Vlákno názorů k článku BrowserID: jednotné přihlašování à la Mozilla od mka - Co když si nasimuluju identifikační autoritu a vygeneruju...
-
mka (neregistrovaný)
Co když si nasimuluju identifikační autoritu a vygeneruju si certifikát na cizí emailovou adresu a ten pak dotlačím do prohlížeče a budu se snažit s tím někam přihlásit?
Z článku vůbec není patrné, jaká je vazba mezi webovou stránkou, kam se chci s browserID hlásit a tou identifikační autoritou (krom zmínky, že autorita neví, kdy a kam chodím).
V popisu přihlášení je kouzelný bod
4. Odpověď je vrácena stránce a uživatel je přihlášen.
Uživatel nemuže být přihlášen vždycky, odpověd je přece třeba ověřit.
Jak se toto ověření děje, když autorita neví, kdy a kam chodím a i v článku se píše
"Po provedení výše uvedeného postupu už autoritu vůbec nepotřebujeme, protože jsme získali potvrzení o platnosti naší adresy a o tom, že jsme jejími vlastníky."Ještě by to mohlo fungovat tak, že při prvním pokusu o přihlášení konkrétního uživatele si od autority vyžádá jeho veřejný klíč, ten si někde schová a dál autoritu nepotřebuje, ale zase jak se pak řeší revokace kompromitovaných klíčů... no asi si to budu muset někdy přečíst v odkazovaném originále
-
Karel (neregistrovaný)
Při registraci u autority dostanete certifikát, kde bude napsáno "já, autorita, potvrzuji že uživatel XY má email XY a veřejný klíč ABC". Tento certifikát je zakódován privátním klíčem autority. Vy ho ještě zakódujete svým privátním klíčem.
Certifikát pošlete webu, kam se chcete přihlásit. A řeknete mu svůj veřejný klíč a jméno autority. On se autority zeptá na její veřejný klíč (nebo už ho bude vědět). V tomto dotazu neříká na koho se ptá, jen ho zajímá veřejný klíč té autority. Následně dekóduje certifikát vaším veřejným klíčem a následně i veřejným klíčem autority. Porovná váš veřejný klíč s tím co je uložen v certifikátu - tedy že mu ho poslal ten, kdo byl certifikován. A toť vše. Web opravdu nepotřebuje autoritě říkat koho chce ověřit.
-
Nicméně z pohledu poskytovatele obsahu se budu nutně rozhodovat, kterou autoritu budu brát vážně a ignorovat ty, jež neznám. A jsme zase na začátku, protože kromě několika explicitně povolených autorit nebudu věřit nikomu a tedy email/identitu nebudu považovat za potvrzenou.
U openID je to jiné, protože ověřuji přímo skrze zadanou adresu/identifikátor. A pokud ta identitu ověří, tak se za ní nikdo cizí bez jejího souhlasu nemůže vydávat.
-
Sob (neregistrovaný)
Ja to pochopil tak, ze autority tretich stran (jinych nez je poskytovatel danyho e-mailu) jsou jen do zacatku a casem by mely idealne uplne zmizet. Kazdej poskytovatel e-mailu by pak byl autoritou pro svoje ucty a bude existovat nejakej standardni zpusob, jak od nej dostat potrebny info pro overeni klientskyho certifikatu (zatim neexistuje)
.
To na prvni pohled vypada dobre, protoze by to znamenalo, ze kdyz si to rozjedu na svy domene, bude to stejne plnohodnotny jako od nekoho velkyho, podobne jako u OpenID. Zaroven to ale vypada jako slaby misto, protoze to znamena verit komukoliv, vcetne nejakyho MITM sediciho mezi cilovym serverem a autoritou a vydavajicim se za ni. Ale pokud by melo byt jeste neco nad tim, tak uz je to zase nezajimavy, protoze by to bylo nechutne centralizovany. I kdyz kdyby se ten standardni zpusob, jak se dostat k autorite, nacpal napr. do DNS, tak s DNSSEC by to bylo bezpecny dost. Zavislost na nekom dalsim je tam sice taky, ale system uz funguje a nestoji to nic navic, takze by to bylo prijatelny.
