28 komentářů k článku OpenID: Historie, terminologie a mechanismus autentizace:

  1. Ja.

    RE: OpenID: Historie, terminologie a mechanismus autentizace
    Mne sa to furt nezdá. Mať niekde uloženú celú svoju identitu, to si pýta riadny problém. Nech je to technicky akokoľvek prepracované.

    1. danaketh

      RE: OpenID: Historie, terminologie a mechanismus autentizace
      Chápu správně, že se Vám nezdá mít svou identitu uloženou na jednom místě a připadá Vám mnohem bezpečnější (a pohodlnější) mít jich 50 po různých diskusích a webech? Navíc každou jinou, podle toho jak byl volný login + pokaždé vkládat svůj email a podstupovat otravné ověření jeho pravosti.

      U OpenID si zvolíte jaké údaje o Vás jsou v identitě vidět a pokud chcete, prostě nezobrazíte žádné. Kromě toho nemusíte nikam vkládat citlivé údaje. Já mám uloženo pouze jméno, město, stát a email. Na mnoha webech kolikrát nemáte šanci před ostatními (často navíc ani před roboty) skrýt své informace. S OpenID o Vás nikdo nemusí vůbec nic vědět. Budou vědět jen že to jste Vy ale budou mít jen takové informace, jaké jim sám dáte, nikoliv jaké si po Vás na vyžádají nějakým registračním formulářem.

      1. Anonym

        RE: OpenID: Historie, terminologie a mechanismus autentizace
        No to nemám (skrývání informací) ani teď s OpenID, spousta webů spolu s registrací přes OpenID vyžaduje další informace jako e-mail, který si navíc ověřují dodatečně apod. OpenID je čistě na ověření správnosti hesla a jména, takže ověření autorizace.

        1. Christof

          RE: OpenID: Historie, terminologie a mechanismus autentizace
          To je chyba webu. Např. Drupal má podporu OpenID takovou, že při přihlášení přes OID už nemusíš nic dalšího vyplňovat.

          1. Anonym

            RE: OpenID: Historie, terminologie a mechanismus autentizace
            Právě Drupal je zářivým příkladem softwaru, který OpenID využívá pouze k ověření jm=na/hesla (autorizační funkce), ale již ne jako profil. Drupalu nemůžete poslat jenom identitu (jméno), musíte mu třeba poslat i e-mail apod. Přitom nechápu, proč bych měl provozovateli dávat e-mail, když zapomenu heslo, pošle mi jej moje OpenID certifikační autorita.

            1. Christof

              RE: OpenID: Historie, terminologie a mechanismus autentizace
              To jo, ale to je kvůli vnitřní struktuře – ke každému uživateli musí být v databázi e-mail. Ale myslel jsem to tak, že se nemusí vyplňovat registrační formulář, stačí OpenID a Drupal si vytáhne e-mail a nick, které potřebuje.

  2. cubeek

    OpenId a osobní údaje
    Zdravím a děkuji za seriál o mikroformátech.
    Zajímala by mě jedna věc – pokud uchovámám citlivé informace o svých zákaznících ve své DB a nabídnu jim možnost se autorizovat do mé aplikace pomocí OpenID, nejsem pak v konfliktu se zákonem 101/2000 sb.? Třetí strana (OpenID provider) pak dostává přístup k datům mých zákazníků.

    1. danaketh

      Re: OpenId a osobní údaje
      Martin mne kdyžtak opraví kdybych to popletl…

      OpenID provider nedostává nic. Proč taky? K čemu by OpenID provider potřeboval například adresu klienta nebo údaj o velikosti jeho ponožek? OpenID slouží jako autorizační metoda, žádná data o nikom neshromažďuje.

      Stejně tak pokud provážete již existující účet s OpenID, tak zde stále dochází pouze k ověřování uživatele a jeho oprávnění přístupu k webu. Konečně při implementaci můžete připojit script na logování komunikace a sám si ověřit jaká data OpenID sbírá :)

      1. cubeek

        Re: OpenId a osobní údaje
        Chápu, že si OpenID provider nemůže nic nasbírat s mých dat o mém zákazníkovi, ale má v ruce jeho údaje o přihlášení a může se tudíž přihlásit ke mě a podívat se, co tam mám. A rozumím, že záleží na serióznosti providera. Sám doufám, že to není tak snadné, rád bych OpenID nasadil.

