Nevidomý uživatel Linuxu v blogu upozornil na tristní stav přístupnosti na linuxovém desktopu (část první, druhá, závěr), přičemž stížnosti jsou podobné jako v roce 2022. Vyvolal bouřlivou odezvu. Následně např. Georges Stavracas shrnul situaci v GNOME. Debata o jiném aspektu přístupnosti, emulaci vstupu pod Waylandem, také proběhla na Redditu.
DevConf.CZ 2025, tj. open source komunitní konference sponzorovaná společností Red Hat, proběhne od 12. do 14. června v Brně na FIT VUT. Publikován byl program a spuštěna byla registrace.
Byla vydána nová major verze 28.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.
Český telekomunikační úřad zveřejnil Výroční zprávu za rok 2024 (pdf), kde shrnuje své aktivity v loňském roce a přináší i základní popis situace na trhu. Celkový objem přenesených mobilních dat za rok 2024 dosáhl dle odhadu hodnoty přibližně 1,73 tis. PB a jeho meziroční nárůst činí zhruba 30 %. Průměrná měsíční spotřeba dat na datovou SIM kartu odhadem dosáhla 12,5 GB – v předchozím roce šlo o 9,8 GB.
Z novinek představených na Google I/O 2025: Přehledy od AI (AI Overviews) se rozšiřují do dalších zemí. Užitečné, syntetizované přehledy od generativní AI jsou nově k dispozici i českým uživatelům Vyhledávače.
Šestice firem označovaných jako „MAMAAN“ – tedy Meta (Facebook, Instagram), Alphabet (Google), Microsoft, Apple, Amazon a Netflix – je zodpovědná za více než padesát procent světového internetového provozu. Dalšími velkými hráči jsou TikTok a Disney+. Společně tak zásadně určují podobu digitálního prostředí, spotřebitelského chování i budoucích trendů v oblasti technologií. I přesto, že se podíl těchto gigantů od roku 2023 o něco snížil, jejich dominantní postavení zvyšuje volání po regulaci.
Evropská komise (EK) navrhuje zavést plošný poplatek ve výši dvou eur (zhruba 50 Kč) za každý malý balík vstupující do Evropské unie. Poplatek se má týkat balíků v hodnotě do 150 eur (zhruba 3700 Kč), které v EU nepodléhají clu. V loňském roce bylo do EU doručeno kolem 4,6 miliardy takovýchto balíků. Poplatek má krýt náklady na kontroly rostoucího počtu zásilek levného zboží, které pochází především z Číny.
Dnes a zítra probíhá vývojářská konference Google I/O 2025. Sledovat lze na YouTube a na síti 𝕏 (#GoogleIO).
V Bostonu probíhá konference Red Hat Summit 2025. Vybrané přednášky lze sledovat na YouTube. Dění lze sledovat na síti 𝕏 (#RHSummit).
Společnost Red Hat oficiálně oznámila vydání Red Hat Enterprise Linuxu 10. Vedle nových vlastností přináší také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.
reálne, mňa netrápi či týpek na tomto site-e je ten istý ako na inom, či tie žvásty píše nejaký CEO alebo niekto z internet-cafe. Od toho tu už predsa dávno máme elektornický podpis (hmm, dobre, to je námet na viac rozmýšľania ako "zbavím sa toho")
Jako uživatele je správný provoz tvého openID serveru tvou priorituou. Když bude nespolehlivý, vyměníš provozovatele.A když bude nespolehlivý provozovatel delegující stránky, vyměním identitu. Jak prosté…
).
Ten generator hesel samozrejme nemam reseny jako bookmarklet (i kdyz i tak by to slo), ale jako normalni javascriptovy formular na svem webu.
Tzn. kdyz si nahodou na cizim pocitaci chci precist sve maily na gmail.com, tak jen vlezu na http://muj_web/hesla, vygeneruji si tam heslo, a je to.
Jo, je to (v tomhle konkretnim pripade) trochu podobne jako OpenID, az na to ze kdyz se za 3 roky rozhodnu ze uz o svou puvodni domenu nestojim, tak si generator presunu jinam, a je to. A nemusim si delat starosti s tim, ze novy majitel domeny bude mit tim padem pristup k me puvodni identite.
- hlavní heslo si jen pamatuji, není uložené na žádném serveru, nikdo ho nemůže hacknout
Ani u OpenID nemusíš mít heslo na žádném serveru. Nikde není řečeno, že ověřování musí probíhat pomocí hesla na serveru. Může to být třeba přes čipovou kartu, přes čtečku otisku prstu ... Fantazii, jak server ověří tvoji identitu, se meze nekladou.
BTW: na svých stránkách jsem taky napsal o OpenID (jak to tu všichni řeší, tak jsem se neudržel a musel se taky přidat 
)
inak openid podporujem, uz ma tiez nebavi v kazdej posahanej phpbb diskusii davat ani len tie hesla typu "asdf" a "xyz" :o))
A kdyz mam v browseru ulozene hesla a sejme se mi disk tak se stane co? Takhle alespon muzu vyuzit spolehlivou sluzbu, treba komercni, u ktere si budu moct byt jisty ze k fatalnimu vypadku nedojde.Zálohování již bylo vynalezeno dávno. Hesla můžu mít uložená třeba vytesaná do kamene ve dvaceti různých trezorech, když na to přijde. Poskytovatele OpenID pro jednu identitu můžu mít jenom jednoho.
A jeste jednou, kdyz nechces tak OpenID nemusis pouzivat. Muzes si na kazdem serveru zalozit novou identitu a budes mit uplne stejnou situaci jako bez OpenID, takze fakt nechapu co mas porad proti.Proti mám to, že je to hloupě vymyšlený koncept, který složitě řeší věci, které není potřeba řešit, a vůbec neřeší věci, které by řešit měl. Jenomže to bude vypadat, že tady řešení problému s účty nějaké je, tak se nebude dlouho hledat jiné řešení, a zakonzervuje se tím špatný stav.
Proti mám to, že je to hloupě vymyšlený koncept, který složitě řeší věci, které není potřeba řešit, a vůbec neřeší věci, které by řešit měl. Jenomže to bude vypadat, že tady řešení problému s účty nějaké je, tak se nebude dlouho hledat jiné řešení, a zakonzervuje se tím špatný stav.Ano presne, on resi uplne neco jineho nez chces aby resil. Ale o tom to je. Proste to resi uplne jine veci, se kterymi treba ty nemas problem, ale jini ten problem maji. Kdyz chces resit nejake jine problemy, tak vymysli s novym standard. Proste OpenID resi veci ktere resi a jine resit nebude.
OpenID is a decentralized single sign-on system. Using OpenID-enabled sites, web users do not need to remember traditional authentication tokens such as username and password. Instead, they only need to be previously registered on a website with an OpenID "identity provider" (IdP). Since OpenID is decentralized, any website can employ OpenID software as a way for users to sign in; OpenID solves the problem without relying on any centralized website to confirm digital identity.
Poskytovatele OpenID pro jednu identitu můžu mít jenom jednoho.Tuším, že jich můžeš mít kolik chceš. Holt si musíš hlídat, aby ti nevypršela doména, kde máš web.
hlavný zámer: zneužiť systém, i.e. ukradnúť identitu. teraz môžem ukradnúť l/p na svoj site a spoľahnúť sa na BFU, no ďaľší výskyt musím hľadať (rovnaký l/p, iný site)
po novom? ukradnem url a heslo, a ajhľa, už som všade niekto iný
inými slovami, celý ten nápad je len uľahčenie práce spamerom, phisherom a podobným opovrhnutiahodným individuám
Na stránkách Poskytovatele se Uživatel standardním způsobem přihlásí, pokud je třeba, a určí, jaké údaje budou předány (pokud je třeba).Buď si OpenID poskytovatel bude pamatovat, které údaje mohou být kterému serveru předány (a že uživatel ten server vůbec autorizoval), to pak ale musí mít tu databázi serverů, kam se uživatel přihlásil. Nebo si to pamatovat nebude, uživatel to bude muset určovat pokaždé znova, a pak je to ještě blbější, než jsem si myslel.
ale nejak to asi nechápete 
mimochodom, môžete objasniť vaše myšlienkové postupy, ako ste sa dostal k tej databáze navštívených stránok?
Boze, kde tyhle blbosti ctes?To je právě ono. Obhájci OpenID se ještě nedokázali shodnout ani na tom, co OpenID vlastně je a pro koho je určeno. V blogu a v diskuzi padlo na obhjaobu OpenID mimo jiné následující:
Dotazy na praxi jsou tady ke konci diskuze, a jsou přímo na Abíčko. Zatím jsem to pochopil tak, že všechno by bylo stejně, jako dosud, akorát místo automatického přihlášení na základě cookie nebo přihlášení jménem a heslem bych se mohl přihlásit OpenID (které samotné bude delší než jméno a heslo dohromady), což by znamenalo zadat víc údajů a navštívit víc stránek. Připomíná mi to jediné – zkratka byla sice delší, ale o to náročnější.Ano presne tak by to fungovalo. Pokud pouzivate na kazdem serveru samostatne OpenID tak je to opravdu narocnejsi nez normalni prihlasovani (ktere ale OpenID nema nahrazovat). Cimz se ale vracime k uplnemu zacatku, kdyz chcete mit na kazdem serveru samostatny login a heslo (na kazdem serveru jine) tak nejste cilovym uzivatelem OpenID.
