Komentáře k článku

OpenID: poučení z krizového vývoje

Příběh OpenID zatím nekončí, přesto nabízí ponaučení i pro ostatní projekty. Obzvlášť pro projekty podobného ražení. Pokud vám připadá, že se OpenID nějak neujalo a hledáte příčinu v technických problémech, zbystřete – podle všeho se totiž opakuje historie o technicky zajímavém, ale zcela zbytečném řešení.

Zpět na článek

97 komentářů k článku OpenID: poučení z krizového vývoje:

  1. Rdm

    já myslím, že ani openid ani mojeid uživateli nechybí

    jak již bylo zmíněno, většina uživatelů má téměř vždy stejné uživatelské jméno a heslo, které používá na mnoha webech a kašlou na to, jestli to je nebo není bezpečnostní riziko. Ti pokročilejší uživatelé pak používají KeePass, 1Password a podobné programy a tím eliminují to bezpečnostní riziko (osobně mám v jednom z těchto programů 115 účtů se 115ti různými a složitými hesly). Dnes se navíc „probojovává“ přihlášení přes FB nebo Twitter, příp. přes Google Accounts.

    OpenID nebo MojeID má v této konkurenci zásadní problém – v obou případech si díky způsobu nastavení providera nemám šanci zapamatovat přihlašovací jméno a pak to, že získá-li někdo k tomu účtu přístup, má pak přístup všude a v případě MojeID dokonce ověřený…

    1. Oldis

      Re: já myslím, že ani openid ani mojeid uživateli nechybí

      A lze v pripade OpenID nebo MojeID zdelovat na ruznych webech ruzny e-mail? e-mailu mam pet a kazdy na neco jineho ;)

      1. BobTheBuilder

        Re: já myslím, že ani openid ani mojeid uživateli nechybí

        MojeID má 2 (nebo 3?) e-maily: normální, !další e-mail“ a email pro oznámení. Rozhodně ty první 2 lze sdělit danému subjektu selektivně, ale taky bych tam snesl těch mailů víc.

  2. Oldis

    Re: OpenID: poučení z krizového vývoje

    Jako programator lehce stizen paranojou ze zdelovani osobnich udaju, me MojeID donuti pouzivat jen zakon a to jeste jen mozna. A podobneje to s OpenID. Ruzne weby pozaduji ruznou sumu osobnich informaci, od jmena, pres bydliste po e-mail, a obvykle zadavam jen to co je nezbytne nutne a jeste premyslim o tom kam to zadavam.
    Takze OpenID a MojeID musim rici je: „ne, děkuji“

    1. debil

      Re: OpenID: poučení z krizového vývoje

      100% souhlas. Nadruhou stranu pouzit otevreny standard treba pro alternativu k reseni datovych schranek mi prijde jako suprove reseni. Jeste by se to dalo prodavat jako licenci, pro firmy, co by statu openid zarizovali. neco podobneho ackoliv asi ne pod openid nyni resi v nemecku. vice viz clanek pana Peterky na lupe. Tam se soudruzi z NDR (teda z SRN) zamysleli a myslim, ze vyuzili otevrene standardy, ktere sveri akreditovanym komercnim autoritam a maji vystarano. daji job vicero firmam a maji reseni „zadarmo“ resp. kazdy si to zaplati sam podle toho jak a co chce pouzivat. ne jako tunel do sw602 pres ceskou postu cerna dira s.r.o.

    2. dracul

      Re: OpenID: poučení z krizového vývoje

      co vam brani u openid nevyplnovat vsechny udaje? a co brani pouzivat treba vic identit u vice provideru? Takze za tak nekvalifikovane vykriky muzi rict akorat: „ne, děkuji“

      1. Ondra Kněžour

        Re: OpenID: poučení z krizového vývoje

        Proč by to ale dělal? Jaký pro něj bude mít přínos vytvořit si X identit pro přihlášení k X službám u Y providerů, když si může rovnou vytvořit X identit u X služeb?

