abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Sniffnet, multiplatformní aplikace pro monitorování internetového provozu
    včera 16:33 | Zajímavý software

    Sniffnet je multiplatformní aplikace pro sledování internetového provozu. Ke stažení pro Windows, macOS i Linux. Jedná se o open source software. Zdrojové kódy v programovacím jazyce Rust jsou k dispozici na GitHubu. Vývoj je finančně podporován NLnet Foundation.

    Ladislav Hagara | Komentářů: 0
    Debian Installer Trixie RC 2
    včera 12:33 | Nová verze

    Byl vydán Debian Installer Trixie RC 2, tj. druhá RC verze instalátoru Debianu 13 s kódovým názvem Trixie.

    Ladislav Hagara | Komentářů: 0
    Vývoj webového prohlížeče Ladybird (06/2025)
    včera 03:33 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za červen (YouTube).

    Ladislav Hagara | Komentářů: 0
    Libreboot 25.06 "Luminous Lemon" a Canoeboot 25.06 "Onerous Olive"
    včera 02:33 | Nová verze

    Libreboot (Wikipedie) – svobodný firmware nahrazující proprietární BIOSy, distribuce Corebootu s pravidly pro proprietární bloby – byl vydán ve verzi 25.06 "Luminous Lemon". Přidána byla podpora desek Acer Q45T-AM a Dell Precision T1700 SFF a MT. Současně byl ve verzi 25.06 "Onerous Olive" vydán také Canoeboot, tj. fork Librebootu s ještě přísnějšími pravidly.

    Ladislav Hagara | Komentářů: 0
    Copyleft-Next
    včera 01:33 | Komunita

    Licence GNU GPLv3 o víkendu oslavila 18 let. Oficiálně vyšla 29. června 2007. Při té příležitosti Richard E. Fontana a Bradley M. Kuhn restartovali, oživili a znovu spustili projekt Copyleft-Next s cílem prodiskutovat a navrhnout novou licenci.

    Ladislav Hagara | Komentářů: 0
    GNU Health Hospital Information System (HIS) 5.0
    2.7. 16:55 | Nová verze

    Svobodný nemocniční informační systém GNU Health Hospital Information System (HIS) (Wikipedie) byl vydán ve verzi 5.0 (Mastodon).

    Ladislav Hagara | Komentářů: 0
    Mapová a navigační aplikace OsmAnd oslavila 15 let
    2.7. 16:22 | Komunita

    Open source mapová a navigační aplikace OsmAnd (OpenStreetMap Automated Navigation Directions, Wikipedie, GitHub) oslavila 15 let.

    Ladislav Hagara | Komentářů: 1
    Počítačová hra Brno Transit
    2.7. 11:55 | Zajímavý software

    Vývojář Spytihněv, autor počítačové hry Hrot (Wikipedie, ProtonDB), pracuje na nové hře Brno Transit. Jedná se o příběhový psychologický horor o strojvedoucím v zácviku, uvězněném v nejzatuchlejším metru východně od všeho, na čem záleží. Vydání je plánováno na čtvrté čtvrtletí letošního roku.

    Ladislav Hagara | Komentářů: 38
    České dráhy testují vysokorychlostní satelitní internet Starlink ve vlaku
    1.7. 18:22 | IT novinky

    V uplynulých dnech byla v depu Českých drah v Brně-Maloměřicích úspěšně dokončena zástavba speciální antény satelitního internetu Starlink od společnosti SpaceX do jednotky InterPanter 660 004 Českých drah. Zástavbu provedla Škoda Group. Cestující se s InterPanterem, vybaveným vysokorychlostním satelitním internetem, setkají například na linkách Svitava Brno – Česká Třebová – Praha nebo Moravan Brno – Břeclav – Přerov – Olomouc.