Boze ty si fakt dement. KDYBY KAZDY ODESLANY EMAIL BYL PODEPSANY KVALIFIKOVANYM CERTIFIKATEM TAK NEEXISTUJE SPAMCo by bránilo někomu poslat spam podepsaný kvalifikovaným certifikátem?
To je právě ono. OpenID je takové teoretické něco, které může sloužit k čemukoli.Přečti si specifikaci.
jednotné server-side prihlásenie imho môže fungovať len ak je centralizované (resp obmedzene decentralizované).
nakoniec to skončí tak, že openid síce podporovať bude každý site, ale bude akceptovať len jedného dôveryhodného poskytovateľa ... samého seba. A user bude na tom rovnako, miesto písania login/password bude písať šialené (z pohľadu bfu) url a heslo k tomu.
he? to akože môže vypadnúť len free poskytovateľ? ojoj, toľká naivitaTed nevim jestli to byla reakce na mne, ale kdyz jo, tak: Samozrejme ze muze, ale kdyz uz ma komercniho poskytovatele tak jaksi muzu ocekavat dostatecnou kompenzaci za zpusobene problemy. Ze stejneho duvodu pouzivam komercni email.
a kompenzácia? ojoj, toľká naivita (ktorý poskytovateľ mi napr vynahradí to, že svojím výpadkom ma pripravil o možnosť vyhrať v online stávkovke?)
a kompenzácia? ojoj, toľká naivitaNo, to je spis vase debilita, kdyz podepisete takovou smlouvu.
Ale tak to je přece u všech síťových služeb. U e-mailu, u IM ... dokonce i u elektronického podpisu.
Všechno co píšete ale platí jenom do té doby, dokud poskytovatel OpenID funguje.To není pravda. Jako OpenID můžeš používat jakoukoliv stránku, do které můžeš psát, takže i vlastní doménu. Je to věc DNS, stejně jako již zmíněný mail... používaný i na password recovery, když zapomeneš heslo. Aha... katastrofické filmy... njn, hele a co když na nás spadne meteorit? :D
dlouhé OpenIDTím dlouhým OpenID jsi myslel pavlix.net?
autorizovat server AbcLinuxu.cz?Což uděláš jen jednou (pak si openid server abclinuxu zapamatuje).... nebo pokud dovolíš OpenID autorizovat všecko, tak ani jednou.
To se fakt vyplatí.Vyplatí.
Každý si může založit doménu a na ni rozchodit vlastní OpenID a tím se všude přihlašovat.Nějak mi uniká, co pořád všichni mají s tou doménou. OpenID server nepotřebuje vlastní doménu, směrodatné je URL. Na jedné doméně tudíž může být více OpenID serverů a naopak - URL OpenID serveru nemusí doménu obsahovat vůbec a mít místo ní IP adresu.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
13.2.2008 16:28
14.2.2008 23:29
15.2.2008 00:48
13.2.2008 11:31
http://example.com/filip.jirsak, bude ten, kdo tohle URL ovládá (tedy ten, kdo ovládá doménu example.com) mít v moci mou identitu. A to se netýká jenom nynějška, ale i budoucnosti. Tzn. když já něco letos napíšu pod touhle identitou, a za rok mne ta doména přestane bavit a opustím ji, ten, kdo ji získá po mně, může tuhle identitu ovládnout a tvrdit, že ty komentáře psal on. Může mi (třeba tady na Abičku) měnit zápisky v blogu, přidá si tam odkazy na nějaké svoje stránky… Ne že by mi třeba na tomhle konkrétním komentáři tak záleželo, ale že bych chtěl začít používat technologii, kde k téhle „ztrátě identity“ zákonitě musí dojít? (Stačí, když si vzpomenu, kolik už jsem změnil e-mailů…)
Bude ti zruseno? Co to je za blbost?Můj poskytovatel OpenID přestane existovat, nebo se na mne naštve, a přestane poskytovat službu mně. Vyprší platnost mojí domény a než si ji stihnu zaregistrovat znova, zaregistruje si ji někdo jiný. Skončí webhosting, na kterém jsem měl delegující web stránku. Nebo stačí jenom to, že webhosting s delegující stránkou někdo hackne, na chvíli si přesměruje OpenID k sobě a někde mne přeregistruje na jiné OpenID.
To ze si nepamatujes kde vsude si registrovany, je tvoje blbost.To je to, o čem tu celou dobu mluvím. OpenID je strašně nevyvážené. Tohle je další věc. Mám se s ním snadno přihlašovat, kam mne napadne, ale pak abych si vedle na papír psal, kam jsem se všude přihlásil. To už si vedle můžu psát i ty hesla…
Kdyz nekdo ziska moje telefonni cislo a vi kdo jsem, tak se za mne muze velice efektivne vydavat a tim ziskava vsechno. To same plati pro emailovou adresu (OK, pro realnou adresu az tak moc ne).Ne, když někdo získá moje telefonní číslo, může se vydávat za mne od okamžiku získávání čísla dál do budoucnosti. Ale nemění se tím nic ohledně telefonních hovorů uskutečněných v minulosti. Ty staré telefonní hovory byly stále uskutečněny mezi vámi a někým, ne mezi novým majitele čísla a někým.
Můj poskytovatel OpenID přestane existovat, nebo se na mne naštve, a přestane poskytovat službu mně. Vyprší platnost mojí domény a než si ji stihnu zaregistrovat znova, zaregistruje si ji někdo jiný. Skončí webhosting, na kterém jsem měl delegující web stránku. Nebo stačí jenom to, že webhosting s delegující stránkou někdo hackne, na chvíli si přesměruje OpenID k sobě a někde mne přeregistruje na jiné OpenID.Prestane existovat - pak mi to OpenID nemuze nikdo ukrast. Kdyz se na mne nastve PostSignum (certifikacni autorita) tak muzou dat muj kvalifikovany certifikat (ekvivalent notarsky overeneho podpisu) nekomu jinemu. Kdyz nekdo hackne web kde mas stejne heslo jako na jinych webech, tak mas stejny problem. Zbytek je tvoje blbost.
Ne, když někdo získá moje telefonní číslo, může se vydávat za mne od okamžiku získávání čísla dál do budoucnosti. Ale nemění se tím nic ohledně telefonních hovorů uskutečněných v minulosti. Ty staré telefonní hovory byly stále uskutečněny mezi vámi a někým, ne mezi novým majitele čísla a někým.To same plati pro OpenID. Kdyz nekdo ziska moje OpenID tak se muze za mne zacit vydavat.
To je to, o čem tu celou dobu mluvím. OpenID je strašně nevyvážené. Tohle je další věc. Mám se s ním snadno přihlašovat, kam mne napadne, ale pak abych si vedle na papír psal, kam jsem se všude přihlásil. To už si vedle můžu psát i ty hesla…Neni nevyvazne, jenom resi jednu konkretni vec, protoze ty ostatni uz resi jiny sluzby/protokoly.
Prestane existovat - pak mi to OpenID nemuze nikdo ukrast.Do té doby, než začne existovat někdo jiný, se stejnou adresou. Jakmile se tak stane, identita je zcizena.
Kdyz se na mne nastve PostSignum (certifikacni autorita) tak muzou dat muj kvalifikovany certifikat (ekvivalent notarsky overeneho podpisu) nekomu jinemu.Oni se na vás nemusí naštvat, stačí, když jim předání vašeho certifikátu odsouhlasíte. A i vy sám budete svůj certifikát zveřejňovat, pokud vám má k něčemu být. Nepleťte si certifikát veřejného klíče s klíčem soukromým. Soukromý klíč máte naopak jenom vy, certifikační autorita ani nikdo jiný ho nemá. Dokud se na sebe nenaštvete vy sám, je použití soukromého klíče a certifikátu bezpečné.
Kdyz nekdo hackne web kde mas stejne heslo jako na jinych webech, tak mas stejny problem. Zbytek je tvoje blbost.Jenže OpenID je prezentováno jako lék na daleko méně závažné blbosti. Takže uživatel OpenID musí být jednak totální budižkničemu, aby se mu vyplatilo používat OpenID místo něčeho lepšího, jednak musí být pomalu bezpečnostní expert, aby si správně vybral poskytovatele OpenID, dostatečně silné heslo, zařídil, aby nikdo nemohl jeho OpenID napadnout ze strany uživatele…
To same plati pro OpenID. Kdyz nekdo ziska moje OpenID tak se muze za mne zacit vydavat.Máte to tu písemně
Ne „může začít“ – když někdo získá moje OpenID, stává se jeho majetkem i vše, co jsem až dosud pod tímhle OpenID dělal. Pokud jsem třeba složil básničku a dal jí na blog chráněný OpenID, okamžikem zcizení OpenID se on fakticky stává jejím autorem. Protože na webu jsem tu básničku nenapsal já, ale ta identita OpenID. A tu identitu nyní ovlává on.
Do té doby, než začne existovat někdo jiný, se stejnou adresou. Jakmile se tak stane, identita je zcizena.Ale houby, precti si uz konecne jak to funguje.