          1. Ondra Kněžour

            Re: OpenID: poučení z krizového vývoje

            Myslim, že spíš ne, protože tuhle správu identit vyřeší uživatel pomocí služby zapamatuj si heslo v prohlížeči a ušetří čas nutný k zjišťování, jak OpenID použít :)

            1. Pavel Šimerda

              Re: OpenID: poučení z krizového vývoje

              „Myslim, že spíš ne, protože tuhle správu identit vyřeší uživatel pomocí služby zapamatuj si heslo v prohlížeči a ušetří čas nutný k zjišťování, jak OpenID použít :)“

              Pokud by ty dvě řešení měly stejné vlastnosti, tak nic proti :) (což nemají). Čas, který uživatel potřebuje k naučení se práce s OpenID je podstatně menší než čas, který potřebuje k naučení se práci se všemi službami, práci se správcem hesel, zálohování správce hesel, přenos správce hesel na nový počítač/OS, atd, atd…

        1. Pavel Šimerda

          Re: OpenID: poučení z krizového vývoje

          Hlavní je, když má i X různých bezpečných hesel. Pokud ne, odmítám se bavit o jakémkoli srovnání :).

    3. nepřihlásím

      Re: OpenID: poučení z krizového vývoje

      Mě naopak přijde jednoduší vytvořit si více OpenID identit, které mají předem předvyplněny právě jen vybrané údaje.

      Zmíním jednu velkou výhodu OpenID: pokud se rozhodnu provozovat více webů a chci napříč jimi uživatelům držet jednu identitu (alá lupa.cz, root.cz, podnikatel.cz), mám bez práce hotové řešení.

      A také, mě se to prostě líbí. Autor píše, že to uživatele nebolí. Mne ano, desítky hesel, které jsou téměř stejné a které zkouším z hlavy a tedy jsou tuplem nebezpečné, mě štvou. Nějaké aplikace pro správu hesel používat nechci, protože co až o ně přijdu (například přeinstalace počítače). OpenID vše toto krásně řeší.

      Opět použiji jako příklad root.cz: nejspíš tu mám nějaký účet a možná jich bude dokonce více. Ale už o tom nemám ani páru. Root.cz je jen jeden z mnoha webů, kam chodím, navíc nepravidelně. Proč bych si měl pamatovat byť jen login natož heslo? S OpenID bych se třeba i přihlásil a nepřispíval jako anonym.

      Tady jde jen o blbé komentáře, ale pokud mají pro provozovatele údaje o návštěvníkovi nějakou hodnotu, měl by mít zájem na jeho jediné registraci a ne x duplicitních. V opačném případě není důvod vůbec vyžadovat přihlášení. Proto z tohoto pohledu jsou pro OpenID zákazníky provozovatelé, jen na to někteří zatím nepřišli. Velcí budou prosazovat svá řešení (Facebook, Google), malí díky OpenID mohou mít plnohodnotnou alternativu.

  3. belzebub

    souhlas

    Uz dlouho jsem mel pocit ze OpenID nejak smrdi – ale nikdy jsem si to nedal dohromady – tady je to krasne shrnuto – resi problem ktery lidi nepali.. je to proste tak.
    Ted se na OpenID pravdepodobne aplikuji metody pro mrtve kone a spousta firem se pokusi ozivit mrtveho kone OpenID, protoze odmitne pripustit ze se zmylili.

    1. Pavel Šimerda (pavlix)

      Re: souhlas

      Mně osobně vždy taková možnost chyběla, takže jsem uživatelem OpenID už mnoho let… spousta webů (hlavně diskuzních apod), by mě měla jako registrovaného uživatele, pokud by OpenID uměly a viditelně nabízely.

      Sám bych OpenID aktivně používal a propagoval na veškerou autentizaci uživatelů, šetří to čas a nervy i na straně admina a tvůrce aplikací. Ale, naštěstí pro mně, jsem business webových řešení opustil a začal se věnovat zajímavějším věcem.