    Ladislav Hagara | Komentářů: 21
    digiKam 8.7.0
    1.7. 13:11 | Nová verze

    Byla vydána nová verze 8.7.0 správce sbírky fotografií digiKam (Wikipedie). Přehled novinek i s náhledy v oficiálním oznámení (NEWS). Nejnovější digiKam je ke stažení také jako balíček ve formátu AppImage. Stačí jej stáhnout, nastavit právo ke spuštění a spustit.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (28%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 347 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Blogy / Co není v hlavě / Opravník obecně oblíbených omylů o OpenID / Opravník obecně oblíbených omylů o OpenID (diskuse)
    Štítky: bezpečnost, DNS, DVD, e-mail, firewally, Instant messaging, Internet, Jabber, KDE, komunikace, Microsoft, programování, prohlížeče, Python, SSH, SSL, TLS, web

    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    freshmouse avatar 11.2.2008 13:39 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Díky, chtěl jsem ten svůj zápisek aktualizovat, ale tys mě předběhl. Nicméně musím dodat, že s novými (a snad správnými) informacemi se mi OpenID zdá ještě hloupější než předtím... :-(
    Věroš avatar 11.2.2008 13:42 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ptej se dál. :-)

    OpenID sleduju od 2005, docela se mi líbilo, ale v té době bylo v plenkách a používal ho snad jenom LiveJournal. Dneska to bude o něco lepší.
    Školím Ansible
    11.2.2008 13:51 Stevko
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ja sa teda opýtam. Ako to openID vlastne vyzerá? Pokiaľ viem, tak je to tvaru http://server/subor (alebo podobne). Prečo práve http? Prečo nie niečo iné (ftp, https)? Alebo prečo sa neprihlasovať všade mailom? Alebo JIDom?
    Věroš avatar 11.2.2008 15:03 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID vypadá jako URL, protože to URL je. Nejsem si jistý, jestli má smysl ho implementovat pro jiná URL než http.

    HTTP se používá nejspíš proto, že se pěkně implementuje autentizace bez velkého obtěžování uživatele.
    Školím Ansible
    11.2.2008 13:50 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nechápu co se ti na tom zdá hloupého, mně to příjde jako výborná věc. Ten model OpenID odpovídá modelu jiných služeb, třeba XMPP/Jabberu nebo emailu. Není na tom nic špatného, žádné Big Brother tendence to nestupňuje.
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    freshmouse avatar 11.2.2008 13:57 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Neodpovídá to mejlu nebo Jabberu, protože pod nimi se nikam nepřihlašuju. Nelíbí se mi zbytečná závislost na dalším poskytovateli něčeho.
    11.2.2008 13:58 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nechapu co je na tom hloupeho? Mam sveho duveryhodneho drzitele mych informaci, ostatni dostavaji jenom potvrzeni ze ja jsem ten za koho se vydavam, takze sice mam single-point of failure, ale ten muzu presunout na misto kde ta pravdepodobnost failure bude nizka, zaroven muzu tento single point zajistit jednim silnym heslem (schvalne kolik pouzivas hesel na webu).
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:14 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ještě k té centralizaci... Ona centralizace stejně bude probíhat, i když na několika různých místech (zní to šíleně, ale snad mi rozumíte). I když bude více poskytovatelů OpenID, každý z nich bude (podle mě zbytečně) hromadit údaje o uživatelích.
    11.2.2008 14:19 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Boze, OpenID je protokol, takze stejne jako jabber to muzu rozjet klidne na svem webu.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:25 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já tomu rozumím, ale co to na situaci mění?
    11.2.2008 14:33 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale co by to melo resit? Proste zadna centralizace neni. Kdyz budes chtit tak si na kazdem webu zalozis novy OpenID a mas stejnou situaci jako predtim. OpenID je proste protokol, ktery je zalozeny na stejnem principu jako protokoly ktere se denne pouzivaji (platebni karty, roaming u telefonu). Vyhodou je ochrana uzivatele pred potencionalne zakernym webem.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:22 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    A ještě něco.
    Jak nad tím tak přemýšlím, tak poskytování OpenID je velmi podobné poskytování e-mailových schránek. Člověk si buď založí účet u někoho, nebo si zřídí svépomocí vlastní.
    Jenže to definitivně stírá tu jedinečnost ID. Když přejdu k jinému poskytovateli OpenID (nebo k jinému poskytovateli e-mailu), tak: a) musím nějak přenést data z jednoho účtu na druhý; b) musím dojít na místa, kde jsem svoje ID (e-mailovou adresu) zadal a zadat tam to aktuální.
    11.2.2008 14:28 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    No samozrejme, ale tohle prece vubec OpenID nema resit a neresi. OpenID resi akutni problem toho ze uzivatele maji vsude po webu stovky roznych uctu se stejnym jmenem a heslem a to casto i na nebezpecnych webech, ktere jsou budto spatne zabezpecene, nebo jsou primo urcene pro ochytavani hesel.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:35 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Co se týče b), mrkněte na Misantropa a najděte si tam odstavec použití URL stránek jako OpenID identifikátoru (je to tučným písmem někde v první třetině). Pokud se na těch místech, kde zadáváte svoje OpenID, budete hned od začátku hlásit adresou stránky pro přesměrování na vašeho aktuálního poskytovatele (a tu můžete mít kdekoli, třeba na svém osobním webu), bude vám stačit změnit jen hlavičku té jedné stránky.
    freshmouse avatar 11.2.2008 14:37 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    To ale vyžaduje vazbu na další službu a taky trvanlivost toho mého URL (kde je odkaz na OpenID). Točíme se tu v kruhu. :-)
    Věroš avatar 11.2.2008 14:40 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, vyžaduje. V tom ale problém nevidím.
    Školím Ansible
    11.2.2008 14:41 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale proc by to mel OpenID resit? To je to same jako kdyby sis stezoval ze switch pracuje na urovni MAC adres a ze neumi IPv6.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:42 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jasně, ale nevím, jak byste to už chtěl řešit jinak. Pokud už nedůvěřujete ani stálosti svých stránek (když už nedůvěřujete stálosti svého poskytovatele OpenID), pak máte holt smůlu. Ale stejně tak můžete řešit trvanlivost svého mailového konta, svého konta po jabber atd.