        1. danaketh

          Re: OpenId a osobní údaje
          Co se týká těch přihlašovacích údajů, tak odpověď nechám Martinovi. Tak dalece tomu nerozumím a netuším, zda si vůbec něco ukládá. Já mám pocit, že si nic neukládá, protože jsem nikdy na OpenID nezadával heslo k žádné své registraci, vždy jen heslo k OpenID.

        2. Jan R.

          Re: OpenId a osobní údaje
          Přihlásit se může, stejně tak se ale může "přihlásit" poskytovatel jeho emailu pomocí funkce zapomenuté heslo.

        3. Look Smog

          Re: OpenId a osobní údaje
          Provider sbírá pouze Trust Root URL, tedy URL rootu Vašeho webu.

          Heslo je u něj v databázi zašifrováno, takže jediný způsob, jak by se mohl dostat k Vám na web pod údaji Vašeho zákazníka je podle mě obcházení vlastního systému nebo odchytávání uživatelových dat (pokud nepoužívá SSL).

          P.S. – Sám jsem si knihovnu pro OpenID napsal, takže toho o tom vím relativně dost. Jediné dva údaje, které je zákazník povinen uvést u OpenID providera, jsou heslo a email. Nic víc nepotřebuje a neshromažďuje.

          Ale toto se týká pouze solidních providerů. Pokud se klient zaregistruje u špatného providera, tak to má na vlastní nebezpečí, ale rozhodně se mu do ruky nedostanou, žádné údaje z Vaší databáze, pokud mu je sám nepošlete.

          1. benzin

            Re: OpenId a osobní údaje
            Heslo uzivatele je ulozene jako hash pouze tehdy pokud si to provider OpenID pral. (ale to je stejne nepodstatne)

            Ve skutecnosti pokud moje sluzba nebude pozadovat dodatecne heslo ma provider OpenID vse co potrebuje. Protoze moje sluzba se od nej pouze dozvi jestli se jedna skutecne o toho uzivatele. A provider rekne ano kdyz on chce (standartne po zadani hesla, ale proc treba ne, po zadani admin hesla OpenID providera?)

            Prestavte si to jako kdyz za vama do obchodu prijde zakznik. Rekne ja jsem Pepa Novak a na uctu mam 5 000 Kc muzu si u vas nakoupit? A vy se zeptat, jak vim ze jde Pepa Novak? On rekne, to vam povi Filip Zhorelec, tady mate na neho kontakt. Vy zvednete telefon podate ho zakaznikovi, od nadyktuje svoji identifikaci a preda vam telefon, na druhem konci vam Filip Zhorelec rekne, ano skutecne komunikujete s Pepou Novakem.

            Jakou informaci mate? Vite jiste, ze komunikuj s Pepou Novakem? Ne vite jenom, ze ten o kom telefoni seznam tvrdi ze je Filip Zhorelec vam rekl, ze komunikujete s Pepou Novakem. Zatimco vidavatel telefoniho seznamu (certifikatu) je relativne duveryhodny, tak Filip Zhorelec, muze byt zcela neduveryhodny a zitra vam rekne o komkoli jinem ze take on je Pepa Novak.

          2. u1

            Re: OpenId a osobní údaje
            1) Nezda se Vam, ze pokud bude mit provider OpenID kompletni historii "URL rootu" vsech webu, ktere jste navstivil (a autentifikoval se tam pomoci OpenID), tak se jedna o dost citlive informace, ktere nelze sverit kazdemu? Paradoxne pokud se autentifikujete primitivne na kazdem webu zvlast, tato slabina nevznika. Ano, Vas poskytovatel Internetu zna kazdou IP adresu, s kterou jste komunikoval ale celkem nic s tim nenadelame (az na TOR …). Ale rozdil vidim v tom, ze typicky poskytovatel OpenID (Seznam, Google, …) je spolecnost orientovana na obchod s informacemi ve velkem a snaha tyto informace obchodne vytezit se od ni necha s jistotou ocekavat.