Oni se na vás nemusí naštvat, stačí, když jim předání vašeho certifikátu odsouhlasíte. A i vy sám budete svůj certifikát zveřejňovat, pokud vám má k něčemu být. Nepleťte si certifikát veřejného klíče s klíčem soukromým. Soukromý klíč máte naopak jenom vy, certifikační autorita ani nikdo jiný ho nemá. Dokud se na sebe nenaštvete vy sám, je použití soukromého klíče a certifikátu bezpečné.To je sice hezke ze certifikacni autorita muj soukromy klic nema, ale muze klidne vydat klic s mym jmenem nekomu jinemu a ten muj zneplatnit.
Jenže OpenID je prezentováno jako lék na daleko méně závažné blbosti. Takže uživatel OpenID musí být jednak totální budižkničemu, aby se mu vyplatilo používat OpenID místo něčeho lepšího, jednak musí být pomalu bezpečnostní expert, aby si správně vybral poskytovatele OpenID, dostatečně silné heslo, zařídil, aby nikdo nemohl jeho OpenID napadnout ze strany uživatele…Ne, to jenom ty tady porad pises ze OpenID je nanic protoze neresi veci, ktere proste resit nema a nikdo netvrdi ze je resit ma nebo kdy mela. To ze mam mit silne heslo vi kazdy nouma, jenomze protoze si silne heslo nedokaze zapamatovat (duplem kdyz mam mit vsude jine, nebo je pravidelne menit) tak ma kazdy pitome slabe hesla.
Máte to tu písemněCoze? Jak basnicka chranena OpenID? Jses ozralej nebo co? Kdyz mam v Ceske sporitelne nastavene overovani pomoci SMS, tak ten kdo ziska moje telefonni cislo se prave stal majitelem obsahu meho uctu.
Ale houby, precti si uz konecne jak to funguje.Já jsem četl specifikaci a nenašel jsem tam nic, co by bylo v rozporu s jeho tvrzením. Muzes to teda prosim vysvetlit? Rád bych věděl, jak to s tím openid je.
by OpenID poskytovatel a server musely mít nějaké společné tajemstvíNecekane prave o tom se v popisu pise. Aspon vidim ze si to ani nevidel.
Shared secret se na OpenID používá.Ano, používá. Ale já jsem napsal tohle:
OpenID poskytovatel a server by musely mít nějaké společné tajemstvíA nějaké společné tajemství, které používá OpendID a u kterého není jisté, kdo všechno ho ví, a společné tajemství právě a jen serveru a OpenID poskytovatele jsou dvě naprosto odlišné věci. To druhé je skutečné zabezpečení toho, že server komunikuje se správným poskytovatelem OpenID. To první je pouze aplikace principu „kdo dřív přijde, ten dřív mele“, ovšem nikde nemáte zaručeno, že jako první přijde „ten hodný“. A nejde jen o ustavení asociace, ale i o její změnu. Nebo snad někde v popisu protokolu vidíte, že uživatel musí každé ustavení i změnu „společného tajemství“ schválit?
openid.cz, jako včera.
hmm, předpokládáš, že doména změní vlastníka... To je ale neřešitelný problém. Ve svém článku píšu, že existují jiné (asi i lepší) podobné systémy. Ale tomuto problému se člověk tak jako tak nevyhne. Buď tu bude centrální registr (případně DNS) a pak jsme závislí na provozovateli toho registru (případně na tom, že se vlastník domény nezmění) nebo budeme používat certifikáty a pak ale stojíme před rizikem, že si někdo vygeneruje pár klíčů se stejným hashem jako my (což je nepravděpodobné, ale vyloučit to nelze) a pak bude cizí člověk vystupovat naším jménem.To není neřešitelný problém. Onen centrální registr lze s certifikáty propojit. Centrální registr (nebo registry, certifikační autority) zajistí unikátnost páru veřejný klíč–CA (z čehož je odvozena unikátnost páru soukromý klíč–CA). Důvěryhodná třetí strana (CA) zde usnadňuje komunikaci, ale pořád nemusí mít bezvýhradnou důvěru. Pokud by CA selhala a vydala certifikát pro stejnou „identitu“ ale s jiným párem klíčů, lze pořád ještě kdykoli (i zpětně) dohledat, co bylo podepsáno pravým párem, a co tím falešným. Tohle u OpenID nefunguje – pokud selže OpenID a povolí přístup někomu jinému, než je právoplatný uživatel, nelze to už nikdy dohledat ani dokázat. Jako poslední instance tady funguje poskytovatel OpenID, nikoli ona „identita“. Jenomže to už vymýšlíme vymyšlené – autorizaci klientským certifikátem v HTTPS (to konkrétně na webu, jinak autorizaci klientským certifikátem obecně).
Certifikáty podepsané důvěryhodnou autoritou se v OpenID nevyskytujíPřečti si něco o HTTPS a TLS/SSL. Díky moc.
https:/example.com ovládá dneska stejný majitel, jako zítra.
okud něco funguje na principu „tento klíč byl kompromitován, příště použijte následující klíč“, to celé podepsáno oním kompromitovaným klíčem, těžko to lze považovat za bezpečné.A tímhle způsobem funguje co?
Certifikáty podepsané důvěryhodnou autoritou se v OpenID nevyskytují, tam je důvěryhodný ten certifikát, který se objeví jako první.RTFM a nevymýšlej si kraviny.
To první je pouze aplikace principu „kdo dřív přijde, ten dřív mele“Není. Je to aplikace principu, kdo přijde, ten bere, bez ohledu na to, jestli byl první. Shared secret se používají z jiného důvodu, ale o tom už jsem v nějakém komentáři psal, nebudu se opakovat.
Nebo snad někde v popisu protokolu vidíte, že uživatel musí každé ustavení i změnu „společného tajemství“ schválit?Protokol nepopisuje uživatelské rozhraní. Takže tenhle dotaz je trochu mimo. Jen pro upřesnění, shared secred v OpenID je (psal jsi, že není), ale neslouží (jak si asi sám dokážeš domyslet) ke kontrole vlastnictví domény. K tomu slouží ve slabším případě DNS samotné, v trochu silnějším případě certifikáty (ale přečti si příspěvek od Santiaga). Ke univerzálnímu kryptografickému ověření jedince doporučujou používat digitální podpis a ne hesla nebo ověřování pomocí serveru (ať už OpenID nebo jiné řešení). OpenID slouží k ověření kontroly nad konkrétní doménou, případně URL, které se pak používá jako identifikátor. Tento účel splňuje myslím dobře.
OpenID slouží k ověření kontroly nad konkrétní doménou, případně URL, které se pak používá jako identifikátor. Tento účel splňuje myslím dobře.Konečně něco, na čem se shodneme. Teď už zbývá jen vyřešit otázku, proč je tohle vydáváno za ověření identity.
Vždyť když ověřujeme heslo nebo certifikát, taky neidentifikujeme, jestli je to ten konkrétní člověk, ale to, jestli je to držitel soukromého klíče nebo znalec hesla.
Stačí když identitu pojememe jako "ten kdo vládne daným URL", místo pojetí "konkrétní lidská bytost"V lidské společnosti považujeme za údaje dostatečně identifikující identitu i jméno, příjmení a datum narození (případně ještě bydliště, místo narození nebo RČ). To je myslím dostatečné. Ale hlavně, tohle je identita, kterou člověk jednou nabyde, a pokud sám nic aktivně neudělá, nemůže o ni přijít. Zatímco OpenID identita je něco, o co se člověk musí neustále pečlivě starat, jinak o tu identitu přijde. To je v rozporu s důležitou zásadou bezpečnosti – bezpečný systém musí při chybě nebo nečinnosti spadnout do bezpečnějšího stavu, ne do méně bezpečného.
Je to vlastně taková identita znějící na držiteleAno, jenomže certifikáty i hesla mají tu možnost říci „tohle heslo už neplatí, bylo prozrazeno“. A tohle se ověřuje způsobem nezávislým na původním certifikátu nebo hesle. U OpenID tohle neplatí, tam prostě záleží na tom, kdo bude rychlejší. To je zajímavé, jak se všichni bojí velkého bratra v podobě státu nebo velkých firem, ale když se pak objeví systém, který při nečinnosti vede k méně bezpečnému stavu, systém, ve kterém důvěryhodnou třetí stranu nelze nijak kontrolovat, tak se k němu hned spousta lidí hrne, protože je to pohodlnější. Každý si pořád představuje omezení svobody jako něco, k čemu nás někdo musí násilím donutit. Vůbec ne, stačí nabídnout zdánlivé pohodlí…
Zatímco OpenID identita je něco, o co se člověk musí neustále pečlivě starat, jinak o tu identitu přijde.Chápu, o co ti jde, ale obávám se, že se tu přeme o něco, co nejde vyřešit. Nezastávám se OpenID jako takového, ale spíš konceptu důvěryhodné třetí strany, který je z mnoha důvodů výhodný (ale nevýhody má taky, o tom žádná). Shrňme si možnosti:
Ačkoli OpenID není dokonalé, přijde mi celkem fajn pro přihlašování na různé méně důležité weby, blogy, diskusní fóra - člověk může např. kdekoli zanechat svůj komentář, aniž by se musel nějak složitě registrovat (což je vopruz hlavně u stránek, kam člověk nemá v úmyslu chodit pravidelně).