    Prostě pokud to nechcete používat, nepoužívejte to. A pokud na tom někdo bude trvat, založte si někde jednorázový OpenID účet pro ten jeden konkrétní účel a vyjde vám to nastejno jako teď.
    freshmouse avatar 11.2.2008 14:50 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jak bych to osobně chtěl řešit jinak? Nijak. Osobně bych nechal všechno na straně toho, komu patří ty stránky, kam něco chci napsat.

    Co se týče důvěry ve stálost mých stránek... Nemusí se jednat jen o vlastní doménu. Co když mám svoje stránky pod stránkami firmy nebo školy? Po odchodu z firmy nebo školy nemůžu počítat, že ty stránky vydrží ještě léta...

    Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...
    11.2.2008 14:53 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...
    Boze ty jses takovej tupec. OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit. OpenID neni Microsoft Passport, tudiz neni tady zadny tlak na to aby kazdy clovek mel jedno unikatni trvale OpenID.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    Věroš avatar 11.2.2008 14:56 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.

    Jdu to vytesat do kamene.
    Školím Ansible
    11.2.2008 15:38 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.
    Už někdo zjistil, na čem se ty weby chtějí domlouvat? :-)

    Jinak OpenID má zatím daleko spíš charakter hnutí „těch, co spolu mluví“, a je to postavené na tom, že všichni zúčastnění chtějí, aby to fungovalo. Což je dnes už poněkud naivní přístup při tvorbě nového „protokolu“. V době crackerů a zabezpečování původně volného internetu firewally, v době spammerů a pokusů ochránit před nimi původně volný e-mail, je dost naivní vytvořit nový protokol, který je do značné míry závislý na tom, že všichni budou hodní.
    11.2.2008 15:43 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Coze? OpenID prece funguje presne naopak. OpenID predpoklada ze vsichni jsou vsichni (ostatni) zli (coz je narozdil od uzivatelu, kteri predpokladaji ze jsou vsichni hodni krok spravnym smerem).
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 16:10 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Když budu předpokládat, že ostaní jsou zlí, budou mi schválně posílat DNS odpovědi co nejpozději a na můj dotaz na delegující stránku mne desetkrát přesměrují, až mi nakonec začnou posílat obraz DVD rychlostí stařičkého modemu, tak se na OpenID na servereu rovnou vykašlu. Abych to mohl implementovat, musím předpokládat, že tohle mi nikdo provádět nebude, a že bude hodný.
    Věroš avatar 11.2.2008 15:48 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Web ABC se ptá webu DEF: "můžeš mi prosím potvrdit, že tenhle člověk zná identifikaci http://123.def.xx/"