      Mimochodem, jak že je to tady s možností používat OpenID na rootu? Už léta tu píšu bez registrace právě kvůli tomu, že nechci další login a heslo na další službu.

      1. volani.webnode.cz

        Re: souhlas

        A nemáš lepší používat keeppass? Je verze pro windows, linux, mobily.. tuším že i pro hloupé s J2ME.. :)

        1. Pavel Šimerda

          Re: souhlas

          „A nemáš lepší používat keeppass? Je verze pro windows, linux, mobily.. tuším že i pro hloupé s J2ME.. :)“

          Nemám.

  4. Pavel Šimerda

    Povedlo se

    Tak… už jsem objevil jak se přihlásit pomocí OpenID :). Tak uvidíme, jak to bude vypadat. Možná je to u jiných jinak, ale mě si služby, které podporují single sign on (zvlášť v této podobě) docela získávají.

    1. Martin MalýAutor příspěvku

      Re: Povedlo se

      Sám OpenID mám a používám, jen mám čím dál neodbytnější pocit, že jsem v tom sám… ;)

      1. František Kučera

        Re: Povedlo se

        To já zase OpenID mám, ale prakticky ho nepoužívám – na většině webů jsem totiž měl klasickou registraci ještě dříve než podporovaly OpenID – a pak už jaksi nebyl důvod si ho k danému účtu připojovat, když si stejně hesla pamatuje prohlížeč (nebo ta důležitá i já).

        1. Pavel Šimerda

          Re: Povedlo se

          Nikdy jsem nebyl ochotný pro všechny ty služby vymýšlet samostatná hesla, jen proto, že tam přijdu jednou :). Takže kdekoli je dobrá podpora OpenID, tak to uvítám.

      2. www.google.com

        Re: Povedlo se

        Ha. OpenID tu funguje.. Akorat mi chybi to co umi stackoverflow – tam se prihlasuju ‚Login->OpenID->(obrazek gmailu)‘. Ten hnusnej retezec `https://www.go­ogle.com/accou­nts/o8/id` si nepamatuju a nechce se mi jej porad hledat.

        Taky mi chybi moznost automaticky vytvorit ucet pro dany OpenID.

        1. Pavel Šimerda

          Re: Povedlo se

          „Taky mi chybi moznost automaticky vytvorit ucet pro dany OpenID.“

          Vytvořit účet s OpenID bez hesla se mi tu povedlo. Jinak bych se na Rootu asi nikdy nezaregistroval.

  5. MilosNemec

    Mě ten problém pálí

    Mě ten problém pálí, protože si pro každý účet udržuji unikátní kombinaci jména a hesla. Navíc používám několik počítačů, mezi kterými musím synchronizovat KeePass. Problém s OpenID vidím spíše v tom, že ho skoro nikdo nenabízí. Nedělal jsem si přesnou statistiku, ale odhaduji, že těch cca 50ti účtů, které aktivně používám, budou OpenID přihlášení nabízet tak 2-3. Takže v tuto chvíli smysl nemá. Až bude OpenID alespoň na třetině e-shopů a diskuzních fór, pak o něm začnu uvažovat.

    1. Jindřich

      Re: Mě ten problém pálí

      A mohl bych se zeptat, jak KeePass synchronizujete mezi počítači? Já to dělám tak, že synchronizuji celý program přes Dropbox (exe v Linuxu pouštím přes mono) a lokálně na jednotlivých počítačích (bez synchronizace) mám ještě soubor s klíčem nutným pro vstup do databáze hesel. Nevím ale, zda to takto není z bezpečnostního hlediska riskantní.