Ačkoli OpenID není dokonalé, přijde mi celkem fajn pro přihlašování na různé méně důležité weby, blogy, diskusní fóra - člověk může např. kdekoli zanechat svůj komentář, aniž by se musel nějak složitě registrovat (což je vopruz hlavně u stránek, kam člověk nemá v úmyslu chodit pravidelně).Jenomže to je problém toho webu, že neumožňuje anonymní (neregistrované) příspěvky sám od sebe, ale zprovozní je až v souvislosti s tím, že zavede OpenID. Kdyby povolil anonymní příspěvky sám od sebe, bude výsledek stejný. Takže to co vy požadujete za přínos není důsledek zavedení OpenID. Kdyby OpenID nebyl žádný protokol, ale nálepka „tento web nevyžaduje registraci“, fungovalo by úplně stejně (resp. ještě lépe, protože ani OpenID nevylučuje, že se budete muset registrovat).
E-mail je svázaný s časem vzniku – e-maily odeslané na určitou adresu před změnou dorazí jednomu adresátovi, odeslané na tutéž adresu po změně dorazí druhému adresátovi. Ale záleží na to času odeslání, ne na času, kdy to zkoumáte. OpenID tuhle provázanost s časem nemá, to je svázané vždy s aktuálním časem.Když např. napíšu komentář 16.2.2008 14:26, a identifikuji se pomocí OpenID https://frantovo.cz/openid, tak to znamená, že ten komentář psala osoba, který k okamžiku 16.2.2008 14:26 vládla adresou https://frantovo.cz/openid. Což mi přijde jako pro komentáře bohatě dostačující. Certifikáty jsou fajn, ale hodí se až na ty důležitější věci, protože mají jednu celkem zásadní nevýhodu: musím ho nosit s sebou. U méně důležitých věcí, raději obětuji kousek bezpečnosti a budu používat obyčejná hesla nebo OpenID, protože je to pohodlnější a pro daný účel dostatečně bezpečné.
Kdyby povolil anonymní příspěvky sám od sebe, bude výsledek stejný.Na svém webu mám možnost jak klasické registrace (jméno/heslo), tak přihlášení pomocí OpenID, tak i možnost psaní anonymních příspěvků (matematická captcha). Pokud se pod svůj názor někdo podepíše (buď heslem nebo pomocí OpenID), tak tomu přikládám větší vážnost než nějakému anonymnímu výkřiku. Nicméně nechávám na rozhodnutí každého, jak chce vůči ostatním vystupovat.
Když např. napíšu komentář 16.2.2008 14:26, a identifikuji se pomocí OpenID https://frantovo.cz/openid, tak to znamená, že ten komentář psala osoba, který k okamžiku 16.2.2008 14:26 vládla adresou https://frantovo.cz/openid. Což mi přijde jako pro komentáře bohatě dostačující.V jakémkoli čase jiném než 16.2.2008 14:26 už ale nedokážete určit, která osoba to je. Pouze můžete říci, že je tu jistá možnost, že je to ta samá osoba, která tou adresou vládla o 10 minut později nebo jí vládne teď.
Na svém webu mám možnost jak klasické registrace (jméno/heslo), tak přihlášení pomocí OpenID, tak i možnost psaní anonymních příspěvků (matematická captcha). Pokud se pod svůj názor někdo podepíše (buď heslem nebo pomocí OpenID), tak tomu přikládám větší vážnost než nějakému anonymnímu výkřiku. Nicméně nechávám na rozhodnutí každého, jak chce vůči ostatním vystupovat.A tohle bude fungovat přesně jenom do té doby, než se OpenID rozšíří. Jakmile se rozšíří, všimnou si ho spammeři a různí šibalové, a vaše registrace bude mít zase jen dvě možnosti – jedna bude registrace na vašem serveru, která se následně bude ověřovat heslem nebo OpenID, druhá možnost bude anonymní příspěvek, ke kterému uživatel může napsat svoje neověřené jméno, nebo svoje OpenID – v obou případech chráněné captchou. Vlastně ne, beru zpět. Spameři si OpenID všimnou dřív, než se rozšíří. Protože celkem záhy zjistí, že rozjet svůj vlastní OpenID server není nic náročného, ale má to pro spamera pozitivní efekt – spousta OpenID webů ho bude považovat za neanonymního uživatele. Ale ještě chvíli si můžete OpenID jako neanonymní identifikaci užívat.
Ale ještě chvíli si můžete OpenID jako neanonymní identifikaci užívat.S tím spamem je to pravda, ale budu to řešit, až to přijde. Až se mi tam objeví první spam podepsaný OpenID, tak tam buď přidám captchu nebo OpenID vypnu. Podobně jako až přestane stačit primitivní matematická captcha (sčítání dvou čísel), tak budu muset přejít na silnější zabezpečení. Snad nechceš, abych psaní komentářů podmiňoval použitím certifikátů? Ty mám sice rád (jsou o stupeň bezpečnější), ale tady bych to považoval za zbytečnou buzeraci.
Snad nechceš, abych psaní komentářů podmiňoval použitím certifikátů? Ty mám sice rád (jsou o stupeň bezpečnější), ale tady bych to považoval za zbytečnou buzeraci.Jistě že ne. Jenom bych nevydával OpenID za spásu, která zjednoduší registrace – ty budou pořád stejné. V některých případech to může zjednodušit přihlašování, ovšem ty případy jsou dost ojedinělé – a je poněkud zvláštní, že uživatelé, kterých se tohle týká, nepoužijí nějaké už existující řešení, které mohou začít používat hned. A místo toho čekají, až se začne používat OpenID – pak to prý konečně bude ono. Ale docela by mne zajímalo, kdy se začne první spam „ověřený“ přes OpenID objevovat – jak jsou spameři rychlí. Jenomže to by znamenalo někde logovat i loginy neúspěšných pokusů, které neprošly přes captchu.
Jistě že ne. Jenom bych nevydával OpenID za spásu, která zjednoduší registrace – ty budou pořád stejné.Jasně jasně... Pořád budu muset jak blbec vymýšlet lokálně unikátní jméno.... Pořád budu muset vymýšlet zapamatovatelné heslo nebo použít to, co už má dvacet jiných bloggerů v plaintextu na svém disku... Takovéhle stejné budou registrace? Nespletl sis OpenID s něčím jiným?
Pokud vám na registracích vadí tohle, pak máte asi šťastnou ruku při výběru toho, kam se registrujete.Co mi zbývá :). Jinak psát asdf a zxcv umím docela rychle :). E-mail a nesmyslné otázky se často řeší právě kvůli autentizaci.
K nutnosti vymýšlet složitě lokálně unikátní jméno můžu doporučit jediné – zkuste použít jméno.příjmení.Díky, nechci. Jednak nemam často zájem publikovat své jméno a příjmení (nebo aspoň ne přímo), jednak se budeš divit, u kolika lidí to není unikátní. A btw... moje jméno a příjmení si takhle může zaregistrovat každej. Kdyžto globální identifikátor je jenom muj :D.
Ano, jenomže certifikáty i hesla mají tu možnost říci „tohle heslo už neplatí, bylo prozrazeno“.Tak to by mě zajímalo, co mám dělat, když někdo odposlechne moje heslo na Ábíčko. Buď ho nezmění a pak si ho rychle změním já na jiné (kdo dřív přijde, ten dřív mele), nebo mi ho změní on a pak mám smůlu, protože už není cesta dopátrat, kdo je ten pravý xkucf03*. Heslo je možné poslat e-mailem, ale ten si zloděj může změnit na svůj a pak mám taky smůlu. Když bude prozrazen např. můj OpenPGP certifikát, tak čím podepíšu, že byl prozrazen? Zase tím prozrazeným certifikátem?
A řeknu, že nyní používám certifikát s hashem 7eb37c958ffd61381a48ea88a7e348ca. Jenže totéž může udělat ten útočník a já, jakožto skutečný vlastník certifikátu, jsem pak mimo hru. Může pomoci CA, ale ta zase musí být důvěryhodná atd.
*) v mém případě možná jo, protože to je i moje identita ve škole, tak bych možná Leoše nebo Roberta přesvědčil, že to jsem skutečně já
Tak to by mě zajímalo, co mám dělat, když někdo odposlechne moje heslo na Ábíčko. Buď ho nezmění a pak si ho rychle změním já na jiné (kdo dřív přijde, ten dřív mele), nebo mi ho změní on a pak mám smůlu, protože už není cesta dopátrat, kdo je ten pravý xkucf03*. Heslo je možné poslat e-mailem, ale ten si zloděj může změnit na svůj a pak mám taky smůlu.Pokud se všechny identifikační údaje sbíhají u jediného – u hesla – pak šanci opravdu nemáte. Muselo by to být řešeno nezávislým kanálem – např. byste musel mít druhé heslo, které by zabezpečovalo změnu e-mailu, nebo by změnu e-mailu musel potvrdit příjemce původního e-mailu. OpenID poskytuje ale pouze jednu cestu, takže pokud byste chtěl implementovat ověření změny OpenID, musí to každý server udělat opět svým způsobem – některý může využít druhé přihlašovací jméno a heslo, jiný může použít zaslání ověřovacího kódu na e-mail (který nepůjde přes přihlášení přes OpenID změnit)…
Může pomoci CA, ale ta zase musí být důvěryhodná atd.Ano, ale důvěryhodná CA znamená zcela něco jiného, než důvěryhodný poskytovatel OpenID. Pokud udělá chybu důvěryhodná CA, je možné takovou chybu odhalit a pak všechny případy rozdělit na ty, které vznikly legálně, a na ty, které vznikly jako důsledek chyby CA. Takže CA je důvěryhodná, ale lze ji kontrolovat. Poskytovatel OpenID musí mít vaši absolutní důvěru – jeho činnost nemůžete zkontrolovat, a pokud udělá něco špatně, je to technicky nerozlišitelné od toho, co jste dělal vy jako legální uživatel.
