám stačit změnit jen hlavičku té jedné stránky.
    freshmouse avatar 11.2.2008 14:37 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    To ale vyžaduje vazbu na další službu a taky trvanlivost toho mého URL (kde je odkaz na OpenID). Točíme se tu v kruhu. :-)
    Věroš avatar 11.2.2008 14:40 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, vyžaduje. V tom ale problém nevidím.
    Školím Ansible
    11.2.2008 14:41 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale proc by to mel OpenID resit? To je to same jako kdyby sis stezoval ze switch pracuje na urovni MAC adres a ze neumi IPv6.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:42 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jasně, ale nevím, jak byste to už chtěl řešit jinak. Pokud už nedůvěřujete ani stálosti svých stránek (když už nedůvěřujete stálosti svého poskytovatele OpenID), pak máte holt smůlu. Ale stejně tak můžete řešit trvanlivost svého mailového konta, svého konta po jabber atd.

    Prostě pokud to nechcete používat, nepoužívejte to. A pokud na tom někdo bude trvat, založte si někde jednorázový OpenID účet pro ten jeden konkrétní účel a vyjde vám to nastejno jako teď.
    freshmouse avatar 11.2.2008 14:50 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jak bych to osobně chtěl řešit jinak? Nijak. Osobně bych nechal všechno na straně toho, komu patří ty stránky, kam něco chci napsat.

    Co se týče důvěry ve stálost mých stránek... Nemusí se jednat jen o vlastní doménu. Co když mám svoje stránky pod stránkami firmy nebo školy? Po odchodu z firmy nebo školy nemůžu počítat, že ty stránky vydrží ještě léta...

    Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...
    11.2.2008 14:53 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...
    Boze ty jses takovej tupec. OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit. OpenID neni Microsoft Passport, tudiz neni tady zadny tlak na to aby kazdy clovek mel jedno unikatni trvale OpenID.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    Věroš avatar 11.2.2008 14:56 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.

    Jdu to vytesat do kamene.
    Školím Ansible
    11.2.2008 15:38 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.
    Už někdo zjistil, na čem se ty weby chtějí domlouvat? :-)

    Jinak OpenID má zatím daleko spíš charakter hnutí „těch, co spolu mluví“, a je to postavené na tom, že všichni zúčastnění chtějí, aby to fungovalo. Což je dnes už poněkud naivní přístup při tvorbě nového „protokolu“. V době crackerů a zabezpečování původně volného internetu firewally, v době spammerů a pokusů ochránit před nimi původně volný e-mail, je dost naivní vytvořit nový protokol, který je do značné míry závislý na tom, že všichni budou hodní.
    11.2.2008 15:43 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Coze? OpenID prece funguje presne naopak. OpenID predpoklada ze vsichni jsou vsichni (ostatni) zli (coz je narozdil od uzivatelu, kteri predpokladaji ze jsou vsichni hodni krok spravnym smerem).
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 16:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Když budu předpokládat, že ostaní jsou zlí, budou mi schválně posílat DNS odpovědi co nejpozději a na můj dotaz na delegující stránku mne desetkrát přesměrují, až mi nakonec začnou posílat obraz DVD rychlostí stařičkého modemu, tak se na OpenID na servereu rovnou vykašlu. Abych to mohl implementovat, musím předpokládat, že tohle mi nikdo provádět nebude, a že bude hodný.
    Věroš avatar 11.2.2008 15:48 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Web ABC se ptá webu DEF: "můžeš mi prosím potvrdit, že tenhle člověk zná identifikaci http://123.def.xx/"

    Ad bezpečnost:

    * je možné založit si vlastní OpenID server XYZ, který bude zlý.

    * ale není za pomoci hodného serveru DEF se vydávat za někoho jiného.

    To, že OpenID to má jisté jiné nevýhody, to je pravda.
    Školím Ansible
    11.2.2008 16:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    ale není za pomoci hodného serveru DEF se vydávat za někoho jiného
    Podle toho, co jste psal jinde, k vydávání se za někoho jiného stačí pozměnit mu delegující stránku.
    Věroš avatar 11.2.2008 16:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, to je pravda. Pokud změním delegující stránku, tak se můžu vydávat za majitele delegující stránky.

    Zkusím večer nebo zítra sesumarizovat do druhého blogpostu bezpečnostní problémy. (pokud to neudělá někdo dřív nebo to třeba nepřeloží z angličtiny).
    Školím Ansible
    11.2.2008 16:15 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Tak to se omlouvám za dezinformaci. Myslel jsem, že jediný prostředník, komu musím důvěřovat, je poskytovatel OpenID. Jestli to musí být ještě i správce delegované stránky…
    Věroš avatar 11.2.2008 16:17 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já jsem správce delegující stránky.

    Pro jistotu: OpenID není tak silné jako autentizace SSL certifikátem.
    Školím Ansible
    11.2.2008 16:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já jsem správce delegující stránky.
    Takže vše, co bylo až dosud napsáno o problémech při změně poskytovatele OpenID, stačí přepsat na problémy při změně poskytovatele delegující stránky. Jednoznačným identifikátorem je delegující stránka, pokud ji musím změnit, měním identitu. Navíc delegující stránka není chráněna ani tím heslem…
    freshmouse avatar 11.2.2008 14:59 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nejsem bůh a ani tupec.