      1. MilosNemec

        Re: Mě ten problém pálí

        Synchronizuji kdb soubor (databáze hesel) přes Syncplicity. Bezpečnostní riziko tu určitě je, kdyby se někdo dostal ke kdb souboru, může hrubou silou prolomit hlavní přístupové heslo a má přístup ke všem účtům. Nečekám ale, že bych se stal obětí sofistikovanějšího útoku. Pravděpodobnější nebezpečí hrozí spíš od majitele nějakého no name e-shopu, který ukládá hesla v plaintextu a napadne ho třeba zkusit stejné heslo na e-mail. Nebo mu přihlašovací údaje někdo ukradne. A tato nebezpečí jsou unikátními kombinacemi přihlašovacích údajů pro každý účet minimalizována.

        1. Jindřich

          Re: Mě ten problém pálí

          Možná by Vám také pomohlo přihlašování do programu pomocí hesla a klíče: pokud by někdo ze synchronizačního programu získal soubor s databází, pořád ještě nemá klíč. A teď mě napadlo změnit příponu souboru s databází: případný „narušitel“ soubor nerozpozná, i když se k němu dostane.

        2. Los

          Re: Mě ten problém pálí

          Taky má keepass možnost vícenásobného zašifrování databáze.. Nastavením vyšího čísla se výrazně prodlouží doba prolamování hesla metodou bruteforce. Například můj keepass se na procesoru 2.2GHz otevírá ~5s .. Už jsem si zvykl.

      2. Rdm

        Re: Mě ten problém pálí

        Stačí synchronizovat tu databází nemusíte celý program. Osobně mám zálohy databáze s hesly uloženy v kontejneru šifrovaném pomocí TrueCrypt a tento kontejner pak synchronizuji přes Dropbox.

        1. iki

          Re: Mě ten problém pálí

          snazsi nez synchronizovat tc container pres dropbox, je pouzivat na synchronizaci spideroak ci wualu … ty maji lokalni sifrovani a zero knowledge policy (pouzivam spideroak, ale o wuale je to zname tez)

      3. Pavel Šimerda

        Re: Mě ten problém pálí

        „A mohl bych se zeptat, jak KeePass synchronizujete mezi počítači? Já to dělám tak, že synchronizuji celý program přes Dropbox“

        Takže kdyby Dropbox nabízel OpenID, tak se na to celé můžeš vykašlat :D.

    2. Pavel Šimerda

      Re: Mě ten problém pálí

      „Mě ten problém pálí, protože si pro každý účet udržuji unikátní kombinaci jména a hesla.“

      Já pro „hloupé“ služby používám univerzální hesla… a když to někdo zneužije, napíšu adminovi či majitelům, ať s tím něco udělají.

      „Navíc používám několik počítačů, mezi kterými musím synchronizovat KeePass.“

      Na to bych neměl nervy.

      „Nedělal jsem si přesnou statistiku, ale odhaduji, že těch cca 50ti účtů, které aktivně používám, budou OpenID přihlášení nabízet tak 2-3. Takže v tuto chvíli smysl nemá. Až bude OpenID alespoň na třetině e-shopů a diskuzních fór, pak o něm začnu uvažovat.“

      Njn, jsem o krok dál. Až bude OpenID (či lepší náhrada, pokud v budoucnu vznikne) na třetině e-shopů (ne celkově, jen těch zajímavých), přestanu chodit na ty ostatní.

  6. ondra.novacisko.cz

    S clankem v zasade nesouhlasim

    Nekdo si musi sve omyly svest na jine omyly, ale v zasade se da snest velice primitivni dukaz ze se plete. NEJVETSI PROBLEM JE OPRAVDU ZMRSENA IMPLEMENTACE, jak je na zacatku clanku pripomenuto, ze implementovat posledni verzi je velice obtizne.

    Kdyz totiz dodelat prihlaseni na web je s OID otazkou dne, pak dopsat tam facebook login je otazkou na hodinu. Nikdo nechce davat data vybrane spolecnosti? Zato vsichni bez problemu daji data facebooku nebo microsoftu. Portaly umi spoustu prihlasovacich protokolu, kolikrat tam openid chybi. Proc?

