abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    T‑Mobile USA spustil službu T-Satellit
    dnes 06:00 | IT novinky

    T‑Mobile USA ve spolupráci se Starlinkem spustil službu T-Satellite. Uživatelé služby mohou v odlehlých oblastech bez mobilního signálu aktuálně využívat satelitní síť s více než 650 satelity pro posílání a příjem zpráv, sdílení polohy, posílání zpráv na 911 a příjem upozornění, posílání obrázků a krátkých hlasových zpráv pomocí aplikace Zprávy Google. V plánu jsou také satelitní data.

    Ladislav Hagara | Komentářů: 0
    Proxmox věnoval 10 000 eur nadaci Perl a Raku
    včera 21:55 | Komunita

    Společnost Proxmox Server Solutions stojící za virtualizační platformou Proxmox Virtual Environment věnovala 10 000 eur nadaci The Perl and Raku Foundation (TPRF).

    Ladislav Hagara | Komentářů: 1
    Apache HTTP Server (httpd) 2.4.65 řeší bezpečnostní chybu CVE-2025-54090
    včera 21:22 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.65 svobodného multiplatformního webového serveru Apache (httpd). Řešena je bezpečnostní chyba CVE-2025-54090.

    Ladislav Hagara | Komentářů: 0
    Proton Lumo
    včera 14:22 | IT novinky

    Společnost Proton AG stojící za Proton Mailem a dalšími službami přidala do svého portfolia AI asistenta Lumo.

    Ladislav Hagara | Komentářů: 6
    Amazon koupil společnost Bee
    včera 12:22 | IT novinky

    Amazon koupil společnost Bee zaměřenou na nositelnou osobní AI aktuálně nabízející náramek Pioneer (YouTube) s mikrofony zaznamenávající vše kolem [𝕏, LinkedIn].

    Ladislav Hagara | Komentářů: 6
    Open source Bluetooth reproduktor MYND
    včera 04:33 | IT novinky

    Společnost Teufel nedávno představila svůj první open source Bluetooth reproduktor MYND.

    Ladislav Hagara | Komentářů: 9
    Lazarus 4.2
    22.7. 20:00 | Nová verze

    Byla vydána verze 4.2 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Využíván je Free Pascal Compiler (FPC) 3.2.2.

    Ladislav Hagara | Komentářů: 0
    Microsoft nemůže garantovat, že data z EU nepředá do USA bez EU souhlasu
    22.7. 19:33 | IT novinky

    Anton Carniaux, právní zástupce Microsoft France, pod přísahou: Microsoft nemůže garantovat, že data z EU nepředá do USA bez EU souhlasu, musí dodržovat americké zákony.

    Ladislav Hagara | Komentářů: 39
    Firefox 141.0
    22.7. 15:33 | Nová verze

    Byl vydán Mozilla Firefox 141.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Lokální AI umí uspořádat podobné panely do skupin. Firefox na Linuxu využívá méně paměti. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 141 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 0
    Kritická zranitelnost v SharePointu
    21.7. 22:44 | Bezpečnostní upozornění

    NÚKIB upozorňuje na kritickou zranitelnost v SharePointu. Jedná se o kritickou zranitelnost typu RCE (remote code execution) – CVE-2025-53770, která umožňuje neautentizovaný vzdálený přístup a spuštění kódu, což může vést k úplnému převzetí kontroly nad serverem. Zranitelné verze jsou pouze on-premise verze a to konkrétně SharePoint Server 2016, 2019 a Subscription Edition. SharePoint Online (Microsoft 365) není touto zranitelností ohrožen.