Ano, ale důvěryhodná CA znamená zcela něco jiného, než důvěryhodný poskytovatel OpenID. Pokud udělá chybu důvěryhodná CA, je možné takovou chybu odhalit a pak všechny případy rozdělit na ty, které vznikly legálně, a na ty, které vznikly jako důsledek chyby CA. Takže CA je důvěryhodná, ale lze ji kontrolovat. Poskytovatel OpenID musí mít vaši absolutní důvěru – jeho činnost nemůžete zkontrolovat, a pokud udělá něco špatně, je to technicky nerozlišitelné od toho, co jste dělal vy jako legální uživatel.To nepopírám, ale IMHO je přece potřeba volit vhodný poměr mezi přínosem a újmou daného řešení, než usilovat o 100% bezpečné řešení vždy a všude (čehož stejně nejde dosáhnou). Když půjdu na vesnici na pivo, tak klidně pojedu na kole a nechám ho opřené před hospodou a budu se spoléhat na to, že ho nikdo neukradne. Když pojedu do Chánova, tak si vezmu auto a najmu si gorilu s baseballkou, která mi ho pohlídá.
Tím chci říct, že je potřeba volit adekvátní úroveň zabezpečení pro danou situaci.
OpenID nevylucuje (a zaroven nevynucuje) pouziti CA. To ze to nevynucuje je velice logicky krok.V tom případě mám na vás několik otázek: kde najdu seznam certifikačních autorit, kterým má důvěřovat server, který chce OpenID používat (tedy seznam důvěryhodných certifikačních autorit pro OpenID)? Jaký údaj na certifikátu bude CA ověřovat a bude ho podepisovat? Jak CA zajistí, aby certifikát na stejné údaje nebyl vydán v budoucnosti nikomu jinému – bude existovat nějaký centrální registr? Předpokládám, že nemáte na mysli HTTPS, protože jeho použití je z hlediska toho, o čem se tady diskutuje, nepodstatné. Nebo jste stále ještě nevzal na vědomí, že zabezpečení přenosu (HTTPS) ještě automaticky neznamená, že je důvěryhodný i přenášený obsah?
kde najdu seznam certifikačních autorit, kterým má důvěřovat server, který chce OpenID používatSeznam důvěryhodných autorit speciálně pro OpenID není potřeba. Doporučuju přečíst http://en.wikipedia.org/wiki/Certificate_authority. Certifikát má sloužit k ověření, zda nás DNS a TCP spojení dovedly opravdu k serveru, který obsluhuje dané doménové jméno. Stejným způsobem se dá postupovat u webu obecně, jabber, mailu, SSH a dalších služeb. Seznam důvěryhodných autorit potom závisí na bezpečnostní politice.
Předpokládám, že nemáte na mysli HTTPS, protože jeho použití je z hlediska toho, o čem se tady diskutuje, nepodstatné. Nebo jste stále ještě nevzal na vědomí, že zabezpečení přenosu (HTTPS) ještě automaticky neznamená, že je důvěryhodný i přenášený obsah?Samozřejmě, že máme na mysli použití HTTPS místo HTTP k OpenID komunikaci, viz výše.
Certifikát má sloužit k ověření, zda nás DNS a TCP spojení dovedly opravdu k serveru, který obsluhuje dané doménové jméno.Čímž ale máte jistotu jedinou, a to že právě teď komunikujete s právoplatným majitelem té domény*). Ale informaci o tom, že je to ten stejný majitel, jako byl včera, nemáte vůbec žádnou. Což je pro identifikaci poněkud hloupé, protože identifikace, která platí jenom v jeden okamžik je celkem k ničemu. Pokud tvrdíte, že od OpenID takovou identifikaci nepotřebujete, je to vaše věc. Ale mezi tvrzeními „je to bezpečné“ a „není to bezpečné, ale mně to nevadí“ je dost podstatný rozdíl. *) a teď pomíjím fakt, že může zaniknout vaše právo nakládat s doménou, ale dříve legálně vydaný certifikát vám bude platit až do doby vypršení jeho platnosti nebo jeho revokace. Což je ale problém opačné časové posloupnosti – nejprve by musel doménu vlastnit „ten zlý“ a po něm „ten hodný“. Nicméně pořád má „ten hodný“ šanci začít doménu používat pro bezpečnou komunikaci až s časovým odstupem, kdy bude malé riziko, že by ještě někdo měl certifikát pro doménu platný z dřívějška. Což je mimochodem argument pro vydávání serverových certifikátů na relativně krátkou dobu.
Čímž ale máte jistotu jedinou, a to že právě teď komunikujete s právoplatným majitelem té domény*). Ale informaci o tom, že je to ten stejný majitel, jako byl včera, nemáte vůbec žádnou. Což je pro identifikaci poněkud hloupé, protože identifikace, která platí jenom v jeden okamžik je celkem k ničemu.Doporucuji si neco precist o tomhle a hlavne o tom proc se to nepouziva: http://en.wikipedia.org/wiki/Mutual_authentication
)
Tady se porad dokola toci blbosti.To je možné. Ale můžeš mi říct, proč to píšeš v reakci na můj příspěvek?
Holt se udělala lepší náhrada za různý Passporty apod... a nejspíš si ji lidi oblíbí. Co naděláš. Vždycky je část lidí spokojená a část lidí ne.Ale jo, když si to lidi oblíbí, já budu taky spokojenej. Aspoň se vyřeší problém s anonymním přihlášením k webům, které anonymní přihlášení normálně neumožňovaly. Stačí udělat veřejný OpenID server, který bez ptaní ověří kterékoli OpenID v jeho doméně, případně poskytne vymyšlené jméno a neexistující e-mail, a anonymní přihlašování je hotovo.
Což by tedy byl zajímavý postup, jak se přes několik řešení postavených na hlavu postupně propracovat k řešení rozumnému.Spíš přes několik rozumných řešení se propracovat k postavenému na hlavu.
U OpenID poskytovatele se řeší, jestli je důvěryhodný pro uživele, ne pro web. To už je problém uživatele. Důvěryhodnost vzhledem k webu je irelevantní.To je právě ono. K čemu slouží registrace na webu? Aby zajistila alespoň jakousi důvěryhodnost uživatele vůči webu. Jenomže OpenID poskytovatel je pro web nedůvěryhodný, takže je nedůvěryhodné i to, co od něj zjistí. Takže stejně potřebujte vedle OpenID ještě nějaký důvěryhodný kanál…
To je právě ono. K čemu slouží registrace na webu?To není zase tak jednoduchá otázka. Ověřování na webu slouží jednak jeho provozovateli k tomu, aby věděl kolik má oveček, případně aby jim mohl posílat více či méně (ne)vyžádané maily. Dále slouží danému uživateli - muže si upravit vzhled stránky, nastavit zobrazování jednotlivých komponent (boxů) na stránce, případně portletů v případě portálu. A taky slouží všem ostatním uživatelům, aby se mezi sebou poznali. Např. až někde na webu uvidím komentář podepsaný pomocí OpenID https://openid.abclinuxu.cz/filip.jirsak*, tak budu o něco víc věřit, že to jsi ty, kterého znám z Ábíčka, než kdyby to byl nepodepsaný komentář, kde anonym pouze vyplnil jedno políčko, kam napsat tvoje jméno a prošel captchou.
Takže tohle
Aby zajistila alespoň jakousi důvěryhodnost uživatele vůči webu.**je jen velmi zúžený pohled. V prvním případě je OpenID vyhovující, poskytovatel ví, kolik uživatelů má a zná i jejich adresy. V druhém případě je taky postačující. A ve třetím případě záleží na tom, čemu ostatní uživatelé důvěřují a které OpenID servery budou brát vážně: když tam uvidím třeba OpenID v doméně Ábíčka a se stejným loginem, jako ten člověk používá, tak vím, že to s největší pravděpodobností bude on (a to mi stačí). A když tam uvidím něco jako http://anonymous-openid-server.com/nologin/asldifgusdlai tak je to pro mě normální anonym, jako jakýkoli jiný. Tak v čem je problém?
*) až/jestli to ABC bude podporovat
**) a pokud by šlo o něco důležitého, že bys těm lidem chtěl něco prodávat, tak si buď vyžádáš platbu předem, nebo je donutíš prokázat svoji skutečnou totožnost, tím, že si vyžádáš certifikát podepsaný zákonem uznávanou autoritou nebo po nich budeš chtít, aby poprvé přišli osobně i s občanským průkazem. To jsou samozřejmě případy, na které je OpenID krátké. Ale tam ho nikdo nasazovat nechce, nebo snad ano?
Důvěryhodný kanál? Doteď jsi ho nepotřeboval... stačily ti informace od uživatele...To ale je pro server důvěryhodný kanál. Server si ověří, že uživatel zná heslo, a tím prokáže, že je to on. Ale s OpenID se mezi server a uživatele postaví (z pohledu serveru) nedůvěryhodný zprostředkovatel.
