Já bych řekl, že jako server nic takového dělat nemusíte. Nebo snad "jako server" máte whitelist "důvěryhodných mailových služeb", které mohou zadat uživatelé jako svůj kontakt?
Situace je analogická: Mail můžete mít u důvěryhodného poskytovatele, stejně jako OpenID identitu. Můžete ho mít u poskytovatele pofidérního, OpenID identitu taky. Mail můžete mít na vlastním serveru, ostatně OpenID rovněž. No a konečně můžete použít pro registraci Mailinator nebo jiné podobné "veřejné temporary" maily - což by byl zhruba ekvivalent onoho "alwaysok".
Vy jako server samosebou víte, že to, jestli má váš uživatel nedůvěryhodného správce mailu (nedůvěryhodného poskytovatele OpenID) nijak neovlivníte. Přesto nabídnete např. "zaslání hesla mailem", aniž byste dělal whitelist důvěryhodných mailových služeb, kde uživatelům nečtou poštu. To je to samé a je to založené na předpokladu, že useři volí důvěryhodné maily. Jenže mezi uživateli jsou BFU co použijí klidně kamarádův mail a na jeho adresu si založí vlastní účet všude možně. Důsledky si domyslete sám. :) Přesto tahle eventualita nikoho netrápí a nikdo neprohlašuje mail za nebezpečný a naprostá většina serverů jej klidně používá k registraci.
Jediný důvod, kde jsem ochoten do jisté míry uznat tento argument, je "novost služby", kdy rozumní uživatelé (to není BFU) ještě nevědí, které autority jsou důvěryhodné a které míň. Tedy podobná situace jako na konci 90. let s mailem. Ale vývoj nebude ten, že se "nějak zlepší" mechanismus OpenID, ale že lidé zjistí, který poskytovatel je bezpečný a důvěryhodný a který ne. Jako se to naučili u mailů.
Názor k článku
OpenID: Historie, terminologie a mechanismus autentizace
aura:93