    Ad bezpečnost:

    * je možné založit si vlastní OpenID server XYZ, který bude zlý.

    * ale není za pomoci hodného serveru DEF se vydávat za někoho jiného.

    To, že OpenID to má jisté jiné nevýhody, to je pravda.
    Školím Ansible
    11.2.2008 16:06 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    ale není za pomoci hodného serveru DEF se vydávat za někoho jiného
    Podle toho, co jste psal jinde, k vydávání se za někoho jiného stačí pozměnit mu delegující stránku.
    Věroš avatar 11.2.2008 16:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, to je pravda. Pokud změním delegující stránku, tak se můžu vydávat za majitele delegující stránky.

    Zkusím večer nebo zítra sesumarizovat do druhého blogpostu bezpečnostní problémy. (pokud to neudělá někdo dřív nebo to třeba nepřeloží z angličtiny).
    Školím Ansible
    11.2.2008 16:15 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Tak to se omlouvám za dezinformaci. Myslel jsem, že jediný prostředník, komu musím důvěřovat, je poskytovatel OpenID. Jestli to musí být ještě i správce delegované stránky…
    Věroš avatar 11.2.2008 16:17 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já jsem správce delegující stránky.

    Pro jistotu: OpenID není tak silné jako autentizace SSL certifikátem.
    Školím Ansible
    11.2.2008 16:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já jsem správce delegující stránky.
    Takže vše, co bylo až dosud napsáno o problémech při změně poskytovatele OpenID, stačí přepsat na problémy při změně poskytovatele delegující stránky. Jednoznačným identifikátorem je delegující stránka, pokud ji musím změnit, měním identitu. Navíc delegující stránka není chráněna ani tím heslem…
    freshmouse avatar 11.2.2008 14:59 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nejsem bůh a ani tupec.

    Nicméně OpenID vzniklo jako hnutí, které chtělo jednotnost něčeho. Protokol a technická realizace vůbec je druhá věc. W3C je svým způsobem taky hnutí (je jedno, jak je to právně podchycené) -- ovšem jeho technické specifikace jsou zcela jiná věc.
    11.2.2008 15:02 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, kdyz vznika nejaky protokol, tak se musi sejit nejaka skupina lidi. Rikej si tomu treba hnuti.

    OpenID je protokol. Ma se stat univerzalnim protokolem v teto oblasti, coz je rozhodne dobre, protoze to je velice rozumny protokol. Vzhledem k tomu ze ty tuto funkcnost nechces vyuzivat tak se s OpenID vubec nesetkas. Nechapu proc tady porad kritizujes blbosti, ktere s OpenID nemaji vubec nic spolecneho.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:57 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Řeknu to takhle: pokud si pro takovéhle účely uděláte danou stránku v místě, o kterém víte, že o něj pravděpodobně v relativně blízké budoucnosti přijdete, je to jenom vaše blbost.

    Opakuji: pokud to nechcete řešit, neřešte to.
    freshmouse avatar 11.2.2008 15:02 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Mimochodem, citát začínající "Ale pokud ten web má vlastní systém" není ode mě, ale od Filipa Jirsáka.
    Věroš avatar 11.2.2008 15:07 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Opraveno. Drobnost.

    A už toho nechte, bo jinak dneska odpoledne neudělám žádnou práci :-)
    Školím Ansible
    11.2.2008 15:36 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Hmm, cele me to prijde jako zbytecne komplikovane a s chabou (ci alespon chabe se tvarici) bezpecnosti.