    Ne panove, OpenID bylo totalne zabito, prave svou technickou implementaci, velci hraci jej neprijali, protoze jim neprineslo takove zjednoduseni prace jako mit vlastni protokol.

    1. JmJ

      Re: S clankem v zasade nesouhlasim

      k slozitosti implementace se nemuzu vyjadrit, protoze jsem o ni nezavadil ani pohledem. Ovsem jako uzivatel mohu rict, ze mi takova sluzba opravdu neschazi. Jako programator pouzivam internet denne, ale rozhodne nemuzu rict, ze bych se ustavicne logoval na ruzne weby. Jestli pravidelne pouzivam ucet na 4 webech, tak je to moc. Nechci tim rict, ze nekdo na tom neni jinak.
      Dalsi veci je, ze temer vyhradne pri registraci udavam fiktivni udaje. Mozna jsem ze stare skoly, ale po mem jmenu a adrese nikomu nic neni. Samozrejme nejde to tak delat vzdy.
      Dalsi veci je, ze nikomu neni nic po tom, na jake weby chodim. A nechtejte mi namluvit, ze se to na overovacim serveru neloguje.
      A snad posledni veci je potencialni velky pruser pri zcizeni identity. I kdyz bych mel na 10 webech stejny login a heslo, tak utocnik musi vedet ktere weby navstevuju a na kazdem „neco provest“, treba mi zmenit heslo a ukrast mi tak ucet. Pocitam, ze u openid zmeni heslo na jednom miste a jsem v perdeli pane hrabe. Pokud zjistim napadeni uctu na jednom webu, muzu si porad zachranit ucty na ostatnich webech.
      Mozna jsem necemu kolem openid neporozumel, tak me prosim poucte.
      Obecne mam pocit, ze centralizace sluzeb neprospiva soukromi na siti. Ale to je jina debata.

      1. Martin MalýAutor příspěvku

        Re: S clankem v zasade nesouhlasim

        Já se k složitosti implementace vyjádřit mohu. Pokud si píšete z čisté vody kompletní implementaci protokolu, je to porod, protože OpenID verze 2 sestává z několika specifikací a je to opravdu „lahůdka“, srovnatelná např. s psaním SOAP služeb od základu na koleni. Tedy spousta stran dokumentace, spousta práce, spousta ladění a výsledkem je něco, co už dávno existuje. Ovšem od toho jsou knihovny; kdo knihovny „neuznává“ a vše si radši napíše sám (a že takových programátorů není málo), tomu není pomoci.

        To co zmiňujete jsou „výhrady programátora“. Ano, je to přesně tak jak píšete: efekt „kroužku na klíče“ (ztratíte je hezky najednou) i možnost logování tu je. Na druhou stranu čistě technicky – openID je decentralizované a když budete chtít, budete svým vlastním poskytovatelem, takže žádné logování u třetí strany nehrozí.

        Ovšem tohle jsou věci, které trápí techniky, ale běžný uživatel vidí problém někde jinde… tedy lépe řečeno: Běžný uživatel v tom problém nevidí, takže pro něj je OpenID řešení něčeho, co ho netrápí.

        1. ondra.novacisko.cz

          Re: S clankem v zasade nesouhlasim

          Já bych se k složitosti vrátil. Nejde to totiž odmávnou „máme na to knihovnu“. Na internetu máme 100+1 technologií a ne na všechnu lze nainstalovat tu knihovnu. Další problém je v tom, že OpenID je tak přeplácané, že k podpoře všech featur je to kolikrát zásah do celého informačního systému. Když už člověk začne zkoumat, „co je pod kapotou“, narazí na slepenec technologíí, které jsou použitý bez ladu a skladu a bez jakéhokoliv zdůvodnění, proč by tam vlastně měli být. Jestli použití „standardních“ protokolů mělo vyjít vstříct velkým hráčům, tak se to povedlo ale jen částečně, protože se objevilo mnoho poskytovatelů. Zároveň ale velci hráči neberou OpenID vážně, aby všechny své služby převedly na OpenID autentifikaci.

