Odpověď na názor

Hezké, možná to použiju v dalším díle Oblíbených Mýtů O OpenID. :)

V zásadě to je tak, jak píšete: Ano, neseriózní provider se teoreticky může přihlásit s OpenID identitou libovolného svého uživatele. To riziko tu je.

Ovšem na druhou stranu - internet je založen na důvěře. Věříte, že váš poskytovatel má správné údaje v DNS a že nemá důvod vám posílat falešné. Věříte, že hostingová firma nekouká do vašich mailů a do vašich databází. Věříte, že v systémech nejsou backdoors, kterými by do nich NĚKDO nahlížel. Věříte, že v AES nejsou "univerzální klíče". Váš prohlížeč věří, že klíč, o němž Verisign prohlašuje, že je důvěryhodný, je opravdu důvěryhodný. Atakdále. Ostatně, věříte své bance, že vaším jménem nebude někde nakupovat?

U OpenID je situace analogická: Věříte, že když Verisign (Seznam, MyOpenID, ...) potvrdí, že uživatel XYZ je opravdu XYZ, tak že nemá důvod podvádět, a zároveň věříte, že nemá důvod falšovat vaše přihlášení.

Pokud nevěříte, tak vám nepomůže ani vlastní OpenID provider na vlastním serveru na páteřní síti - co když je v systému bezpečnostní díra, o které nevíte, a někdo tak může získat kontrolu nad vaším strojem? A podobných analogických "oprávněných strachů" bych mohl jmenovat víc.

Zkrátka: Musíte aspoň někomu důvěřovat, nebo alespoň odlišovat někoho, komu věříte víc, a někoho, komu věříte míň, a podle toho jim svěřovat svá data. Paranoia je v rozumné míře oprávněná, pokud ovšem rozumnou míru překročí, tak zjistíte, že nemůžete věřit nikomu a že vám pomůže už jen odpojit se od internetu, spát v alobalové krychli a jíst jódové tablety.