Kdo má zájem na tom, aby důvěryhodnost autentizace byla na dostatečné úrovni?? No přece uživatel. Takže je v jeho zájmu, aby si vybral důvěryhodného poskytovatele OpenID identity (HTTPS, stabilita, neplánuje ukončení činnosti...).
Za to nese odpovědnost uživatel, podobně jako v případě hesel nese odpovědnost za to, že si nezvolí slovníkové heslo nebo ho neprozradí kde komu. Pokud ti někdo "hackne" účet z důvodu nedůvěryhodnosti poskytovatele OpenID, je to stejné, jako by ti ho hacknul z důvodu, že jsi si heslo nastavil na křestní jméno tvé přítelkyně (tak jako tak je to tvoje chyba - chyba uživatele).
zázračné OpenIDKdy jsem to napsal?
Nemá smysl se o tom dál bavit.To nemělo od začátku, s tebou, nebýt to veřejný kanál a nebýt dalších lidí, kteří občas ještě reagovali, ani bych ti neodpovídal.
A jestli si myslíte,Jestli si myslíte, že ostatní přesvědčíte o svojí inteligenci tím, že vkládáte lidem okolo do úst věci, co neřekli. Nadáváte na standard, aniž byste sami udělali něco pro lepší implementaci... a do toho tvrdíte věci, ze kterých většina jsou naprosté nesmysly.... a jednou za deset příspěvků padne něco, co má náznaky smyslu, myslete si to dál :). Přeju hodně úspěchů :).
To abych si koupil větší display na takovýhle flejmy...
já bych byl schopný se takhle do krve hádat za Jabber, ale za OpenID tak tvrdě nestojím, protože vím, že jsou i jiné srovnatelné systémy/protokoly (proti kterým bys argumentoval přibližně stejně). Nicméně v oblasti blogů a diskusních fór tomu OpenID celkem fandím.
Pavlix je možná trochu fanatikHeh :). Tím, že řekneš o pavlixovi, že je (i když jen možná a trochu) fanatik (do OpenID)... bez důvodu... si ho moc nezískáš. Takže očekávám hooodně dobrou citaci (toho co píšu já, ne toho, co o mě někdo tvrdí, že jsem řekl) a nebo omluvu.
já bych byl schopný se takhle do krve hádat za JabberErm... já bych se nebyl schopný do krve hádat ani za Jabber, ani za OpenID :). Já mám jen ve zvyku uvádět věci na pravou míru, když někdo uvádí nesmyslné argumenty vůči čemukoliv. (takže bych byl vlastně jednou Linux fanatik, podruhé anti-Linux fanatik, to samý, když doplníš třicet jiných technologií v téhle větě). Na jabberu se taky pár nepříjemných věcí najde (ne že by byly jinde nějak moc vyřešeny líp, ale to já neberu za argument)... hezký je na tom to, že ty věci se daj opravit a že se člověk může sám aktivně podílet... a co víc, u XSF se dočká i uznání. Aneb krása otevřeně vyvíjených (nejen specifikovaných) protokolů, kam (snad) patří i OpenID.
Nicméně v oblasti blogů a diskusních fór tomu OpenID celkem fandím.Což je přesně ta oblast pro kterou je navržené, a ve které se dá v současné době začít bez starosti používat. Na vyšší bezpečnost stejnak potřebuješ challenge-response systémy a autentizovat si sám a nespoléhat na to, v co věří uživatel. Zrovna v zabezpečení "jedno kladivo na všecko" podle mě nefunguje.
Takže očekávám hooodně dobrou citaci (toho co píšu já, ne toho, co o mě někdo tvrdí, že jsem řekl) a nebo omluvu.Pokud se tě to dotklo tak promiň. Bylo to myšleno žertem viz ten smajlík. Přišlo mi totiž, že máš hodně velkou výdrž se tady s Filipem hádat a že z toho OpenID musíš být fakt nadšený, že jsi se na to ještě nevykašlal.
Ale vysvětlit to někomu, kdo se snaží o srovnání s klientskými certifikáty a vyššími autentizačními metodami je náročné.Nicméně v oblasti blogů a diskusních fór tomu OpenID celkem fandím.Což je přesně ta oblast pro kterou je navržené, a ve které se dá v současné době začít bez starosti používat.
Ale vysvětlit to někomu, kdo se snaží o srovnání s klientskými certifikáty a vyššími autentizačními metodami je náročné.To je jak házet perly sviním :).
Ale vysvětlit to někomu, kdo se snaží o srovnání s klientskými certifikáty a vyššími autentizačními metodami je náročné.Mezi „vyšší autentizační metody“, se kterými OpenID srovnávám, jste zapomněl zařadit obyčejné přihlášení jménem a heslem…
Ale s OpenID se mezi server a uživatele postaví (z pohledu serveru) nedůvěryhodný zprostředkovatel.Pokud je uživatel pako.
OpenID nebude fungovat jako ochrana před spamem (to ani nemůže, auth server spamera by prostě potvrdil identitu), jen pro propojení identity mezi servery.Jedna z mála věcí, na kterou snad nakonec přistoupili všichni v této debatě, je, že OpenID nemůže fungovat jako propojení identity mezi servery, protože ohledně identity nezaručuje téměř nic. Může to být propojení OpenID mezi servery, ale OpendID není identita.
Co když ale Seznam* ukončí činnost a jeho doména bude volná a následně ji koupí někdo jiný. Tvoje identita je ztracená a může pod tvým jménem (e-mailem) vystupovat úplně jiný člověk. I když na tvých vizitkách je natisknutá původní adresa.
„vážení končíme, příště mě najdete na adrese xyz“
To ale musíš obeslat všechny, se kterými jsi si psal. V případě OpenID by sis musel změnit OpenID identitu na všech serverech, kde jsi ho použil** a zadat tam OpenID nové. Tudíž je to stejně práce jako v případě e-mailu.
*) no dobře, Seznam činnost neukončí, ale dosaďte si tam jinou doménu
**) např. v Drupalu máš identitu uvnitř dané instance Drupalu a k ní je přiřazené jedno nebo více OpenID url - tak to by sis musel změnit.Seznam serverů, kde jsem použil OpenID, nemám nikde.Mám tomu rozumět tak, že na e-mailu používáš automatické přidávání do adresáře, ale na OpenID ho nepoužíváš? No holt každému dle jeho gusta, že? Timestamp u mailu slouží ke stejnému účelu jako timestamp třeba u příspěvku autorizovanému pomocí OpenID. Jo... a tvoje jistota, že mail, který má ve hlavičce tvojí mailovou adresu je od tebe... ta už sama o sobě něco říká. Na ostatní reagovat nebudu, musel bych se opakovat.
O tom, že by hlavička e-mailu zaručovala, od koho ten e-mail je, jsem nic nepsal.
OpenID nebude fungovat jako ochrana před spamem (to ani nemůže, auth server spamera by prostě potvrdil identitu), jen pro propojení identity mezi servery.Přesně tak. Techniky na ochranu proti spamu jsou o dost složitější. Jinak to, že se nepřihlašuje ke stránkám pomocí (společného) hesla (neboli single sign-on) považuju za hlavní výhodu a globální identitu až za druhořadou. Ale každý má jiné priority, že. I když to heslo se dá řešit i jinak, samozřejmě, Digest registrace a autentizace, ale na to nemáme browsery.
Ale houby, precti si uz konecne jak to funguje.Dáme si příklad, ano? Přihlašuji se na AbcLinuxu.cz, přihlašuji se kým čím, OpenID
http://example.com/Jů_Hele. Na AbcLinuxu.cz zadám pouze tohle OpenID, žádná jiná identifikace není potřeba (Leoš psal, že bude vyžadovat normální registraci, ale to teď pomineme). Jsem přesměrován na server mého OpenID poskytovatele s nějakým tiketem, který určuje kam se mám vrátit a jaké OpenID chci autorizovat. OpenID poskytovatel nějakým způsobem ověří, že jsem to já – třeba heslem – a přesměruje mne zpátky na AbcLinuxu spolu s informací, že daný tiket je platný a uživatel se autorizoval. AbcLilnuxu.cz tedy odeslalo informaci „chce se přihlásit uživatel http://example.com/Jů_Hele (nic víc)“ a obdrželo odpověď „ANO“ (autorizoval se) nebo „NE“.
Doména example.com vyexpirovala, koupil ji nový majitel, zřídí si na ní OpenID server. Nový majitel se přihlásí na AbcLinuxu.cz, zadá OpenID http://example.com/Jů_Hele, a je přesměrován na OpenID server, aby se autorizoval. Nový server ho nějakým způsobem autorizuje – třeba hesla, nebo pozná svého pána po hlase – a pošle odpověď.
Všimněte si, že AbcLinuxu.cz nemá žádnou informaci o tom, že porpvé komunikovalo s jiným serverem, než s jakým komunikuje podruhé. Alespoň já nikde tuhle informaci nevidím, nevidím žádný požadavek ne její ověření, ani co dělat, pokud potřeba tuhle informaci legálně změnit.
To je sice hezke ze certifikacni autorita muj soukromy klic nema, ale muze klidne vydat klic s mym jmenem nekomu jinemu a ten muj zneplatnit.Zneplatnění klíče je ale podstatně něco jiného, než získání klíče.