    Ladislav Hagara | Komentářů: 6
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (28%)
     (25%)
     (5%)
     (6%)
     (5%)
     (2%)
     (3%)
     (28%)
    Celkem 105 hlasů
     Komentářů: 14, poslední včera 23:49
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Blogy / Co není v hlavě / Opravník obecně oblíbených omylů o OpenID / Opravník obecně oblíbených omylů o OpenID (diskuse)
    Štítky: bezpečnost, DNS, DVD, e-mail, firewally, Instant messaging, Internet, Jabber, KDE, komunikace, Microsoft, programování, prohlížeče, Python, SSH, SSL, TLS, web

    Nástroje: Začni sledovat (2) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    freshmouse avatar 11.2.2008 13:39 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Díky, chtěl jsem ten svůj zápisek aktualizovat, ale tys mě předběhl. Nicméně musím dodat, že s novými (a snad správnými) informacemi se mi OpenID zdá ještě hloupější než předtím... :-(
    Věroš avatar 11.2.2008 13:42 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ptej se dál. :-)

    OpenID sleduju od 2005, docela se mi líbilo, ale v té době bylo v plenkách a používal ho snad jenom LiveJournal. Dneska to bude o něco lepší.
    Školím Ansible
    11.2.2008 13:51 Stevko
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ja sa teda opýtam. Ako to openID vlastne vyzerá? Pokiaľ viem, tak je to tvaru http://server/subor (alebo podobne). Prečo práve http? Prečo nie niečo iné (ftp, https)? Alebo prečo sa neprihlasovať všade mailom? Alebo JIDom?
    Věroš avatar 11.2.2008 15:03 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID vypadá jako URL, protože to URL je. Nejsem si jistý, jestli má smysl ho implementovat pro jiná URL než http.

    HTTP se používá nejspíš proto, že se pěkně implementuje autentizace bez velkého obtěžování uživatele.
    Školím Ansible
    11.2.2008 13:50 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nechápu co se ti na tom zdá hloupého, mně to příjde jako výborná věc. Ten model OpenID odpovídá modelu jiných služeb, třeba XMPP/Jabberu nebo emailu. Není na tom nic špatného, žádné Big Brother tendence to nestupňuje.
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    freshmouse avatar 11.2.2008 13:57 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Neodpovídá to mejlu nebo Jabberu, protože pod nimi se nikam nepřihlašuju. Nelíbí se mi zbytečná závislost na dalším poskytovateli něčeho.
    11.2.2008 13:58 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nechapu co je na tom hloupeho? Mam sveho duveryhodneho drzitele mych informaci, ostatni dostavaji jenom potvrzeni ze ja jsem ten za koho se vydavam, takze sice mam single-point of failure, ale ten muzu presunout na misto kde ta pravdepodobnost failure bude nizka, zaroven muzu tento single point zajistit jednim silnym heslem (schvalne kolik pouzivas hesel na webu).
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:14 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ještě k té centralizaci... Ona centralizace stejně bude probíhat, i když na několika různých místech (zní to šíleně, ale snad mi rozumíte). I když bude více poskytovatelů OpenID, každý z nich bude (podle mě zbytečně) hromadit údaje o uživatelích.
    11.2.2008 14:19 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Boze, OpenID je protokol, takze stejne jako jabber to muzu rozjet klidne na svem webu.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:25 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já tomu rozumím, ale co to na situaci mění?
    11.2.2008 14:33 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale co by to melo resit? Proste zadna centralizace neni. Kdyz budes chtit tak si na kazdem webu zalozis novy OpenID a mas stejnou situaci jako predtim. OpenID je proste protokol, ktery je zalozeny na stejnem principu jako protokoly ktere se denne pouzivaji (platebni karty, roaming u telefonu). Vyhodou je ochrana uzivatele pred potencionalne zakernym webem.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    freshmouse avatar 11.2.2008 14:22 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    A ještě něco.
    Jak nad tím tak přemýšlím, tak poskytování OpenID je velmi podobné poskytování e-mailových schránek. Člověk si buď založí účet u někoho, nebo si zřídí svépomocí vlastní.
    Jenže to definitivně stírá tu jedinečnost ID. Když přejdu k jinému poskytovateli OpenID (nebo k jinému poskytovateli e-mailu), tak: a) musím nějak přenést data z jednoho účtu na druhý; b) musím dojít na místa, kde jsem svoje ID (e-mailovou adresu) zadal a zadat tam to aktuální.
    11.2.2008 14:28 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    No samozrejme, ale tohle prece vubec OpenID nema resit a neresi. OpenID resi akutni problem toho ze uzivatele maji vsude po webu stovky roznych uctu se stejnym jmenem a heslem a to casto i na nebezpecnych webech, ktere jsou budto spatne zabezpecene, nebo jsou primo urcene pro ochytavani hesel.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:35 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Co se týče b), mrkněte na Misantropa a najděte si tam odstavec použití URL stránek jako OpenID identifikátoru (je to tučným písmem někde v první třetině). Pokud se na těch místech, kde zadáváte svoje OpenID, budete hned od začátku hlásit adresou stránky pro přesměrování na vašeho aktuálního poskytovatele (a tu můžete mít kdekoli, třeba na svém osobním webu), bude vám stačit změnit jen hlavičku té jedné stránky.
    freshmouse avatar 11.2.2008 14:37 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    To ale vyžaduje vazbu na další službu a taky trvanlivost toho mého URL (kde je odkaz na OpenID). Točíme se tu v kruhu. :-)
    Věroš avatar 11.2.2008 14:40 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, vyžaduje. V tom ale problém nevidím.
    Školím Ansible
    11.2.2008 14:41 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale proc by to mel OpenID resit? To je to same jako kdyby sis stezoval ze switch pracuje na urovni MAC adres a ze neumi IPv6.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:42 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jasně, ale nevím, jak byste to už chtěl řešit jinak. Pokud už nedůvěřujete ani stálosti svých stránek (když už nedůvěřujete stálosti svého poskytovatele OpenID), pak máte holt smůlu. Ale stejně tak můžete řešit trvanlivost svého mailového konta, svého konta po jabber atd.