    Nebylo by mnohem jednodussi, kdyz by uzivatel kazdemu serveru poskytl svuj verejny klic (*) a pak by ho pokazde jeho webovy prohlizec identifikoval pomoci privatniho klice? Tedy vicemene stejne, jako na ssh. Uzivatel bud nemusi zadavat nic, nebo si zada passphrasi pri prvnim pusteni prohlizece.

    Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.

    (*) bud by si na serveru normalne zridil ucet a verejny klic nahral do profilu, nebo treba by URL verejneho klice byl primo identifikator uzivatele.
    11.2.2008 15:39 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.
    Nic není potřeba měnit, takhle autentizace klientským certifikátem přes HTTPS funguje už léta.
    11.2.2008 16:33 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    PGP lze používat uvnitř TLS (např. GNUTLS to implementuje). Dokonce existuje návrh na rožíření HTTP o autentizaci/podepisování pomocí PGP (na Rootu o tom byl článek).
    Věroš avatar 11.2.2008 16:39 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, v ideálním případě by autentizace SSL certifikáty řešila vše. Ale mizí nám ta decentralizace, protože v decentralizovaném systému není jasné, kterému SSL certifikátu věřit a kterému ne.

    Jo a pak nám taky brzo dojdou IP adresy :-)

    Čímž neříkám, že bych nebyl proti (autentizaci SSL certifikáty).
    Školím Ansible
    11.2.2008 17:03 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale nemizi - klientske certifikaty nemusi byt nicim overene. Pro tohle uziti to neni potreba.

    tak proste poprve uzivatel pri zrizeni uctu nahraje libovolny verejny klic a nasledne se prokazuje privatnim klicem. Ten privatni klic prokazuje tu skutecnost, ze uzivatel je ten samy, ktery tam puvodne nahral verejny klic. Nic vic.

    Zrizeni uctu by mohlo byt i implicitni (pri prvni navsteve automaticky s ID podle hashe klice), pomocne udaje (jmeno) by se stahly z certifikatu.
    Věroš avatar 11.2.2008 19:22 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Intuitivně mi přijde, že to jde proti duchu X.509 PKI, tak jak se dnes používá. Ztrácí se tam výhoda neměnného CommonName u certifikátu, CRL a další příjemných vlastností.

    Kdyby by se tomu dal nějaký sexy název, tak by to asi pro použití "ověřit že jsem tahle osoba" fungovat mělo.
    Školím Ansible
    11.2.2008 19:53 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    X.509 je jen ustrnulý způsob využití asymetrické kryptografie. Řada let prokázala, že jednotná PKI je nerealizovatelná (sází na ni SSL, DNSsec IPsec).

    Ani nevíte, co bych dal za to, abych mohl aplikaci říci: Služba, ke které se připojuješ, vlastní soukromý klíč k veřejnému klíči, který ti právě předávám, resp. k certifikátu, který zní na JMÉNO a podepsala jej AUTORITA, jejiž veřejný klíč ti předávám. Např. k IMAP serveru bych se mohl připojit přímo, přes HTTP/CONNECT, SSH nebo natovaný port a poštovní klient by si nesmyslně nestěžoval, že TCP adresa nesedí.
    11.2.2008 17:11 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    > Jo a pak nám taky brzo dojdou IP adresy

    Predpokladam, ze narazis na problem s SSL a nutnosti unikatni IP adresy pro nezavisle webove servery. Pro ucely autentizace uzivatele ale jedine co potrebuji je ochrana proti man-in-the-middle utoku. V takovem pripade by stacil jediny certifikat (vydany provozovatelem serveru) pro vsechny virtualni servery.
    Josef Kufner avatar 11.2.2008 15:59 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jak je ošetřeno, že nebude možné ukrást spojení mezi webem, na který se přihlašuju, a poskytovatelem OpenID?