          Co se standardních knihoven týče, tak když jsem se na to díval před rokem, byla to katastrofa. Časem se objevily knihovny, které na jednoduché přihlašování v PHP mají primitivní rozhraní. Ale to už je podle mne pozdě a navíc pořád je tam schovaný ten kostlivec v té složitosti. Co je platné, že jde o otevřený software, když jeho střevům malokdo rozumí. Potíže nastávají zejména v okamžiku, kdy nějaká součást celého kolosu přestane fungovat. Zpravidla proto, že velcí hráči standardní knihovny nepoužívají a investují do vlastního vývoje, lépe propojeného s jejich vlastní informačím systémem. Čím pak je systém komplikovanější, tím je víc míst, kde to může selhat.

          A to není jediné bolavé místo OpenID. Dalším bolavým místem je používání uživatelsky nepřátelského identifikátoru. Znáte všechny podoby openId? A že jich je hodně! Každý BFU, který se přihlásí poprvé k internetu si někde založí e-mailovou schránku. E-mail už dnes respektují všichni, mají to krásně oddělené. Pokud něco obsahuje zavináč, sedí za tím člověk, pokud to připomíná webovou adresu, není to člověk, ale služba. Spousta BFU zná svůj e-mail a to jim stačí. PROČ SE TEDY MUSÍ UČIT DALŠÍ IDENTIFIKÁTOR? Proč prostě autentifikace neprobíhá jen na základě zadaného e-mailu? E-mail po nás dneska chce kde kdo. Zadáváteho do facebooku, do google, do různých registrací, jen proto, aby vám přišel e-mail s ověřovacím kódem. Tohle je také jedina doposud nepřekonaná metoda ověření platnosti identifikace. Přitom by stačilo, aby service provider mohl ověřit e-mail přímo s identity providerem, namísto zasílání e-mailu a opisování ověřovacího kódu. Uživatel by se nemusel nic učit a e-shopům, blogům a podobně by odpadl náročný proces registrace.

          Co se přirovnání ke kroužku s klíči týče, tak to je naprosto zcestná představa. Jistě, možná funguje v případě, že si někdo jde na NIC.CZ vytvořit OpenID. To je ale špatně. Ani zajímavá cena v soutěži mě nedonutí lézt někam, kde mi nic nenabízí a vytvářet si další klíč na kroužku. Ale snad tady máme velké portály, třeba Seznam. Na Seznam chodím tak jako tak, a jakmile jsem přihlášen na seznamu, nemusím se přihlašovat na žádné stránky s OpenID. ID je předvyplněno, session je otevřená, kliknu na přihlásit a jenom to potvrdím. Žádný další klíček na kroužku, dveře otevírám klíčem od Seznamu. JENŽE VYSVĚTLETE TO BFUČKOVI. Z tohoto důvodu třeba některé moje přihlašovací formuláře vypadají takto:
          http://www.hasicislapy.cz/?g=login

          A stačilo by, aby tam svítilo okénko „přihlašte se e-mailem“ a uživatel by už nic nemusel řešit. Co já bych za to dal, kdybych si třeba nemusel pamatovat, jaký login a heslo mám v Alze. Většinou stejně moje přihlášení vypadá takto.
          – Zapoměl jsem heslo,
          – odeslat na e-mail
          – přečist kód pro změnu hesla
          – změnit heslo
          – přihlásit se.

          1. Martin MalýAutor příspěvku

            Re: S clankem v zasade nesouhlasim

            BFU, na rozdíl od vás, tenhle problém ani nemá. V Alze má totiž buď stejný login jako na iks dalších webech, nebo si to za něj pamatuje prohlížeč / KeePass / Roboform…

            1. ondra.novacisko.cz

              Re: S clankem v zasade nesouhlasim

              Jasně, a BFU ví, co je KeePass a Roboform. A nechávat přihlašovací údaje ve formuláři nechce, protože jeho počítač používá celá rodina

              Zpátky na zem!