    Prostě pokud to nechcete používat, nepoužívejte to. A pokud na tom někdo bude trvat, založte si někde jednorázový OpenID účet pro ten jeden konkrétní účel a vyjde vám to nastejno jako teď.
    freshmouse avatar 11.2.2008 14:50 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jak bych to osobně chtěl řešit jinak? Nijak. Osobně bych nechal všechno na straně toho, komu patří ty stránky, kam něco chci napsat.

    Co se týče důvěry ve stálost mých stránek... Nemusí se jednat jen o vlastní doménu. Co když mám svoje stránky pod stránkami firmy nebo školy? Po odchodu z firmy nebo školy nemůžu počítat, že ty stránky vydrží ještě léta...

    Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...
    11.2.2008 14:53 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Konto pro e-mail nebo Jabber je jednoúčelné, narozdíl od OpenID, které má být zcela univerzální...
    Boze ty jses takovej tupec. OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit. OpenID neni Microsoft Passport, tudiz neni tady zadny tlak na to aby kazdy clovek mel jedno unikatni trvale OpenID.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    Věroš avatar 11.2.2008 14:56 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.

    Jdu to vytesat do kamene.
    Školím Ansible
    11.2.2008 15:38 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    OpenID neni hnuti. OpenID je protokol ktery popisuje jak se maji weby mezi sebou domluvit.
    Už někdo zjistil, na čem se ty weby chtějí domlouvat? :-)

    Jinak OpenID má zatím daleko spíš charakter hnutí „těch, co spolu mluví“, a je to postavené na tom, že všichni zúčastnění chtějí, aby to fungovalo. Což je dnes už poněkud naivní přístup při tvorbě nového „protokolu“. V době crackerů a zabezpečování původně volného internetu firewally, v době spammerů a pokusů ochránit před nimi původně volný e-mail, je dost naivní vytvořit nový protokol, který je do značné míry závislý na tom, že všichni budou hodní.
    11.2.2008 15:43 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Coze? OpenID prece funguje presne naopak. OpenID predpoklada ze vsichni jsou vsichni (ostatni) zli (coz je narozdil od uzivatelu, kteri predpokladaji ze jsou vsichni hodni krok spravnym smerem).
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 16:10 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Když budu předpokládat, že ostaní jsou zlí, budou mi schválně posílat DNS odpovědi co nejpozději a na můj dotaz na delegující stránku mne desetkrát přesměrují, až mi nakonec začnou posílat obraz DVD rychlostí stařičkého modemu, tak se na OpenID na servereu rovnou vykašlu. Abych to mohl implementovat, musím předpokládat, že tohle mi nikdo provádět nebude, a že bude hodný.
    Věroš avatar 11.2.2008 15:48 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Web ABC se ptá webu DEF: "můžeš mi prosím potvrdit, že tenhle člověk zná identifikaci http://123.def.xx/"

    Ad bezpečnost:

    * je možné založit si vlastní OpenID server XYZ, který bude zlý.