            2) Nemuze ziskat poskytovatel OpenID kompletni historii Vasich URL, pokud se bude autentifikovat kazda stranka (nevim jestli je to bezne)?

            1. Jan Kodera

              Re: OpenId a osobní údaje
              1) Pokud tímto trpíte, tak si založte vlastního open-id providera. Tím budete mít kontrolu nad svými daty a ještě budete moci využívat výhody open-id. Nicméně myslím, že Google by byl šokován kdyby zjistil, že chodíte také na facebook a občas na spolužáci.cz a když se chcete hodně odvázat jdete na diskutovat pod videa na stream.cz.

              Ale čistě obecně, pokud chodíte na nějakou stránku u které nechcete, aby to o vás kdokoliv věděl, tak se tam prostě nepřihlašujte pomocí open-id. Tímto způsobem získáte zpět kontrolu nad svým soukromím.

            2. Martin MalýAutor příspěvku

              Re: OpenId a osobní údaje
              ad 2 – jestli myslíte "historii vašeho pohybu po dané službě", tak nezíská, protože uživatel je autentizován pouze jednou, při vstupu do "chráněné oblasti". Je na službě, aby si zapamatovala, že jde o autentizovaného uživatele. Kdyby byl uživatel autentizován znovu na každé stránce, bylo by to neúnosné a nesmyslné.

              Pokud máte na mysli "každou stránku = každý web", tak ano, může získat (a získává) seznam webů, na nichž jste se přihlásil. Pokud se budete pohybovat pouze po webech s přihlášením via OpenID, tak získá KOMPLETNÍ seznam.

            3. Martin Hassman

              Re: OpenId a osobní údaje
              Dokud budou všechny prohlížeče náchylné k CSS exploitu, tak openid neopenid, informace o tom, které weby navštěvuji, se stejně nějakým způsobem dostane ven (o něco komplikovanějším, ale zase ji mají k dispozici skoro všichni).

        4. Martin MalýAutor příspěvku

          Re: OpenId a osobní údaje
          Hezké, možná to použiju v dalším díle Oblíbených Mýtů O OpenID. :)

          V zásadě to je tak, jak píšete: Ano, neseriózní provider se teoreticky může přihlásit s OpenID identitou libovolného svého uživatele. To riziko tu je.

          Ovšem na druhou stranu – internet je založen na důvěře. Věříte, že váš poskytovatel má správné údaje v DNS a že nemá důvod vám posílat falešné. Věříte, že hostingová firma nekouká do vašich mailů a do vašich databází. Věříte, že v systémech nejsou backdoors, kterými by do nich NĚKDO nahlížel. Věříte, že v AES nejsou "univerzální klíče". Váš prohlížeč věří, že klíč, o němž Verisign prohlašuje, že je důvěryhodný, je opravdu důvěryhodný. Atakdále. Ostatně, věříte své bance, že vaším jménem nebude někde nakupovat?

          U OpenID je situace analogická: Věříte, že když Verisign (Seznam, MyOpenID, …) potvrdí, že uživatel XYZ je opravdu XYZ, tak že nemá důvod podvádět, a zároveň věříte, že nemá důvod falšovat vaše přihlášení.

          Pokud nevěříte, tak vám nepomůže ani vlastní OpenID provider na vlastním serveru na páteřní síti – co když je v systému bezpečnostní díra, o které nevíte, a někdo tak může získat kontrolu nad vaším strojem? A podobných analogických "oprávněných strachů" bych mohl jmenovat víc.

          Zkrátka: Musíte aspoň někomu důvěřovat, nebo alespoň odlišovat někoho, komu věříte víc, a někoho, komu věříte míň, a podle toho jim svěřovat svá data. Paranoia je v rozumné míře oprávněná, pokud ovšem rozumnou míru překročí, tak zjistíte, že nemůžete věřit nikomu a že vám pomůže už jen odpojit se od internetu, spát v alobalové krychli a jíst jódové tablety.

          1. benzin

            Re: OpenId a osobní údaje
            No tady se ani tak nejedna o identifikaci uzivatele v blozich, diskusich a chatech. I na jine sluzby, kde hlavnim smyslem registrace, je uchovavani uzivatelskeho nastaveni pro uzivatele.