Coze? Jak basnicka chranena OpenID? Jses ozralej nebo co?Básnička v blogu chráněném OpenID. Nepředstavitelné? OK. Napíšu sem do blogu na AbcLinuxu úžasný návod, jak rozchodit hro XY pod Wine. Přihlášen budu pod identitou
http://example.com/VladceHer. Hra bude nadčasová, návod bude platný stále a budou ho číst lidi i za rok. Jenomže já se na Abíčko přihlašoval přes OpenID, o OpenID účet jsem přišel a získal ho někdo jiný. Ten teď do toho blogu nakonec připíše, že jestli chtějí identitě http://example.com/VladceHer lidé poděkovat, ať pošlou peníze na účet ten a ten – samozřejmě účet nového majitele identity. Nebo, pokud by byl blog po zápisu read-only, bude tím oblbovat mladé holky nebo budoucí zaměstnavatele. Protože se stal majitelem historie toho OpenID. Už je to jasné?
Kdyz mam v Ceske sporitelne nastavene overovani pomoci SMS, tak ten kdo ziska moje telefonni cislo se prave stal majitelem obsahu meho uctu.Ano, ale nemůže měnit minulé transakce a nemůže z minulých transakcí profitovat.
Ano, ale nemůže měnit minulé transakce a nemůže z minulých transakcí profitovat.OpenID není stroj času.
Doména example.com vyexpirovala.Expirace domény je tvůj problém, stejně jako u mailu, Jabberu a ostatních služeb. Pokud chceš používat silnější bezpečnost, která nezávisí na DNS, používej soukromé klíče a ne OpenID. (Třeba se časem mezi OpenID url nějaká metoda založená na veřejných klíčích přidá, není to zase tak složité, můžeš to lidem od OpenID navrhnout. Já jsem pro.) Celou dobu tady omíláš a okecáváš, že OpenID je závislé na DNS. Ano, je to tak. OpenID je závislé na DNS, stejně jako drtivá většina jinýc internetových služeb. Jak vidíš, jde to říct jednou větou.
Celou dobu tady omíláš a okecáváš, že OpenID je závislé na DNS. Ano, je to tak. OpenID je závislé na DNS, stejně jako drtivá většina jinýc internetových služeb. Jak vidíš, jde to říct jednou větou.Evidentně to nestačí. Protože se hned najde někdo, kdo problém závislosti na DNS opskytovatele vyřeší tím, že to předělá na závislost na DNS delegující stránky. Můžu já za to, že je potřeba mu znova explicitně napsat, že i to je závislost na DNS?
OpenID není stroj času.Tady bych taky řekl, že to stačí říct jednou větou. A nestačí. Tak znovu a jinak. Pokud něco zabezpečíte elektronickým podpisem, můžete si být jist, že co bylo podepsáno v době od začátku platnosi podpisového certifikátu do konce jeho platnosi nebo do okamžiku revokace, podepsal vždy ten, kdo je majitelem certifiáktu a kdo je na certifikátu uveden. U OpenID je to jiné. Tam víte, že danou věc „podepsal“ člověk, který danou identitu vlastnil v té době – což ale může být někdo jiný, než kdo je to dnes. Proto se OpenID nehodí jako systém pro identifikaci mezi různými servery a v různém čase. OpenId mi prostě nezaručí, že uživatel s OpenID
http://blabla včera a uživatel s tímtéž OpenID dnes je tatáž osoba. Takže OpenID není neumožňuje nic jiného, než co umožňuje obyčejný „správce hesel“. Vy jste si možná o OpenID nikdy nemyslel, že je to něco, někdo si to ale myslel – a tvrzení, že to tak není bylo potřeba podložit nějakým argumentem.
Protože se hned najde někdo, kdo problém závislosti na DNS opskytovatele vyřeší tím, že to předělá na závislost na DNS delegující stránky.Závislost na DNS je. K tomu není, co dodat. Jestli si DNS pořídíš ty nebou použiješ cizí je čistě tvoje věc.
Tam víte, že danou věc „podepsal“ člověk, který danou identitu vlastnil v té době – což ale může být někdo jiný, než kdo je to dnes.OpenID není elektronický podpis a nezahrnuje ho. Dala by se udělat kombinace OpenID protokolu a elektronického podpisu a třeba se i udělá. Ale do té doby nemá smysl srovnávat OpenID s metodami založenými na soukromém klíči. Když přijdete o DNS, může si ho někdo registrovat, tím získá vaší mailovou adresu a na ni si nechá poslat nové heslo (password recovery přes mail je běžná praxe). Tím se může cizí člověk vydávat za původního majitele. To platí s OpenID i bez něj.
Takže OpenID není neumožňuje nic jiného, než co umožňuje obyčejný „správce hesel“.Jistěže umožňuje, například přihlašování jiným způsobem než heslem. A spoustu jiných věcí, jenže to bys musel o OpenID něco vědět. (A kdybys věděl, tak bys to takhle nenapsal.)
Vy jste si možná o OpenID nikdy nemyslel, že je to něco, někdo si to ale myslel – a tvrzení, že to tak není bylo potřeba podložit nějakým argumentem.Pokud se chceš něco naučit, doporučuju se při argumentech opírat o specifikaci a ne o "jedna paní povídala". Jestli ti jde jen o flame, vyber si jinou oběť :).
Pokud něco zabezpečíte elektronickým podpisem, můžete si být jist, že co bylo podepsáno v době od začátku platnosi podpisového certifikátu do konce jeho platnosi nebo do okamžiku revokace, podepsal vždy ten, kdo je majitelem certifiáktu a kdo je na certifikátu uveden.Sorry, že do toho šťourám, ale ani tohle není pravda. Technický pokrok nezastavíš a to, co bylo před patnácti lety kryptograficky dostatečně kvalitní, je dnes směšné a rozlousknutelné na běžném PC. Takže i my se můžeme dočkat toho, že naše dnešní šifry a podpisy budou snadno prolomitelné, protože technika bude zase o kus dál. A k tomu DNS: přijde mi, že se trochu opakuje téma jedné diskuse. Bez DNS se prostě identita dělat nedá, nebo alespoň ne celosvětově jedinečná. Alternativou je leda použití hashe veřejného klíče jako identifikátoru, ale u něj nejde zaručit, že si dva lidé různí nevygenerují klíče se shodným hashem (i když je to těžce nepravděpodobné).
Sorry, že do toho šťourám, ale ani tohle není pravda. Technický pokrok nezastavíš a to, co bylo před patnácti lety kryptograficky dostatečně kvalitní, je dnes směšné a rozlousknutelné na běžném PC. Takže i my se můžeme dočkat toho, že naše dnešní šifry a podpisy budou snadno prolomitelné, protože technika bude zase o kus dál.Souhlas, ale aspoň si můžu zvolit, jak silý chci klíč, a tím i určit, jak dlouho asi vydrží. A to udělám jednou, na začátku – a dál i pokud nebudu nic dělat, klíč je pořád bezpečný. Jenomže u OpenID musím naopak (neustále) vyvíjet aktivitu, aby zůstalo bezpečné – třeba musím udržovat doménu. Identita se dá dělat bez DNS, ale nedá se dělat bez nějakého centrálního registru. OpenID používá jako centrální registr kořenové DNS servery a dále registrátory národních/generických domén. Což je poněkdu nešťastné – jednak má DNS jinou úlohu, než zabezpečovat identitu, za druhé centrální autorita u DNS neumožňuje druhou podstatnou službu, která je pro správu identit důležitá – možnost revokace. Jakmile nemáte možnost nějaký identifikátor revokovat u nějaké autority, která vás ověří nezávisle na tom identifikátoru, nemůže to fungovat – vždy je to jenom závod s časem, jestli „tenhle klíč už neplatí, použij tenhle“ udělá dřív právoplatný majitel, nebo zloděj.
http://example.com/filip.jirsak, musím ještě zařídit, aby „doména“ (její majitel) example.com na tomhle OpenID nějak spolupracovala. Čistě technicky. Když ta doména spolupracovat nebude, moje hezky vymyšlené OpenID neexistuje.
Co je vlastne u OpenID login? Myslel jsem, ze to je ta URL.j, presne tak
Celé openID je dobře vysvětleno pod posledním odkazem ve spotu. Loginem je url, kam tě server přeměruje pro ověření. Například zadám example.com/mrzout do loginu. Server mne přesměruje na tuto adresu a pokud ta mu odpoví, že jsem OK, budu považován za OK ke všemu, k čemu mne tato identita na serveru opravňuje.Jo, takze to chapu spravne. Tohle je system pouze pro web. Sorry, ale X509 certifikaty (nebo PGP) se mi zdaji lepsi.
Jestli mě example.com authentifikuje...Bacha na to - nekteri lidi by za tenhle vyraz zabijeli
Na openid se mi libi, ze mam jeden univerzalni login pro bezpocet sluzeb, tedy teoreticky. Je velka skoda, ze treba bugzilla jej jeste standardne nepodporuje. Kdyz najdu nekde bug, musi me hodne stvat, abych se zaregistroval do bugzilly daneho produktu a bug zadal. No a kdyz najdu druhy bug, nejspise si uz nevzpomenu, pod jakym emailem a heslem jsem se zrovna u teto bugzilly zaregistroval. Tohle by openid mohlo resit. Na kazdem serveru budu mit vlastni profil, ale prihlasovat se budu furt u sebe, na svem serveru (ci u sveho openid poskytovatele).