    * ale není za pomoci hodného serveru DEF se vydávat za někoho jiného.

    To, že OpenID to má jisté jiné nevýhody, to je pravda.
    Školím Ansible
    11.2.2008 16:06 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    ale není za pomoci hodného serveru DEF se vydávat za někoho jiného
    Podle toho, co jste psal jinde, k vydávání se za někoho jiného stačí pozměnit mu delegující stránku.
    Věroš avatar 11.2.2008 16:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, to je pravda. Pokud změním delegující stránku, tak se můžu vydávat za majitele delegující stránky.

    Zkusím večer nebo zítra sesumarizovat do druhého blogpostu bezpečnostní problémy. (pokud to neudělá někdo dřív nebo to třeba nepřeloží z angličtiny).
    Školím Ansible
    11.2.2008 16:15 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Tak to se omlouvám za dezinformaci. Myslel jsem, že jediný prostředník, komu musím důvěřovat, je poskytovatel OpenID. Jestli to musí být ještě i správce delegované stránky…
    Věroš avatar 11.2.2008 16:17 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já jsem správce delegující stránky.

    Pro jistotu: OpenID není tak silné jako autentizace SSL certifikátem.
    Školím Ansible
    11.2.2008 16:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Já jsem správce delegující stránky.
    Takže vše, co bylo až dosud napsáno o problémech při změně poskytovatele OpenID, stačí přepsat na problémy při změně poskytovatele delegující stránky. Jednoznačným identifikátorem je delegující stránka, pokud ji musím změnit, měním identitu. Navíc delegující stránka není chráněna ani tím heslem…
    freshmouse avatar 11.2.2008 14:59 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Nejsem bůh a ani tupec.

    Nicméně OpenID vzniklo jako hnutí, které chtělo jednotnost něčeho. Protokol a technická realizace vůbec je druhá věc. W3C je svým způsobem taky hnutí (je jedno, jak je to právně podchycené) -- ovšem jeho technické specifikace jsou zcela jiná věc.
    11.2.2008 15:02 Let_Me_Be | skóre: 20 | blog: cat /proc/idea/current | Brno
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, kdyz vznika nejaky protokol, tak se musi sejit nejaka skupina lidi. Rikej si tomu treba hnuti.

    OpenID je protokol. Ma se stat univerzalnim protokolem v teto oblasti, coz je rozhodne dobre, protoze to je velice rozumny protokol. Vzhledem k tomu ze ty tuto funkcnost nechces vyuzivat tak se s OpenID vubec nesetkas. Nechapu proc tady porad kritizujes blbosti, ktere s OpenID nemaji vubec nic spolecneho.
    Linked in profil - Můj web - Nemůžete vyhrát hádku s blbcem. Nejdřív vás stáhne na svoji úroveň a pak ubije zkušenostmi.
    11.2.2008 14:57 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Řeknu to takhle: pokud si pro takovéhle účely uděláte danou stránku v místě, o kterém víte, že o něj pravděpodobně v relativně blízké budoucnosti přijdete, je to jenom vaše blbost.

    Opakuji: pokud to nechcete řešit, neřešte to.
    freshmouse avatar 11.2.2008 15:02 freshmouse | skóre: 42 | blog: Bruno Banány
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Mimochodem, citát začínající "Ale pokud ten web má vlastní systém" není ode mě, ale od Filipa Jirsáka.
    Věroš avatar 11.2.2008 15:07 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Opraveno. Drobnost.

    A už toho nechte, bo jinak dneska odpoledne neudělám žádnou práci :-)
    Školím Ansible
    11.2.2008 15:36 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Hmm, cele me to prijde jako zbytecne komplikovane a s chabou (ci alespon chabe se tvarici) bezpecnosti.

    Nebylo by mnohem jednodussi, kdyz by uzivatel kazdemu serveru poskytl svuj verejny klic (*) a pak by ho pokazde jeho webovy prohlizec identifikoval pomoci privatniho klice? Tedy vicemene stejne, jako na ssh. Uzivatel bud nemusi zadavat nic, nebo si zada passphrasi pri prvnim pusteni prohlizece.

    Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.

    (*) bud by si na serveru normalne zridil ucet a verejny klic nahral do profilu, nebo treba by URL verejneho klice byl primo identifikator uzivatele.
    11.2.2008 15:39 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale netusim, zda tenhle koncept jde snadno naroubovat na soucasnou SSL infrastrukturu, nebo by se tam musely pridat nejake zbytecne kroky.
    Nic není potřeba měnit, takhle autentizace klientským certifikátem přes HTTPS funguje už léta.
    11.2.2008 16:33 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    PGP lze používat uvnitř TLS (např. GNUTLS to implementuje). Dokonce existuje návrh na rožíření HTTP o autentizaci/podepisování pomocí PGP (na Rootu o tom byl článek).
    Věroš avatar 11.2.2008 16:39 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano, v ideálním případě by autentizace SSL certifikáty řešila vše. Ale mizí nám ta decentralizace, protože v decentralizovaném systému není jasné, kterému SSL certifikátu věřit a kterému ne.

    Jo a pak nám taky brzo dojdou IP adresy :-)

    Čímž neříkám, že bych nebyl proti (autentizaci SSL certifikáty).
    Školím Ansible
    11.2.2008 17:03 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ale nemizi - klientske certifikaty nemusi byt nicim overene. Pro tohle uziti to neni potreba.

    tak proste poprve uzivatel pri zrizeni uctu nahraje libovolny verejny klic a nasledne se prokazuje privatnim klicem. Ten privatni klic prokazuje tu skutecnost, ze uzivatel je ten samy, ktery tam puvodne nahral verejny klic. Nic vic.

    Zrizeni uctu by mohlo byt i implicitni (pri prvni navsteve automaticky s ID podle hashe klice), pomocne udaje (jmeno) by se stahly z certifikatu.
    Věroš avatar 11.2.2008 19:22 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Intuitivně mi přijde, že to jde proti duchu X.509 PKI, tak jak se dnes používá. Ztrácí se tam výhoda neměnného CommonName u certifikátu, CRL a další příjemných vlastností.

    Kdyby by se tomu dal nějaký sexy název, tak by to asi pro použití "ověřit že jsem tahle osoba" fungovat mělo.
    Školím Ansible
    11.2.2008 19:53 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    X.509 je jen ustrnulý způsob využití asymetrické kryptografie. Řada let prokázala, že jednotná PKI je nerealizovatelná (sází na ni SSL, DNSsec IPsec).

    Ani nevíte, co bych dal za to, abych mohl aplikaci říci: Služba, ke které se připojuješ, vlastní soukromý klíč k veřejnému klíči, který ti právě předávám, resp. k certifikátu, který zní na JMÉNO a podepsala jej AUTORITA, jejiž veřejný klíč ti předávám. Např. k IMAP serveru bych se mohl připojit přímo, přes HTTP/CONNECT, SSH nebo natovaný port a poštovní klient by si nesmyslně nestěžoval, že TCP adresa nesedí.
    11.2.2008 17:11 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    > Jo a pak nám taky brzo dojdou IP adresy

    Predpokladam, ze narazis na problem s SSL a nutnosti unikatni IP adresy pro nezavisle webove servery. Pro ucely autentizace uzivatele ale jedine co potrebuji je ochrana proti man-in-the-middle utoku. V takovem pripade by stacil jediny certifikat (vydany provozovatelem serveru) pro vsechny virtualni servery.
    Josef Kufner avatar 11.2.2008 15:59 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jak je ošetřeno, že nebude možné ukrást spojení mezi webem, na který se přihlašuju, a poskytovatelem OpenID?