            V pripade, ze ale hodlate komunikovat se zakaznikem a pomoci vaseho systemu si sdelovat duverne informace obchodniho charakteru, tak je OpenID zcela nevhodne. Stejne tak je naprosto nevhodne pro pouziti vsude tam, kde je vyzadovan souhlas podle zakona 101, protoze tam jde take o duverne informace.

            Takze jednoznacne OpenID ano, tam kde informace nejsou duverne. OpenID ne, kde se pracuje s duvernymi informacemi.

            1. Martin MalýAutor příspěvku

              Re: OpenId a osobní údaje
              Otázka důvěryhodnosti poskytovatele OpenID identity je stejná jako otázka důvěryhodnosti vašeho providera, vašeho hostingu, správce vašeho serveru, otázka důvěryhodnosti Seznamu, PayPalu, Google, brány pro kreditní karty apod. Až pominou rozjitřené vášně, tak lidé zjistí, že s bezpečností OpenID to je stejné jako s jinými nástroji: Stačí u toho přemýšlet. A stejně jako nezakládám e-mailovou firemní schránku u nějakého Joudy, stejně jako nehostuju servery s důležitými informacemi "u kamaráda v ložnici", stejně jako nepoužívám připojení, co za mne blokuje obsah, který bych neměl vidět, a stejně jako neposílám peníze potomkům nigerijského krále, tak si vyberu i důvěryhodného poskytovatele OpenID, který se nebude přihlašovat "za mne".

              "V pripade, ze ale hodlate komunikovat se zakaznikem a pomoci vaseho systemu si sdelovat duverne informace obchodniho charakteru, tak je OpenID zcela nevhodne." – 1. Proč? 2. Je tedy něco vhodného?

              "OpenID ne, kde se pracuje s duvernymi informacemi." – Otázkou je míra důvěrnosti těch informací. Jak jsem už říkal: Do banky bych to nepoužil, na e-shop klidně (já svému OpenID poskytovateli věřím). Rozhodně bych tu viděl použití OpenID méně problematické než použití HTTP autentifikace Plain (nebo dokonce jméno+heslo poslané přes nešifrované http).

              Mimochodem, tam, kde se pracuje s Opravdu Důvěrnými Informacemi, se hlavně nepracuje s ničím jiným a přístup tam nezískává kdejaký jouda, takže to je zcela jiná kategorie, mimo záběr tohoto článku.

              1. benzin

                Re: OpenId a osobní údaje
                Ano presne tak, z pohledu men jako poskytovatele sluzby, tim akorat do hry dostavam dalsi moznou bespecnostni diru, protoze i poskytovatel. (ps. zapomenute heslo po mailu posle i openId provider).

                Tam kde mne to netrapi je to v pohode, nicmene je to proste dalsi dira a dalsi okruh lidi, kteri maji pristup do me sluzby, aniz by k tomu byli opravneni.

                P.S.: Prirovnal bych to ke zbranim. Proc mame nejake registry zbrani, kdyz se k nim pripadny zlocinec stejne dostane?

                1. cubeek

                  Re: OpenId a osobní údaje
                  Díky pánům Malému a benzinu za užitečné podněty, něco jsem nastudoval a už mám řekněme jasno.

  3. LN

    RE: OpenID: Historie, terminologie a mechanismus autentizace
    Stale mi neni jasna jedna vec – co kdyz nekdo vytvori autoritu "alwaysok.com", ktera bude vracet serveru automaticky TRUE (tedy vlastne nic nikdy overovat nebude). Jako server samozrejme nechci, aby se mi uzivatele overovali timto zpusobem – jenze to neovlivnim jinym zpusobem, nez whitelistem duveryhodnych autorit. A to zase popira myslenku "open".

    Jinymi slovy – cele je to zalozene na predpokladu, ze useri budou volit duveryhodne autority. Jenze useri jsou prevazne BFU…

    1. benzin

      RE: OpenID: Historie, terminologie a mechanismus autentizace
      Krom toho musite vytvorit i seznam vsech certifikatu OpenID provideru, jinak se muze stat ze budete komunikovat s uplne nekym jinym.