    Nicméně OpenID vzniklo jako hnutí, které chtělo jednotnost něčeho. Protokol a technická realizace vůbec je druhá věc. W3C je svým způsobem taky hnutí (je jedno, jak je to právně podchycené) -- ovšem jeho technické specifikace jsou zcela jiná věc.
    11.2.2008 15:02 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, kdyz vznika nejaky protokol, tak se musi sejit nejaka skupina lidi. Rikej si tomu treba hnuti.

    OpenID je protokol. Ma se stat univerzalnim protokolem v teto oblasti, coz je rozhodne dobre, protoze to je velice rozumny protokol. Vzhledem k tomu ze ty tuto funkcnost nechces vyuzivat tak se s OpenID vubec nesetkas. Nechapu proc tady porad kritizujes blbosti, ktere s OpenID nemaji vubec nic spolecneho.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:57 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Řeknu to takhle: pokud si pro takovéhle účely uděláte danou stránku v místě, o kterém víte, že o něj pravděpodobně v relativně blízké budoucnosti přijdete, je to jenom vaše blbost.

    Opakuji: pokud to nechcete řešit, neřešte to.
    freshmouse avatar 11.2.2008 15:02 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Mimochodem, citát začínající "Ale pokud ten web má vlastní systém" není ode mě, ale od Filipa Jirsáka.
    Věroš avatar 11.2.2008 15:07 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Opraveno. Drobnost.

    A už toho nechte, bo jinak dneska odpoledne neudělám žádnou práci :-)
    Školím Ansible
    11.2.2008 15:36 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Hmm, cele me to prijde jako zbytecne komplikovane a s chabou (ci alespon chabe se tvarici) bezpecnosti.

    Nebylo by mnohem jednodussi, kdyz by uzivatel kazdemu serveru poskytl svuj verejny klic (*) a pak by ho pokazde jeho webovy prohlizec identifikoval pomoci privatniho klice? Tedy vicemene stejne, jako na ssh. Uzivatel bud nemusi zadavat nic, nebo si zada passphrasi pri prvnim pusteni prohlizece.

    Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.

    (*) bud by si na serveru normalne zridil ucet a verejny klic nahral do profilu, nebo treba by URL verejneho klice byl primo identifikator uzivatele.
    11.2.2008 15:39 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.
    Nic není potřeba měnit, takhle autentizace klientským certifikátem přes HTTPS funguje už léta.
    11.2.2008 16:33 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    PGP lze používat uvnitř TLS (např. GNUTLS to implementuje). Dokonce existuje návrh na rožíření HTTP o autentizaci/podepisování pomocí PGP (na Rootu o tom byl článek).
    Věroš avatar 11.2.2008 16:39 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, v ideálním případě by autentizace SSL certifikáty řešila vše. Ale mizí nám ta decentralizace, protože v decentralizovaném systému není jasné, kterému SSL certifikátu věřit a kterému ne.

    Jo a pak nám taky brzo dojdou IP adresy :-)

    Čímž neříkám, že bych nebyl proti (autentizaci SSL certifikáty).
    Školím Ansible
    11.2.2008 17:03 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale nemizi - klientske certifikaty nemusi byt nicim overene. Pro tohle uziti to neni potreba.

    tak proste poprve uzivatel pri zrizeni uctu nahraje libovolny verejny klic a nasledne se prokazuje privatnim klicem. Ten privatni klic prokazuje tu skutecnost, ze uzivatel je ten samy, ktery tam puvodne nahral verejny klic. Nic vic.

    Zrizeni uctu by mohlo byt i implicitni (pri prvni navsteve automaticky s ID podle hashe klice), pomocne udaje (jmeno) by se stahly z certifikatu.
    Věroš avatar 11.2.2008 19:22 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Intuitivně mi přijde, že to jde proti duchu X.509 PKI, tak jak se dnes používá. Ztrácí se tam výhoda neměnného CommonName u certifikátu, CRL a další příjemných vlastností.

    Kdyby by se tomu dal nějaký sexy název, tak by to asi pro použití "ověřit že jsem tahle osoba" fungovat mělo.
    Školím Ansible
    11.2.2008 19:53 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    X.509 je jen ustrnulý způsob využití asymetrické kryptografie. Řada let prokázala, že jednotná PKI je nerealizovatelná (sází na ni SSL, DNSsec IPsec).