              1. Martin MalýAutor příspěvku

                Re: S clankem v zasade nesouhlasim

                Než přistanete, tak si ještě pročtěte průzkumy chování uživatelů, nad kterými lomí rukama firmy „přes bezpečnost“ – hesla napsaná na papírcích, hesla stejná na všechny služby, hesla uložená v prohlížečích, to jsou nejčastější způsoby… Ti lidé nemají problém, ti si své řešení, s nímž jsou spokojení, našli.

                1. ondra.novacisko.cz

                  Re: S clankem v zasade nesouhlasim

                  To jim přece nikdo nebere…! Konečně, dnes není problém si založit a používat OpenID a i nadále lze používat papírky a hesla uložená v prohlížeči.

                  Mimochodem, já vycházím z dotazů mých uživatelů, kteří používají aplikace Lištička a Pošťák. Třeba například typické chování uživatele Pošťák je mít v počítači jeden účet a v Pošťákovi připojené e-maily celé rodiny. Proto se hodně objevují dotazy, jak vypnout v Pošťákovi automatický vstup do schránky, aby schránku nemohli číst příslušníci rodiny. Takže asi tak.

                  Problém je v tom, že OpenID nechtějí implementovat žádní service provideři. Vemte si, jak je komplikované nakoupit v obchodu bez registrace, co všechno musí člověk vyplnit. Jak je komplikované tohle naprogramovat? Oproti použití nějaké identifikační metody, přesto se k tomu e-shopy uchylují, ačkoliv to zrovna uživateli práci nezjednoduší a je tak vysoké riziko, že v půlce formuláře si to rozmyslí a obchod neuzavře. Přesto zatím nikdo neadaptoval žádný uznávaný protokol identifikace.

                  Možná to je taky tím, že základní verze OpenID obsahuje minimum informací potřebných pro e-shop, třeba jako dodací adresa, fakturační adresa, kontakt, apod a podpora rozšíření OpenID je zase na straně portálů mizerná až nulová.

                  Ano, někdo se tu vysmívá easyloginu, ale takovéhle věci tam třeba jdou dělat. Jenže ja jsem malý člověk, abych dokázal tohle zpropagovat a měl čas to dál rozvíjet a třeba objiždět providery.

                  1. alancox

                    Re: S clankem v zasade nesouhlasim

                    Já bych Vás chtěl jen podpořit.

                    Osobně si myslím, že za neúspěchem je skutečně debilně navrhnutý tento standard. A implementace, na to jak jednoduchou věc to má dělat, je složitá.

                    Osobně si rovněž myslím, že složitost implementace to zabila spíše, než důvody v článku.

                    Mám vůbec pocit, že kolem webů se vytvářejí složitější věci, než dělají v doktorátech atomové fyziky. A že se to pak smaže a pak se jede odznovu.

                    Všechny analýzy složitost webových standardů podceňují, ale složitost programátorské implementace zabila už hodně webových technologií, mimo jiné i XHTML, kdy se výrobci prohlížečů šprajcli a vzkázali W3C ať si jeho XHTML 2 nacpe laskavě kam slunce nesvítí.

                    Stejně tak si myslím, že za neúspěchem OpenID je mnohem více přehnaná složitost implementace, řekl bych že je to tak 75% příčin neúspěchu.

                    Veškeré rozbory, které dělá tento článek zapomíná, že nelze oddělit implementace a uživatelské hledisko. Například myslíte, že kvantový počítač by byl uživatelsky neúspěšný? Možná, ale především není obchodně úspěšný a nežene ekonomické zisky proto, že je obtížně implementovatelný. Zde by analýza pouze z uživatelského hlediska neobjasnila příčinu.

                    OpenID podle mě zabilo ze 75% složitost implementace, 25% nedostatek propagace s vysvětlením co to přinese uživateli (zde se OpenID vysvětlival naopak technoidně, uživatelé tomu nerozuměli) a že sami propagátoři žijí s nohama v oblacích.