    2. Martin MalýAutor příspěvku

      RE: OpenID: Historie, terminologie a mechanismus autentizace
      Já bych řekl, že jako server nic takového dělat nemusíte. Nebo snad "jako server" máte whitelist "důvěryhodných mailových služeb", které mohou zadat uživatelé jako svůj kontakt?

      Situace je analogická: Mail můžete mít u důvěryhodného poskytovatele, stejně jako OpenID identitu. Můžete ho mít u poskytovatele pofidérního, OpenID identitu taky. Mail můžete mít na vlastním serveru, ostatně OpenID rovněž. No a konečně můžete použít pro registraci Mailinator nebo jiné podobné "veřejné temporary" maily – což by byl zhruba ekvivalent onoho "alwaysok".

      Vy jako server samosebou víte, že to, jestli má váš uživatel nedůvěryhodného správce mailu (nedůvěryhodného poskytovatele OpenID) nijak neovlivníte. Přesto nabídnete např. "zaslání hesla mailem", aniž byste dělal whitelist důvěryhodných mailových služeb, kde uživatelům nečtou poštu. To je to samé a je to založené na předpokladu, že useři volí důvěryhodné maily. Jenže mezi uživateli jsou BFU co použijí klidně kamarádův mail a na jeho adresu si založí vlastní účet všude možně. Důsledky si domyslete sám. :) Přesto tahle eventualita nikoho netrápí a nikdo neprohlašuje mail za nebezpečný a naprostá většina serverů jej klidně používá k registraci.

      Jediný důvod, kde jsem ochoten do jisté míry uznat tento argument, je "novost služby", kdy rozumní uživatelé (to není BFU) ještě nevědí, které autority jsou důvěryhodné a které míň. Tedy podobná situace jako na konci 90. let s mailem. Ale vývoj nebude ten, že se "nějak zlepší" mechanismus OpenID, ale že lidé zjistí, který poskytovatel je bezpečný a důvěryhodný a který ne. Jako se to naučili u mailů.

      1. benzin

        RE: OpenID: Historie, terminologie a mechanismus autentizace
        Ano presne tak, tam kde neni bespecnost dulezita a jste ochotni odesilat hesla e-mailem to znaci v nezasifrovane podobe, tak tam nebude OpenID delat zadny problem.

        Btw. ja sam vyvyjim jak aplikace ktere ucty nepouzivaji k nicemu vic, nez nejakemu ukladani nastaveni a pripadne vypocitavani bonusobych bodu. Pro OpenID super (proto mne taky zajima). Tak take vyvyjim aplikace, kde bych e-mailem heslo neposlal a sdeluji jej telefonicky, nebo poslanim SMS a presne tam je OpenID spatnym resenim.

        P.S.: jenom si dejte pozor na to ze si OpenID provider a sluzba vymeni klice znamena pouze to ze jejich komunikaci nikdo nedposlechne, nikoli to ze by se tim autentifikoval OpenID provider. Pokud si nebudete udrzovat seznam certifikatu poskytovatelu OpenID, tak jedine co se tak maximalne z certifikatu dozvite, je ze ho nekdo (mozna duveryhodny) podepsal.

        1. Martin Malý

          RE: OpenID: Historie, terminologie a mechanismus autentizace
          "jenom si dejte pozor na to ze si OpenID provider a sluzba vymeni klice znamena pouze to ze jejich komunikaci nikdo nedposlechne, nikoli to ze by se tim autentifikoval provider." – já něco takového tvrdím? Já jsem psal (snad srozumitelně), že si dohodnou klíč, tím klíčem provider podepíše odpověď a klient si ověří validitu a integritu dat (namísto dalšího dotazování).

          1. benzin

            RE: OpenID: Historie, terminologie a mechanismus autentizace
            Netvrdite, jenom spousta lidi si mysli, ze certifikatem je zarucena pravost providera. Takze na to upozornuju, ze to tak neni.

Napsat komentář

Tato diskuse je již příliš stará, pravděpodobně již vám nikdo neodpoví. Pokud se chcete na něco zeptat, použijte diskusní server Devel.cz

Zdroj: https://www.zdrojak.cz/?p=2904