Názory k článku Přinese služba mojeID do Česka konečně funkční OpenID?

OpenID ma v praxi jeden zasadny problem. Providerov plna prdel a consumeri ziadni. Velke sluzby sa najskor stavaju providermi nez aby umoznili ludom pouzit OpenID co uz maju. No a potom ma clovek prve OpenID, druhe, tretie... a sme kde sme boli.

Inak ideu OpenID samozrejme schvalujem, bohuzial sa to zvrhlo.

Customeři nejsou, protoře OpenID je moloch. Zkuste si naimplementovat nějaké jednoduché přihlašování pomocí OpenID. Zkuste to tak, aby podporovalo všechny vydané verze, které se mohou ve světě internetu objevit. Buď skončíte u komplikovaného a velkého balíčku, který je větší, než vlastní aplikace, nebo se z toho zblázníte a pak se na to vykašlete. Sám preferuju OpenID místo loginu na svých stránkách. Ale funguje to jen někde (mojeID nefunguje, Seznam funguje).

Před časem jsem rozběhl vlastní prototyp protokolu, který by měl být hlavně snadný jak pro providera tak pro consumera. http://www.easylogin.net. Zkuste (navíc oproti OpenID řeší lépe anonymitu, a jako ID používá formát, který lidí spíš znají, ve stylu e-mailu)

Copak ono vadí, že je implementace protokolu větší, než vlastní aplikace, když ji napíše někdo jiný? U webserveru vám podobná vlastnost nevadí, přestože jeho základní zadání by taky nemělo zabrat víc řádků, než kolik zabere středně velký internetový projekt.

Taky bych se soustředil na uživatelskou stranu. Musí to být jednoduchý – naděje bych v téhle věci dával do té nové Firefoxí automatizace (ačkoliv jinak FF moc nemusím).

Hlavně by neměla být větší, než napsat ověřování uživatelů i s databází svépomoci (pomocí jména a hesla). Protože to je pořád jednodušší, než zapojit OpenID.

Rozšíření? Proboha jen to ne!

Mam nejake skusenosti s OpenID a musim priznat ze je to skutocne netrivialne aj po implementacnej stranke.
EasyLogin ma dost zaujal.
Je projekt aktivny? Vedeli by ste zhrnut hlavne rozdiely? Ako je to s bezpecnostou oproti OpenID?
Vopred dakujem.

... a proto se za chvili budeme vsude prihlasovat pomoci facebook uctu.

ps. V ankete dosti chybi moznost vlastnim jiny openid ucet, proto mojeID nevyuziji.

Mirne mi vadi, ze NIC svoji sluzbu neprezentuje jako poskytovani OpenID uctu, ale jako "internetovou obcanku", ktera vyresi napr. falesne objednavky v eshopech.

<quote>Služba mojeID by měla tyto problémy řešit velmi elegantně – pomocí ověřování uživatelů.</quote>

Coz je ale imho nesmysl, protoze pokud obchodnik umozni autentifikaci pomoci OpenID, mohu si tisice uctu vytvorit jinde ... A pokud by autentifikaci umoznil pouze prez mojeID ztraci se zase idea OpenID jako obrany pred nutnosti pamatovat si vice hesel.

Svuj OpenID ucet totiz mam a tak nevim proc bych si mel zakladat dalsi.

Přesně tak, celá ta prezentace mi přijde nesmyslná, pokud obchodník umožní jen mojeID tak to je o ničem, nakonec bude po světě XX nekompatibilních openID identifikací a budu mít registrací jako dříve, ale mnohem složitějších. Pokud umožní jakékoliv openID, vytvořím si jich jako spammer nebo jiný záškodník spousty.

zdravim,

zeptam se schvalne poskytovatelu mojeID na jednu vlastnost.

Predstavte si, ze mate dve osoby stejneho jmena a prijmeni na stejne adrese. Lisi se jen datumem narozeni. Jak je od sebe poznate ? Jak to pozna nekdo, kdo overuje podle mojeID totoznost uzivatele ?

PS: priklad je z praxe. Zadna teorie.

diky za odpoved
Pavel Kysilka

To je pravda - staci rodinny dum a syn a otec se stejnym jmenem a je to.

Pripadne matka a dcera stejneho jmena na stejne adrese .... coz je treba priklad z moji rodiny :)

reseni je jednoduche - vdej dceru... nebo vymen matku...

"Ve zvláštním souboru na pevném disku" zní děsivě, ale ono to ještě neznamená "v plaintextu". Třeba Keepass umožňuje ukládat hesla v pioměrně slušně šifrovaném souboru.

Dalo by se OpenID pouzit k autentizaci uzivatele pri prihlasovani do operacniho systemu?

Potom by se nemusely resit zapomenuta hesla nebo sychnronizovani hesla mezi vice systemy.

Pro pripad vypadku site by to pouzit neslo, ale to bych se na vzdaleny pocitac nemohl pripojit ani s beznym uzivatelem/hes­lem.pripadne by to mohlo uzivatele/heslo cachovat jako Win a active directory prihlasovanim.

To by slo dost tezko. Protoze pro prihlaseni se musite redirecnout na stranku providera OpenID. To by znemanalo mit webovy prohlizec jako login managera a bez pripojeni na net by se clovek nedostal. To by fakt bylo neunosne. Ale sitove autentizacni protokoly existuji (kerberos, ldap i samba se tak da pouzit).
--
btw. kdyz mam volit mezi OpenID a Google Authentization resp. OAuth, nebo autentifikovat pomoci Facebooku, tak OpenID prohraje na cele care.