    Ani nevíte, co bych dal za to, abych mohl aplikaci říci: Služba, ke které se připojuješ, vlastní soukromý klíč k veřejnému klíči, který ti právě předávám, resp. k certifikátu, který zní na JMÉNO a podepsala jej AUTORITA, jejiž veřejný klíč ti předávám. Např. k IMAP serveru bych se mohl připojit přímo, přes HTTP/CONNECT, SSH nebo natovaný port a poštovní klient by si nesmyslně nestěžoval, že TCP adresa nesedí.
    11.2.2008 17:11 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    > Jo a pak nám taky brzo dojdou IP adresy

    Predpokladam, ze narazis na problem s SSL a nutnosti unikatni IP adresy pro nezavisle webove servery. Pro ucely autentizace uzivatele ale jedine co potrebuji je ochrana proti man-in-the-middle utoku. V takovem pripade by stacil jediny certifikat (vydany provozovatelem serveru) pro vsechny virtualni servery.
    Josef Kufner avatar 11.2.2008 15:59 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jak je ošetřeno, že nebude možné ukrást spojení mezi webem, na který se přihlašuju, a poskytovatelem OpenID?

    Pokud to chápu dobře, tak k přihlášení na jakýkoliv web přes openid stačí přesvědčit cílový web, že já jsem svoje autorita (poskytovatel) a můžu podvrhnout jakýkoliv openid účet. Prostě nezaútočím na spojení uživatel -- poskytovatel openid, ani na uživatel -- web, ale na spojení poskytovatel openid -- web. Pokud udělám obyčejný man-in-middle, tak se web bude ptát útočníka, zda se může útočník přihlásit...
    Hello world ! Segmentation fault (core dumped)
    Věroš avatar 11.2.2008 16:15 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Komunikace (s přiměřeně náhodnými tikety) probíhá mezi všemi třemi stranami: HTTP klient (uživatel), OpenID provider tak i OpenID consumer (všechny možnosti), což obtížnost útoku trošku zvyšuje. Je potřeba sedět někde, kde můžete odchytit všechny tři(šest) směry, pak je to triviální.

    Pokud máme jednu stranu pod kontrolou (asi uživatele), tak stačí odchytit a upravit komunikaci mezi OpenID consumerem a providerem. (pokud se dobře pamatuju).
    Školím Ansible
    11.2.2008 16:41 r
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    r: vypada to, ze se v tom vyznas - tak me rekni, co se stane, kdyz nekdo hackne meho poskytovatele openid (ci muj hosting, kde si to budu provozovat sam)? ziska tim pristup do vsech mych sluzeb? imo j... hm, uz se tesim az tohle zacnou pouzivat eshopy ;)
    ---
    Ano, to je problém. Stejný, jako hacknutí jakékoliv jiné, služby považované tebou za důvěryhodnou (třeba toho poskytovatele e-mailu). Výhodou OpenID je to, že je otevřené a můžeš si implementovat vlastní způsob zabezpečení - mimo klasické jméno a heslo, třeba autorizaci přes SMS, One Time Password a další. Fantazii si meze nekladou.
    jenze kdyz me (ci hostingu) nekdo hackne mailserver, tak (nemam-li tam vsechnu postu archivovanou, coz aspon ja nemam :) ) zjisti kulove, bude muset zkusit na eshopu ABC jestli tam mam acc, cili si necha poslat zapomenute heslo (pokud vubec bude schopnej zjistit na jaky mail to bylo registrovano), ale v pripade openid tam musi byt ulozene vsechny l/p udaje ke vsem pouzivanym sluzbam...
    Věroš avatar 11.2.2008 19:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano. může se přihlásit jako ty. Do banky ani shopu bych s OpenID nechodil. Ale na stránky, kde vyžadují registraci klidně.

    Jen pro jistotu: OpenID producer nemá žádnou databázi login/password pro všechny weby, kterým potvrdil identitu.
    Školím Ansible
    11.2.2008 19:14 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Moment, teď se nějak ztrácím. Před časem jsem to zkoušel, založil jsem si testovací OpenID účet, na nějakém serveru třetí strany jsem si tenhle účet zaregistroval a při přihlašování mě to pak směrovalo na server té OpenID autority. Takže tam přece login/password je, ne?
    Věroš avatar 11.2.2008 19:24 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Na produceru je tam pro každého uživatele jedno heslo (či cokoliv jiného).

    Ke consumerům (ostatním webům) se to heslo vůbec nedostane, ty se jenom zeptají: "hele, potvrď mi, že tenhle uživatel je tohle OpenID"
    Školím Ansible
    11.2.2008 19:40 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jo takhle to bylo myšleno. Mě vůbec nenapadlo, že by OpenID server mohl mít různá hesla pro jednu identitu a proto mě váš příspěvek zmátl. :-)
    11.2.2008 17:24 Ivanhoej | skóre: 26 | blog: ss2_Debian | Bratislava
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ako soft treba na zalozenie vlastneho OpenID servera. Tie kniznice som nasiel (pre python ruby) no nechce sa mi to cele programovat, ci neexistuje nieco ako pre XMPP je ejaberd ci jabberd a je nieco podobne pre openid ???

    Dakujem
    23.1.2009 12:22 Pev | skóre: 28
    Rozbalit Rozbalit vše Re: Opravník obecně oblíbených omylů o OpenID
    Věroši, díky moc za vyjasnění... a také za pobavení - některé názory jsou fakt vtipné :-) (aneb nehodnotím, pokud tématu nerozumím...).

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.