    Pokud to chápu dobře, tak k přihlášení na jakýkoliv web přes openid stačí přesvědčit cílový web, že já jsem svoje autorita (poskytovatel) a můžu podvrhnout jakýkoliv openid účet. Prostě nezaútočím na spojení uživatel -- poskytovatel openid, ani na uživatel -- web, ale na spojení poskytovatel openid -- web. Pokud udělám obyčejný man-in-middle, tak se web bude ptát útočníka, zda se může útočník přihlásit...
    Hello world ! Segmentation fault (core dumped)
    Věroš avatar 11.2.2008 16:15 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Komunikace (s přiměřeně náhodnými tikety) probíhá mezi všemi třemi stranami: HTTP klient (uživatel), OpenID provider tak i OpenID consumer (všechny možnosti), což obtížnost útoku trošku zvyšuje. Je potřeba sedět někde, kde můžete odchytit všechny tři(šest) směry, pak je to triviální.

    Pokud máme jednu stranu pod kontrolou (asi uživatele), tak stačí odchytit a upravit komunikaci mezi OpenID consumerem a providerem. (pokud se dobře pamatuju).
    Školím Ansible
    11.2.2008 16:41 r
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    r: vypada to, ze se v tom vyznas - tak me rekni, co se stane, kdyz nekdo hackne meho poskytovatele openid (ci muj hosting, kde si to budu provozovat sam)? ziska tim pristup do vsech mych sluzeb? imo j... hm, uz se tesim az tohle zacnou pouzivat eshopy ;)
    ---
    Ano, to je problém. Stejný, jako hacknutí jakékoliv jiné, služby považované tebou za důvěryhodnou (třeba toho poskytovatele e-mailu). Výhodou OpenID je to, že je otevřené a můžeš si implementovat vlastní způsob zabezpečení - mimo klasické jméno a heslo, třeba autorizaci přes SMS, One Time Password a další. Fantazii si meze nekladou.
    jenze kdyz me (ci hostingu) nekdo hackne mailserver, tak (nemam-li tam vsechnu postu archivovanou, coz aspon ja nemam :) ) zjisti kulove, bude muset zkusit na eshopu ABC jestli tam mam acc, cili si necha poslat zapomenute heslo (pokud vubec bude schopnej zjistit na jaky mail to bylo registrovano), ale v pripade openid tam musi byt ulozene vsechny l/p udaje ke vsem pouzivanym sluzbam...
    Věroš avatar 11.2.2008 19:10 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ano. může se přihlásit jako ty. Do banky ani shopu bych s OpenID nechodil. Ale na stránky, kde vyžadují registraci klidně.

    Jen pro jistotu: OpenID producer nemá žádnou databázi login/password pro všechny weby, kterým potvrdil identitu.
    Školím Ansible
    11.2.2008 19:14 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Moment, teď se nějak ztrácím. Před časem jsem to zkoušel, založil jsem si testovací OpenID účet, na nějakém serveru třetí strany jsem si tenhle účet zaregistroval a při přihlašování mě to pak směrovalo na server té OpenID autority. Takže tam přece login/password je, ne?
    Věroš avatar 11.2.2008 19:24 Věroš | skóre: 24 | blog: Co není v hlavě | 49.29 s.š., 16.54. v.d.
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Na produceru je tam pro každého uživatele jedno heslo (či cokoliv jiného).

    Ke consumerům (ostatním webům) se to heslo vůbec nedostane, ty se jenom zeptají: "hele, potvrď mi, že tenhle uživatel je tohle OpenID"
    Školím Ansible
    11.2.2008 19:40 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Jo takhle to bylo myšleno. Mě vůbec nenapadlo, že by OpenID server mohl mít různá hesla pro jednu identitu a proto mě váš příspěvek zmátl. :-)
    11.2.2008 17:24 Ivanhoej | skóre: 26 | blog: ss2_Debian | Bratislava
    Rozbalit Rozbalit vše Re: Opravník obecně oblbených omylů o OpenID
    Ako soft treba na zalozenie vlastneho OpenID servera. Tie kniznice som nasiel (pre python ruby) no nechce sa mi to cele programovat, ci neexistuje nieco ako pre XMPP je ejaberd ci jabberd a je nieco podobne pre openid ???

    Dakujem
    23.1.2009 12:22 Pev | skóre: 28
    Rozbalit Rozbalit vše Re: Opravník obecně oblíbených omylů o OpenID
    Věroši, díky moc za vyjasnění... a také za pobavení - některé názory jsou fakt vtipné :-) (aneb nehodnotím, pokud tématu nerozumím...).

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.