To nevím proč, já bych se rozhodně facebook/google účtem nikam autentifikovat nechtěl... a rozhodně mě otravuje, když mě ještě budou nutit ho vlastnit a tim víc, když to bude na jiných stránkách, než googlích...

Protoze narozdil od OpenID tak ziskate nepomerne vetsi mnozstvi uzivatelu, kteri ten ucet uz davno maji a zadny specialni ucet si kvuli vasi aplikaci zrizovat nemusi.
--
P.S.: Dnes je zcela bezne ze lide davaji specialni login a heslo na kdejakemu adminovi, kdejakeho serveru. Takze strah ho dat googlu, je podle mne hodne nesmyslny.

Lidé jsou zvyklí se už leckde registrovat, takže si nemyslím, že autorizace přes google account by přitáhla nějak zásadně více lidí, než cokoliv jiného... ano, dávají speciální login kdejakému adminovi, ale jenom pro ten jeden konkrétní účel. Ale svoji identitu, kterou bych se za ideálních podmínek měl potom přihlašovat všude do rukou googlu fakt nedám (už jenom kvůli tomu, že až se jim něco rozbije, tak já se nikam nedostanu a prakticky nic s tim neudělám - viz ten příběh člověka, co přišel o přístup na code.google ke svému projektu...).

By jste se divil kolik lidi ma hesla v plaintextu v souborech :) a nejen uzivatele doma , ale i na internetovych strankach maji lide hesla k hostingu v plaintextu na stejnem hostingu v nejakem txt souboru.
A ani prowideri nejsou vyjimkou a ukladaji si i konfigurace svych rarizeni (i s nastavenym heslem) na web pro lepsi pouziti .. pristup ..

Toto je realita.

Lide jsou lini.

Já mám také hesla v plaintext databázích Firefoxu, Thunderbirdu atd. A nevidím na tom nic špatného - když už by se mi někdo dostal na uživatelský účet, může mi třeba nainstalovat keylogger a master heslo k šifrovaným heslům si v pohodě poslechnout.

Ja mam taky hesla v plaintextech... na sifrovanem disku.

By se mnel starat o to aby byly domeny co nejlevnejsi.
A ne za vybrane penize vymyslet dalsi aktivity.

Kedy? To je jednoduche. Az na tom prestane ryzovat DanubiaTel a bude domeny spravovat komunita sama, jako v cz. Co pro to muzete udelat? Poridit nejakou infrastrukturu, CZ.NIC pozadat o FREDa a o podporu pri rozjezdu a pak uz jen zacit otravovat ICANN s zadosti o redelegaci domeny. Ale je to beh na dlouhou trat, pocitejte s tim, ze SK-NIC bude bojovat, nicmene behem toho boje muze pod tlakem rizika ztraty delegace te domeny zacit poskytovat lepsi sluzby.

Na portálech to jinak nebude. Portály uznávají jen svoje účty a openId je použito jen tomu, abyste si nemusel heslo pamatovat.

Takže registrace účtu je v pohodě, prostě tam něco vyplňte, pořád to znamená, že se můžete přihlásit Vaším OpenID. Při dalším přihlášení se už vytvořený účet spáruje s OpenID a použije. (Registrace jen jedenkrát)

Datové schránky??? Zbláznili jste se?

vzdyt se zatim na mojeid.cz nezmohli ani na certifikat aby browser nerval a to startssl dava cerifikaty zadarmo.

V článku tvrdí p. Tůma - „Tato validace bude probíhat fyzicky ověřením občanského průkazu na některém z validačních míst, případně pomocí elektronického certifikátu. Druhou metodu bude možné provést na CzechPointu,“ vysvětlil Tůma. A já jako pracovník veřejné správy, jehož činnost úzce souvisí s CzechPointem, říkám: Zlaté oči a ani náhodou. Využití dat z registrů, o které se opírá CzechPoint, má docela jiné účely, slouží pro výkon veřejné správy,a projekt soukromé firmy jím není. Kdo by vás pustil k datům registrů prostřednictvím CzechPointu pro soukromé účely? Projednávali jste to vůbec s někým z Ministerstva vnitra ČR, které za CzechPoint odpovídá? Nedejte se vysmát.

A nemyslí tím náhodou, že uživatel použije CzechPoint k tomu, aby zaslal ověřenou (podepsanou) zprávu CZ.NICu a nemusel chodit na nějakou pobočku někam do velkého města? To přece CP podporuje ne?

Pokud to bylo míněno takto, pak souhlas, žádost lze do datové schránky CZ.NIC odeslat prostřednictvím CzechPointu. Ale žádost o co vlastně? O ekvivalent OP? Tak to ani náhodou. Základní slabina tvrzení v článku zůstává - a sice mystifikující tvrzení o občance z internetu. K tomu lze říci pouze následující. K vydávání OP jsou určeny pouze úřady k tomu pověřené, totéž se týká ŘP a pasů. Akreditovaní poskytovatelé certifikátů pak mohou vydávat komerční nebo kvalifikované (pro styk občana s veřejnou správou) certifikáty jako jakýsi elektronický ekvivalent OP (ale ne ve všech případech ekvivalent, samozřejmě). Vše ostatní má průkazní hodnotu, asi jako razítko z bramboru, vyrobené doma v kuchyni, nebo občanka vyrobená firmou S.R.O. kde si na ostrovech Fidži, tedy nulovou. Nechť si pánové z CZ.NIC nastudují příslušnou právní normu, jaké doklady lze v ČR použít k osobní identifikaci.

he he, už to nehulte ;-) ...zkuste si to raději pořádně přečíst

Moje dojmy ohledně MojeID jsem sepsal na glog: http://www.jiri-kolarik.cz/clanek/jak-na-mojeid-predstaveni/

No tohle nikdy nepřistoupím.