To je ale zhava diskuseNa jednu stranu s timhle dost souhlasim. Je to dost otravny, kdyz se musim registrovat v nekolika ruznych bugzillach. Na druhou stranu mi to zase dava moznost byt zaregistrovany s ruznymi jmeny a pokud se nepletu, bugzilla bere jako login name email cloveka, takze pak kdyz se z nejaky bugzilly muj email proflakne a zacnou chodit spamy, tak muzu email zahodit. Pokud bych to stejne resil i s OpenID, tak mam o hodne vic prace s identitama.
Email jako login je nejvetsim problemem bugzilly. Zaprve je viditelny, tudiz chytrejsi spambot snadno ziska databazi emailu,Jo, tohle muze byt problem. Uznavam.
za druhe zmena emailove adresy znamena konec identity v bugzille (prestanou mi chodit maily, nemam jak ziskat zapomenute heslo).Mam dojem, ze bugzilla umoznuje zmenit email (login). Aspon naposledy jsem si chtel zmenit email na svym uctu, ale nenasel jsem to, tak jsem si zaregistroval novy email, ale pak jsem se kouknul jeste jednou a nasel jsem to. Ale uz jsem to nemohl zmenit, protoze jsem mel ten novej email zaregistrovanej.
Kdyby loginem mohl byt openid a bugzilla to chapala (a tudiz na nej neposilala emaily), vyresilo by to par problemu.No, musela by si bud stahnout email z ty moji identity a nebo bych musel email zadavat stejne.
Na druhou stranu mi to zase dava moznost byt zaregistrovany s ruznymi jmeny
Tuto možnost máte přece při variantě s OpenID také. Prostě chcete vystupovat pod více identitami, tak je použijete.
Pokud bych to stejne resil i s OpenID, tak mam o hodne vic prace s identitama.Práce s identitama máš stejně. Zajímavá možnost OpenID je ta, že se použije jen URL pro server a ne pro konkrétního uživatele... a uživatel sám vybere ze svých identit tu, kterou chce prezentovat.
13.2.2008 16:28
Jmeno.Prijmeni, případně kdybych mohl jako login všude zadat e-mailovou adresu (která je unikátní), nebyl by se zapamatováním loginu problém.
budu vzpomínat, které jsem použil OpenIDWTF? Jak vzpominat? Normalni lide maji jedno OpenID, to ze ty si paranoik a potrebujes mit na kazdem webu nove OpenID (pak ovsem nechapu proc te vubec OpenID zajima, protoze mas jednodussi pouzit normalni prihlasovani) je tvoje vec.
Takže opět OpenID nepřináší žádné zlepšení.Kromě všech těch již zmíněných.
což je v oblasti zabezpeční podle mne bezprecedentníDůvěra uživatele v autentizační server bezprecedentní podle mě není.
Přitom ale není moc důvod očekávat, že se chování uživatelů změníRozumní uživatelé dávají různá hesla, pokud můžou. a různé heslo pro každý blog nemůžou.
Mně se původně myšlenka OpenID pro blogy a diskuzní fóra taky líbila – než jsem zjistil, jak funguje ta technologie pod tím.Mě se začala líbit, až když jsem zjistil, jak ta technologie funguje. A podle tvých dřívějších příspěvků si troufám tvrdit, že jsi to ještě (aspoň nedávno) nezjistil.
Zjistil jsem, že to vůbec není technologický koncept vyšší bezpečnostiOd začátku diskuse ti v tomhle dávám za pravdu.
(technologicky jde naopak o oslabení bezpečnosti)Já si myslím, že obecně ne, argumenty o stejných heslem už jsem uváděl. Pokud chceš kromě hloupého plkání, co provozujem tady... v tomhle podniknout něco užitečnýho... komentuj přímo na komunikačních kanálech OpenID. Tam je možné dosáhnout i určitých změn, či upřesnění, to ti na ABCLinuxu poskytnout nemůžem.
marketingová nálepka OpenIDNo comment.
zlepší chování uživatelů. Což by se nakonec dalo udělat i bez té technologie pod tímDalo, tím, že přesvědčíš uživatele, ať si pro každý z třiceti (nebo padesáti) webů vymyslí nové heslo. Utopie.
Kdyby značka „tento blog používá OpenID“ znamenala, že uživatel jako login může zadat svůj e-mail (=unikátnost), který bude ověřen, bude možné ho změnit ale nebude zveřejněn, a že se ukládá hash hesla spolu s nějakým klíčem serveru nebo se solí (přičemž hash hesla zase znemožňuje použít HTTP digest autentizaci…), byl by výsledný efekt pro běžné uživatele stejný, a celková bezpečnost systému by se alespoň nesnížila.Tak proč to tam ještě není? Máš možnost takovýhle rozšíření navrhnout, sepsat... a nechat schválit. Teda pokud na něco takového teda technicky vůbec máš. Digest autentizace má jedno velké kouzlo a kdyby se používala správně... tak celý problém s množstvím hesel řeší sama o sobě. U dobře implementované digest registace není nikdy potřeba sdělit serveru heslo, stačí mu sdělit ten hash, který si jinak server sám vypočítá pro uložení do DB. Při přihlášení už se jen hashe kombinují a jako celek znovu hashují, zbytek najdeš ve specifikaci. Už teďka není HTTP jediným podporovaným typem URL, není problém přidat další, jen musíš přesvědčit implementátory o jeho užitečnosti (u openid-http se to podařilo, jak vidíš). P.S.: Že se technologie dostala do obecného povědomí se pozná podle toho, že začnou vznikat blogposty zaměřené proti ní.
Ale já jsem nepsal o „důvěře“, ale o „absolutní“ nebo „bezmezné“ důvěře. Normálně je působnost autentizačního serveru omezená, nebo jej můžete kotnrolovat, S OpenID neplatí ani jedno.což je v oblasti zabezpeční podle mne bezprecedentníDůvěra uživatele v autentizační server bezprecedentní podle mě není.
Rozumní uživatelé dávají různá hesla, pokud můžou. a různé heslo pro každý blog nemůžou.To ale není technologický důvod. A opravdu nevidím jediný důvod, proč uživatel, který má 30 loginů k různým blogům a všude stejné heslo, si najednou pro 31. login, který je nějaký podivně dlouhý, najednou zvolí heslo jiné.
Digest autentizace má jedno velké kouzlo a kdyby se používala správně... tak celý problém s množstvím hesel řeší sama o sobě. U dobře implementované digest registace není nikdy potřeba sdělit serveru heslo, stačí mu sdělit ten hash, který si jinak server sám vypočítá pro uložení do DB. Při přihlášení už se jen hashe kombinují a jako celek znovu hashují, zbytek najdeš ve specifikaci.Díky, vždycky jsem si myslel, že HTTP Digest používá jenom jeden hash. Fakt jsou v té specifikaci dva. V tom případě nechápu, proč všechny běžné implementace serverové strany, na které člověk narazí, vyžadují přímo heslo. Dopíšu příležitostně do webserveru Jetty takový
14.2.2008 08:55
UserRealm, který vystačí s hashem místo hesla, ať už nemusím řešit, zda digest nebo hesla na serveru v otevřeném tvaru. Aspoň k něčemu byla tahle debata dobrá
To ale není technologický důvod. A opravdu nevidím jediný důvod, proč uživatel, který má 30 loginů k různým blogům a všude stejné heslo, si najednou pro 31. login, který je nějaký podivně dlouhý, najednou zvolí heslo jiné.Ono je to ale spíš tak, že dnes se posílají komentáře anonymně, protože kdyby ses musel přihlašovat, tak se ti na nějaké komentování většina lidí vybodne. Takže po (alespoň částečném) rozšíření OpenID mezi uživatele bude možné anoanymní posílání komentářů zakázat. A aspoň bude vidět, kdo je kdo. Anonymové, kteří píší nesmysly pod deseti různými jmény to budou mít těžší (ale zase když budou chtít, tak budou spamovat stejně a akorát ještě zahltí servery OpenID poskytovatelů svými zbytečnými registracemi).
Dříve či později se bude muset začít i k OpenID registracím začít přistupovat jako k anonymním.Na tom není nic pozoruhodného, i dneska, když se musíš regstrovat a ověřuješ se nějakým kódem poslaným mailem, jsi stejně anonymní. Můžeš použít jednorázový e-mail a ani si nemusíš zakládat schránku. Stupeň anonymity se obecně nezmění, ale kdo nebude chtít být anonymní - nějak relativně důvěryhodně ukázat svoji totožnost ostatním - ten to bude mít snadnější: nemusí si pamatovat další heslo případně se registrovat.
V tom případě nechápu, proč všechny běžné implementace serverové strany, na které člověk narazí, vyžadují přímo heslo.Na HTTP Digest autentizaci server nikdy nevyžaduje přímo heslo. Tak funguje HTTP Basic, ne Digest. Ten špatně udělaný bod není autentizace, ale registrace hesla. Jenže registrace v tom RFC není (!). Rovněž Jabber umí používat Digest autentizaci (podle specifikace), ale neumí (podle mě) nastavit heslo, aniž by ho celé poslal serveru. Což se doufám změní.
Tiskni
Sdílej:
