AbcLinuxu:/ Blogy / Co není v hlavě / Ostatní / Opravník obecně oblíbených omylů o OpenID

Opravník obecně oblíbených omylů o OpenID

11.2.2008 13:29 | Přečteno: 1962× | Ostatní | poslední úprava: 11.2.2008 21:42

Dovolím si reagovat na kolegu Freshmouse: Slovo o OpenID

Myšlenka: Jak nad tím tak přemýšlím, tak poskytování OpenID je velmi podobné poskytování e-mailových schránek. Člověk si buď založí účet u někoho, nebo si zřídí svépomocí vlastní.

fm: Myšlenka je taková, že každý uživatel bude mít svoje (Open) ID a heslo, a za jejich pomocí se bude hlásit do všech služeb na webu (které OpenID podporují). Měla by tedy de facto existovat jakási centrální databáze uživatelů. Existuje jistá forma decentralizace, a to ta, že ID smí poskytovat více registrátorů (předpokládám, že „registrátoři” jsou jen grafická rozhraní k té databázi uživatelů).

Chyba: registrátoři nejsou rozhraní - ukážeme dále.

fm: Když pominu, že se mi nelíbí, že vůbec existuje nějaká centrální databáze nebo že není moc dobré mít ke všem službám stejné uživatelské jméno a heslo a že nemám zájem zbytečně někoho informovat o tom, kam jsem se právě přihlásil, nemohu pominout praktickou stránku věci: uživatelé si stejně budou registrovat více účtů.

Ne: neexistuje centrální databáze. Uživatel si může si zřídit OpenID různými způsoby (podobně jako e-mail). Buď si založí OpenID na nějakém veřejném serveru (třeba tady ), nebo si zprovozní vlastní OpenID server - který bude celý pod jeho správou - už dnes si může vybrat víc poskytovatelů.

Ano: OpenID server (provider) ví o tom, kdy se uživatel přihlásil. Pokud mi to vadí, tak si u něho OpenID nezaložím. (stejně jako když nechci, aby můj poskytovatel vědel, kdo mi píše do e-mailu)

fm: Nebo si snad někdo myslí, že všichni mají jen jednu identitu a pod tou se hlásí jak do warez diskuzí, tak do stránek místního úřadu? Těžko. Tím se tedy dokonale smazaly veškeré výhody ideje OpenID (mít jediný účet a nenamáhat se s několika, což je v době nejnovějších technologií à la správce hesel opravdu přítěž) a zůstaly jen nevýhody a hořkost…

Ano: Nic nebrání tomu založit si více identit na různých serverech. Největším přínosem OpenID je to, se nemusím registrovat na cizí weby a pamatovat si jméno a heslo, stačí mi znát moje OpenID. Ne vždy s sebou člověk nosí notebook s hlídačem hesel. Oproti tomu přihlášení k jednomu OpenID (ať už heslem, loginem či OTP) zvládne.

Opravy chyb z diskuse

fm: Co jsem tedy nově pochopil: 1. je to decentralizované v tom smyslu, že závisím na poskytovateli; 2. pokud někam zadám OpenID, je tam i s poskytovatelem a už to nelze změnit.

Skoro: OpenID poskytuje i delegování, pokud se rozhodneš, že budeš navěky vlastnit stránku: freshmouse.org, tak můžeš její adresu používat jako OpenID. Do hlavičky stránky dáš značku, kterou deleguješ svoje OpenID na svého poskytovatele (třeba oid.cz ). Ověřující server potom zpracuje tvoji stránku, zjistí že se máš ověřovat u poskytovatele a zeptá se na tvoje ověření tam. Budeš stále ověřen jako freshmouse.org (via oid.cz).

dvh: 4. Hacknutie. Dajme tomu ... podvodnik (admin na freeporn.com) si pozrie tvoje meno a heslo ale je mu na nic, lebo sa s nim moze prihlasit len na freeporn.com, na abclinuxu ani root sa s tym neprihlasi.

Podvodník z webu, který podporuje OpenID jako možnost přihlášení nemá možnost zjistit tvoje jméno a heslo. To zůstává pouze mezi tebou a tvým OpenID providerem.

r: vypada to, ze se v tom vyznas - tak me rekni, co se stane, kdyz nekdo hackne meho poskytovatele openid (ci muj hosting, kde si to budu provozovat sam)? ziska tim pristup do vsech mych sluzeb? imo j... hm, uz se tesim az tohle zacnou pouzivat eshopy ;)

Ano, to je problém. Stejný, jako hacknutí jakékoliv jiné, služby považované tebou za důvěryhodnou (třeba toho poskytovatele e-mailu).

Výhodou OpenID je to, že je otevřené a můžeš si implementovat vlastní způsob zabezpečení - mimo klasické jméno a heslo, třeba autorizaci přes SMS, One Time Password a další. Fantazii si meze nekladou.

Filip Jirsák: Ale pokud ten web má vlastní systém uživatelských účtů (identit), pak se z celého slavného OpenID stává x-tý systém pro správu hesel, nic víc.

Ne: OpenID není hnutí. OpenID není správce hesel. OpenID je protokol, který popisuje jak se mají weby mezi sebou domluvit. (díky Let_me_be)

Jak to vlastně vypadá

aneb všichni o tom mluví, ale nikdo to ještě neviděl

Popsal už Ondřej.

Ještě jednou:

• OpenID mne nenutí registrovat se ke každé zajímavé službě ABC, kterou na Internetu najdu (mrknou se třeba na IconBuffet.)
• Přihlašovací stránka ABC bude obsahovat přihlášení jménem a heslem, nebo přihlášení přes OpenID (kde bude jenom políčko OpenID, žádné heslo)
• Po zadání OpenID mne služba ABC přesměruje na stránku mého OpenID providera DEF.
• Provider DEF nějak ověří, že já jsem opravdu já (třeba jménem a heslem, pomocí cookies nebo pro mne za mne pomocí PKI karty).
• ... a přeměruje mne zpátky na stránku ABC s potvrzením, ano, "on je opravdu on".
• Služba ABC ví, že se za moji identitu zaručil OpenID provider DEF a naloží s tím podle svého uvážení.
• Nic víc - DEF neříká, že tenhle uživatel je Franta Novák, nebo že má e-mailovou adresu franta@example.org

Anketa

Tiskni Sdílej:

Komentáře

Vložit další komentář

11.2.2008 13:39 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Díky, chtěl jsem ten svůj zápisek aktualizovat, ale tys mě předběhl. Nicméně musím dodat, že s novými (a snad správnými) informacemi se mi OpenID zdá ještě hloupější než předtím...

11.2.2008 13:42 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ptej se dál.

OpenID sleduju od 2005, docela se mi líbilo, ale v té době bylo v plenkách a používal ho snad jenom LiveJournal. Dneska to bude o něco lepší.

Školím Ansible

11.2.2008 13:51 Stevko
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ja sa teda opýtam. Ako to openID vlastne vyzerá? Pokiaľ viem, tak je to tvaru http://server/subor (alebo podobne). Prečo práve http? Prečo nie niečo iné (ftp, https)? Alebo prečo sa neprihlasovať všade mailom? Alebo JIDom?

11.2.2008 15:03 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

OpenID vypadá jako URL, protože to URL je. Nejsem si jistý, jestli má smysl ho implementovat pro jiná URL než http.

HTTP se používá nejspíš proto, že se pěkně implementuje autentizace bez velkého obtěžování uživatele.

Školím Ansible

11.2.2008 13:50 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nechápu co se ti na tom zdá hloupého, mně to příjde jako výborná věc. Ten model OpenID odpovídá modelu jiných služeb, třeba XMPP/Jabberu nebo emailu. Není na tom nic špatného, žádné Big Brother tendence to nestupňuje.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

11.2.2008 13:57 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Neodpovídá to mejlu nebo Jabberu, protože pod nimi se nikam nepřihlašuju. Nelíbí se mi zbytečná závislost na dalším poskytovateli něčeho.

11.2.2008 13:58 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nechapu co je na tom hloupeho? Mam sveho duveryhodneho drzitele mych informaci, ostatni dostavaji jenom potvrzeni ze ja jsem ten za koho se vydavam, takze sice mam single-point of failure, ale ten muzu presunout na misto kde ta pravdepodobnost failure bude nizka, zaroven muzu tento single point zajistit jednim silnym heslem (schvalne kolik pouzivas hesel na webu).

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:14 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Ještě k té centralizaci... Ona centralizace stejně bude probíhat, i když na několika různých místech (zní to šíleně, ale snad mi rozumíte). I když bude více poskytovatelů OpenID, každý z nich bude (podle mě zbytečně) hromadit údaje o uživatelích.

11.2.2008 14:19 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Boze, OpenID je protokol, takze stejne jako jabber to muzu rozjet klidne na svem webu.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:25 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já tomu rozumím, ale co to na situaci mění?

11.2.2008 14:33 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ale co by to melo resit? Proste zadna centralizace neni. Kdyz budes chtit tak si na kazdem webu zalozis novy OpenID a mas stejnou situaci jako predtim. OpenID je proste protokol, ktery je zalozeny na stejnem principu jako protokoly ktere se denne pouzivaji (platebni karty, roaming u telefonu). Vyhodou je ochrana uzivatele pred potencionalne zakernym webem.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:22 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A ještě něco.

Jak nad tím tak přemýšlím, tak poskytování OpenID je velmi podobné poskytování e-mailových schránek. Člověk si buď založí účet u někoho, nebo si zřídí svépomocí vlastní.

Jenže to definitivně stírá tu jedinečnost ID. Když přejdu k jinému poskytovateli OpenID (nebo k jinému poskytovateli e-mailu), tak: a) musím nějak přenést data z jednoho účtu na druhý; b) musím dojít na místa, kde jsem svoje ID (e-mailovou adresu) zadal a zadat tam to aktuální.

11.2.2008 14:28 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No samozrejme, ale tohle prece vubec OpenID nema resit a neresi. OpenID resi akutni problem toho ze uzivatele maji vsude po webu stovky roznych uctu se stejnym jmenem a heslem a to casto i na nebezpecnych webech, ktere jsou budto spatne zabezpecene, nebo jsou primo urcene pro ochytavani hesel.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:35 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Co se týče b), mrkněte na Misantropa a najděte si tam odstavec použití URL stránek jako OpenID identifikátoru (je to tučným písmem někde v první třetině). Pokud se na těch místech, kde zadáváte svoje OpenID, budete hned od začátku hlásit adresou stránky pro přesměrování na vašeho aktuálního poskytovatele (a tu můžete mít kdekoli, třeba na svém osobním webu), bude vám stačit změnit jen hlavičku té jedné stránky.

11.2.2008 14:37 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To ale vyžaduje vazbu na další službu a taky trvanlivost toho mého URL (kde je odkaz na OpenID). Točíme se tu v kruhu.

11.2.2008 14:40 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano, vyžaduje. V tom ale problém nevidím.

Školím Ansible

11.2.2008 14:41 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ale proc by to mel OpenID resit? To je to same jako kdyby sis stezoval ze switch pracuje na urovni MAC adres a ze neumi IPv6.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:42 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jasně, ale nevím, jak byste to už chtěl řešit jinak. Pokud už nedůvěřujete ani stálosti svých stránek (když už nedůvěřujete stálosti svého poskytovatele OpenID), pak máte holt smůlu. Ale stejně tak můžete řešit trvanlivost svého mailového konta, svého konta po jabber atd.

Prostě pokud to nechcete používat, nepoužívejte to. A pokud na tom někdo bude trvat, založte si někde jednorázový OpenID účet pro ten jeden konkrétní účel a vyjde vám to nastejno jako teď.

11.2.2008 14:50 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jak bych to osobně chtěl řešit jinak? Nijak. Osobně bych nechal všechno na straně toho, komu patří ty stránky, kam něco chci napsat.

Co se týče důvěry ve stálost mých stránek... Nemusí se jednat jen o vlastní doménu. Co když mám svoje stránky pod stránkami firmy nebo školy? Po odchodu z firmy nebo školy nemůžu počítat, že ty stránky vydrží ještě léta...

Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...

11.2.2008 14:53 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...

Boze ty jses takovej tupec. OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit. OpenID neni Microsoft Passport, tudiz neni tady zadny tlak na to aby kazdy clovek mel jedno unikatni trvale OpenID.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:56 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.

Jdu to vytesat do kamene.

Školím Ansible

11.2.2008 15:38 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.

Už někdo zjistil, na čem se ty weby chtějí domlouvat?

Jinak OpenID má zatím daleko spíš charakter hnutí „těch, co spolu mluví“, a je to postavené na tom, že všichni zúčastnění chtějí, aby to fungovalo. Což je dnes už poněkud naivní přístup při tvorbě nového „protokolu“. V době crackerů a zabezpečování původně volného internetu firewally, v době spammerů a pokusů ochránit před nimi původně volný e-mail, je dost naivní vytvořit nový protokol, který je do značné míry závislý na tom, že všichni budou hodní.

11.2.2008 15:43 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Coze? OpenID prece funguje presne naopak. OpenID predpoklada ze vsichni jsou vsichni (ostatni) zli (coz je narozdil od uzivatelu, kteri predpokladaji ze jsou vsichni hodni krok spravnym smerem).

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 16:10 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Když budu předpokládat, že ostaní jsou zlí, budou mi schválně posílat DNS odpovědi co nejpozději a na můj dotaz na delegující stránku mne desetkrát přesměrují, až mi nakonec začnou posílat obraz DVD rychlostí stařičkého modemu, tak se na OpenID na servereu rovnou vykašlu. Abych to mohl implementovat, musím předpokládat, že tohle mi nikdo provádět nebude, a že bude hodný.

11.2.2008 15:48 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Web ABC se ptá webu DEF: "můžeš mi prosím potvrdit, že tenhle člověk zná identifikaci http://123.def.xx/"

Ad bezpečnost:

* je možné založit si vlastní OpenID server XYZ, který bude zlý.

* ale není za pomoci hodného serveru DEF se vydávat za někoho jiného.

To, že OpenID to má jisté jiné nevýhody, to je pravda.

Školím Ansible

11.2.2008 16:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

ale není za pomoci hodného serveru DEF se vydávat za někoho jiného

Podle toho, co jste psal jinde, k vydávání se za někoho jiného stačí pozměnit mu delegující stránku.

11.2.2008 16:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano, to je pravda. Pokud změním delegující stránku, tak se můžu vydávat za majitele delegující stránky.

Zkusím večer nebo zítra sesumarizovat do druhého blogpostu bezpečnostní problémy. (pokud to neudělá někdo dřív nebo to třeba nepřeloží z angličtiny).

Školím Ansible

11.2.2008 16:15 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tak to se omlouvám za dezinformaci. Myslel jsem, že jediný prostředník, komu musím důvěřovat, je poskytovatel OpenID. Jestli to musí být ještě i správce delegované stránky…

11.2.2008 16:17 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já jsem správce delegující stránky.

Pro jistotu: OpenID není tak silné jako autentizace SSL certifikátem.

Školím Ansible

11.2.2008 16:43 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já jsem správce delegující stránky.

Takže vše, co bylo až dosud napsáno o problémech při změně poskytovatele OpenID, stačí přepsat na problémy při změně poskytovatele delegující stránky. Jednoznačným identifikátorem je delegující stránka, pokud ji musím změnit, měním identitu. Navíc delegující stránka není chráněna ani tím heslem…

11.2.2008 14:59 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nejsem bůh a ani tupec.

Nicméně OpenID vzniklo jako hnutí, které chtělo jednotnost něčeho. Protokol a technická realizace vůbec je druhá věc. W3C je svým způsobem taky hnutí (je jedno, jak je to právně podchycené) -- ovšem jeho technické specifikace jsou zcela jiná věc.

11.2.2008 15:02 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano, kdyz vznika nejaky protokol, tak se musi sejit nejaka skupina lidi. Rikej si tomu treba hnuti.

OpenID je protokol. Ma se stat univerzalnim protokolem v teto oblasti, coz je rozhodne dobre, protoze to je velice rozumny protokol. Vzhledem k tomu ze ty tuto funkcnost nechces vyuzivat tak se s OpenID vubec nesetkas. Nechapu proc tady porad kritizujes blbosti, ktere s OpenID nemaji vubec nic spolecneho.

Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.

11.2.2008 14:57 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Řeknu to takhle: pokud si pro takovéhle účely uděláte danou stránku v místě, o kterém víte, že o něj pravděpodobně v relativně blízké budoucnosti přijdete, je to jenom vaše blbost.

Opakuji: pokud to nechcete řešit, neřešte to.

11.2.2008 15:02 freshmouse | skóre: 42 | blog: Bruno Banány
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Mimochodem, citát začínající "Ale pokud ten web má vlastní systém" není ode mě, ale od Filipa Jirsáka.

11.2.2008 15:07 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Opraveno. Drobnost.

A už toho nechte, bo jinak dneska odpoledne neudělám žádnou práci

Školím Ansible

Hmm, cele me to prijde jako zbytecne komplikovane a s chabou (ci alespon chabe se tvarici) bezpecnosti.

Nebylo by mnohem jednodussi, kdyz by uzivatel kazdemu serveru poskytl svuj verejny klic (*) a pak by ho pokazde jeho webovy prohlizec identifikoval pomoci privatniho klice? Tedy vicemene stejne, jako na ssh. Uzivatel bud nemusi zadavat nic, nebo si zada passphrasi pri prvnim pusteni prohlizece.

Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.

(*) bud by si na serveru normalne zridil ucet a verejny klic nahral do profilu, nebo treba by URL verejneho klice byl primo identifikator uzivatele.

11.2.2008 15:39 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.

Nic není potřeba měnit, takhle autentizace klientským certifikátem přes HTTPS funguje už léta.

11.2.2008 16:33 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

PGP lze používat uvnitř TLS (např. GNUTLS to implementuje). Dokonce existuje návrh na rožíření HTTP o autentizaci/podepisování pomocí PGP (na Rootu o tom byl článek).

11.2.2008 16:39 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano, v ideálním případě by autentizace SSL certifikáty řešila vše. Ale mizí nám ta decentralizace, protože v decentralizovaném systému není jasné, kterému SSL certifikátu věřit a kterému ne.

Jo a pak nám taky brzo dojdou IP adresy

Čímž neříkám, že bych nebyl proti (autentizaci SSL certifikáty).

Školím Ansible

11.2.2008 17:03 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ale nemizi - klientske certifikaty nemusi byt nicim overene. Pro tohle uziti to neni potreba.

tak proste poprve uzivatel pri zrizeni uctu nahraje libovolny verejny klic a nasledne se prokazuje privatnim klicem. Ten privatni klic prokazuje tu skutecnost, ze uzivatel je ten samy, ktery tam puvodne nahral verejny klic. Nic vic.

Zrizeni uctu by mohlo byt i implicitni (pri prvni navsteve automaticky s ID podle hashe klice), pomocne udaje (jmeno) by se stahly z certifikatu.

11.2.2008 19:22 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Intuitivně mi přijde, že to jde proti duchu X.509 PKI, tak jak se dnes používá. Ztrácí se tam výhoda neměnného CommonName u certifikátu, CRL a další příjemných vlastností.

Kdyby by se tomu dal nějaký sexy název, tak by to asi pro použití "ověřit že jsem tahle osoba" fungovat mělo.

Školím Ansible

11.2.2008 19:53 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

X.509 je jen ustrnulý způsob využití asymetrické kryptografie. Řada let prokázala, že jednotná PKI je nerealizovatelná (sází na ni SSL, DNSsec IPsec).

Ani nevíte, co bych dal za to, abych mohl aplikaci říci: Služba, ke které se připojuješ, vlastní soukromý klíč k veřejnému klíči, který ti právě předávám, resp. k certifikátu, který zní na JMÉNO a podepsala jej AUTORITA, jejiž veřejný klíč ti předávám. Např. k IMAP serveru bych se mohl připojit přímo, přes HTTP/CONNECT, SSH nebo natovaný port a poštovní klient by si nesmyslně nestěžoval, že TCP adresa nesedí.

11.2.2008 17:11 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

> Jo a pak nám taky brzo dojdou IP adresy

Predpokladam, ze narazis na problem s SSL a nutnosti unikatni IP adresy pro nezavisle webove servery. Pro ucely autentizace uzivatele ale jedine co potrebuji je ochrana proti man-in-the-middle utoku. V takovem pripade by stacil jediny certifikat (vydany provozovatelem serveru) pro vsechny virtualni servery.

11.2.2008 15:59 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Link | Blokovat | Admin

Jak je ošetřeno, že nebude možné ukrást spojení mezi webem, na který se přihlašuju, a poskytovatelem OpenID?

Pokud to chápu dobře, tak k přihlášení na jakýkoliv web přes openid stačí přesvědčit cílový web, že já jsem svoje autorita (poskytovatel) a můžu podvrhnout jakýkoliv openid účet. Prostě nezaútočím na spojení uživatel -- poskytovatel openid, ani na uživatel -- web, ale na spojení poskytovatel openid -- web. Pokud udělám obyčejný man-in-middle, tak se web bude ptát útočníka, zda se může útočník přihlásit...

Hello world ! Segmentation fault (core dumped)

11.2.2008 16:15 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Komunikace (s přiměřeně náhodnými tikety) probíhá mezi všemi třemi stranami: HTTP klient (uživatel), OpenID provider tak i OpenID consumer (všechny možnosti), což obtížnost útoku trošku zvyšuje. Je potřeba sedět někde, kde můžete odchytit všechny tři(šest) směry, pak je to triviální.

Pokud máme jednu stranu pod kontrolou (asi uživatele), tak stačí odchytit a upravit komunikaci mezi OpenID consumerem a providerem. (pokud se dobře pamatuju).

Školím Ansible

r: vypada to, ze se v tom vyznas - tak me rekni, co se stane, kdyz nekdo hackne meho poskytovatele openid (ci muj hosting, kde si to budu provozovat sam)? ziska tim pristup do vsech mych sluzeb? imo j... hm, uz se tesim az tohle zacnou pouzivat eshopy ;)
---
Ano, to je problém. Stejný, jako hacknutí jakékoliv jiné, služby považované tebou za důvěryhodnou (třeba toho poskytovatele e-mailu). Výhodou OpenID je to, že je otevřené a můžeš si implementovat vlastní způsob zabezpečení - mimo klasické jméno a heslo, třeba autorizaci přes SMS, One Time Password a další. Fantazii si meze nekladou.

jenze kdyz me (ci hostingu) nekdo hackne mailserver, tak (nemam-li tam vsechnu postu archivovanou, coz aspon ja nemam :) ) zjisti kulove, bude muset zkusit na eshopu ABC jestli tam mam acc, cili si necha poslat zapomenute heslo (pokud vubec bude schopnej zjistit na jaky mail to bylo registrovano), ale v pripade openid tam musi byt ulozene vsechny l/p udaje ke vsem pouzivanym sluzbam...

11.2.2008 19:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano. může se přihlásit jako ty. Do banky ani shopu bych s OpenID nechodil. Ale na stránky, kde vyžadují registraci klidně.

Jen pro jistotu: OpenID producer nemá žádnou databázi login/password pro všechny weby, kterým potvrdil identitu.

Školím Ansible

11.2.2008 19:14 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Moment, teď se nějak ztrácím. Před časem jsem to zkoušel, založil jsem si testovací OpenID účet, na nějakém serveru třetí strany jsem si tenhle účet zaregistroval a při přihlašování mě to pak směrovalo na server té OpenID autority. Takže tam přece login/password je, ne?

11.2.2008 19:24 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Na produceru je tam pro každého uživatele jedno heslo (či cokoliv jiného).

Ke consumerům (ostatním webům) se to heslo vůbec nedostane, ty se jenom zeptají: "hele, potvrď mi, že tenhle uživatel je tohle OpenID"

Školím Ansible

11.2.2008 19:40 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jo takhle to bylo myšleno. Mě vůbec nenapadlo, že by OpenID server mohl mít různá hesla pro jednu identitu a proto mě váš příspěvek zmátl.

Věroši, díky moc za vyjasnění... a také za pobavení - některé názory jsou fakt vtipné (aneb nehodnotím, pokud tématu nerozumím...).

Založit nové vlákno • Nahoru