    Pokud to chápu dobře, tak k přihlášení na jakýkoliv web přes openid stačí přesvědčit cílový web, že já jsem svoje autorita (poskytovatel) a můžu podvrhnout jakýkoliv openid účet. Prostě nezaútočím na spojení uživatel -- poskytovatel openid, ani na uživatel -- web, ale na spojení poskytovatel openid -- web. Pokud udělám obyčejný man-in-middle, tak se web bude ptát útočníka, zda se může útočník přihlásit...
    Hello world ! Segmentation fault (core dumped)
    Věroš avatar 11.2.2008 16:15 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Komunikace (s přiměřeně náhodnými tikety) probíhá mezi všemi třemi stranami: HTTP klient (uživatel), OpenID provider tak i OpenID consumer (všechny možnosti), což obtížnost útoku trošku zvyšuje. Je potřeba sedět někde, kde můžete odchytit všechny tři(šest) směry, pak je to triviální.

    Pokud máme jednu stranu pod kontrolou (asi uživatele), tak stačí odchytit a upravit komunikaci mezi OpenID consumerem a providerem. (pokud se dobře pamatuju).
    Školím Ansible
    11.2.2008 16:41 r
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    r: vypada to, ze se v tom vyznas - tak me rekni, co se stane, kdyz nekdo hackne meho poskytovatele openid (ci muj hosting, kde si to budu provozovat sam)? ziska tim pristup do vsech mych sluzeb? imo j... hm, uz se tesim az tohle zacnou pouzivat eshopy ;)
    ---
    Ano, to je problém. Stejný, jako hacknutí jakékoliv jiné, služby považované tebou za důvěryhodnou (třeba toho poskytovatele e-mailu). Výhodou OpenID je to, že je otevřené a můžeš si implementovat vlastní způsob zabezpečení - mimo klasické jméno a heslo, třeba autorizaci přes SMS, One Time Password a další. Fantazii si meze nekladou.
    jenze kdyz me (ci hostingu) nekdo hackne mailserver, tak (nemam-li tam vsechnu postu archivovanou, coz aspon ja nemam :) ) zjisti kulove, bude muset zkusit na eshopu ABC jestli tam mam acc, cili si necha poslat zapomenute heslo (pokud vubec bude schopnej zjistit na jaky mail to bylo registrovano), ale v pripade openid tam musi byt ulozene vsechny l/p udaje ke vsem pouzivanym sluzbam...
    Věroš avatar 11.2.2008 19:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano. může se přihlásit jako ty. Do banky ani shopu bych s OpenID nechodil. Ale na stránky, kde vyžadují registraci klidně.

    Jen pro jistotu: OpenID producer nemá žádnou databázi login/password pro všechny weby, kterým potvrdil identitu.
    Školím Ansible
    11.2.2008 19:14 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Moment, teď se nějak ztrácím. Před časem jsem to zkoušel, založil jsem si testovací OpenID účet, na nějakém serveru třetí strany jsem si tenhle účet zaregistroval a při přihlašování mě to pak směrovalo na server té OpenID autority. Takže tam přece login/password je, ne?
    Věroš avatar 11.2.2008 19:24 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Na produceru je tam pro každého uživatele jedno heslo (či cokoliv jiného).

    Ke consumerům (ostatním webům) se to heslo vůbec nedostane, ty se jenom zeptají: "hele, potvrď mi, že tenhle uživatel je tohle OpenID"
    Školím Ansible
    11.2.2008 19:40 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jo takhle to bylo myšleno. Mě vůbec nenapadlo, že by OpenID server mohl mít různá hesla pro jednu identitu a proto mě váš příspěvek zmátl. :-)
    11.2.2008 17:24 Ivanhoej | skóre: 26 | blog: ss2_Debian | Bratislava
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ako soft treba na zalozenie vlastneho OpenID servera. Tie kniznice som nasiel (pre python ruby) no nechce sa mi to cele programovat, ci neexistuje nieco ako pre XMPP je ejaberd ci jabberd a je nieco podobne pre openid ???

    Dakujem
    23.1.2009 12:22 Pev | skóre: 28
    Rozbalit Rozbalit vše Re: Opravník obecně oblíbených omylů o OpenID
    Věroši, díky moc za vyjasnění... a také za pobavení - některé názory jsou fakt vtipné :-) (aneb nehodnotím, pokud tématu nerozumím...).

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.