                    1. Pavel Šimerda

                      Re: S clankem v zasade nesouhlasim

                      „Osobně si myslím, že za neúspěchem je skutečně debilně navrhnutý tento standard. A implementace, na to jak jednoduchou věc to má dělat, je složitá.“

                      Standard jsem četl a je navržený velmi dobře.

                      Implementační problémy se týkají jen tvůrců knihoven a ti už dokázali, že to zase takový problém není.

            2. anonym

              Re: S clankem v zasade nesouhlasim

              BFU má na Alze úplně jiný login než jinde, protože zrovna na Alze bylo Janička25 už obsazeno a navíc tahle služba chce login maximálně na osm znaků a heslo minimálně na šest (příklad).

              Předřečník popsal skutečný problém OpenID a tím je identifikátor. Kdyby stačilo zapsat identifikátor ve tvaru emailu, tak by ta služba dávno prorazila.

          2. jet

            Re: S clankem v zasade nesouhlasim

            naprosto presne jsi uhodil hlavickou na hrebicek :-)
            K tomu musim pridat jednu moji historku.
            Mel jsem krasnou credit kartu (CartaSi – odnoz Visa). Tahle varianta mela krasny web, na kterem se dalo v realnem case videt stav uctu. Vsechno fungovalo krasne do okamziku, kdyz nektery idiot vymyslel, ze v ramci bezpecnosti by si uzivatele tohoto webu meli aspon kazde 3 mesice zmenit heslo. A vzhledem k tomu, ze uzivate jsou samozrejme nesvepravni a heslo by si dobrovolne nezmenili, tak to udelali povinne. Kazde 3 mesice zmenit heslo a heslo nesmi byt stejne jako nektere, ktere bylo pouzito behem posledniho roku. Vzhledem k tomu, ze jsem na tento web chodil tak radove jednou za 1/4 roku, tak kazde moje prihlasovani naprosto pravidelne koncilo tim, ze jsem 3 krat spletl heslo, coz vedlo k zablokovani uctu, musel jsem si vyzadat nove provizorni heslo, na neco ho zmenit a za 3 mesice se situace opakovala.
            Nekolikrat jsem si s nimi vymenil dost na*rane maily, ale byli neoblomni. Takze jsem tento problem vyseril naprosto jednoduse. Vzal jsem nuzky, kartu jsem prestrihl, ucet v bance jsem zrusil a udelal jsem si ucet u jine banky, kde mam 1. kartu kompletne zadarmo, 2. vypis z karty na stejnem webu jako zbytek banky, 3. nenuti me menit heslo, mam tam stejne heslo uz nekolik let.

            1. anonym

              Re: S clankem v zasade nesouhlasim

              násilná změna hesla je nejdebilnější a zároveň pro uživatele nejméně bezpečná metoda zabezpečení.

              Milionkrát zadávané heslo před bůhvíkým, kdy provozovateli posílám vlastně všechna hesla, jaká jsem kdy kde použil, ve snaze trefit to správné.

          3. Tomáš Tintěra

            Cyba OpenID je skutečně v neužitečnosti. Ale je to jeho designem.

            Souhlasím Hlavní nevýhoda OpenID je, že je nepříjemné s špatné na použití pro všechny zůčastněné.

            Uživatel: zajímaly by mne nějaké testy použitelnosti. Ikdyž vám, že GMail nebo Seznam podporují openID, bez hlubšího zkoumání stejně nevím svůj identifikáror.
            A nebudu ho hledat, neb vím, že to bude dlouhé hledání a kdo ví, jestli to bude nakonec fungovat. (Nebude, na většině webů není implementováno a navíc bych si musel nejdelší ze svých ID)

            Čili z pohledu uživatele velká a zbytečná investice.

            Z pohledu investora riziková a zbytečná investice. Není žádný důvod, aby implementace byla super složitá. Když to začnu používat, kdo mi zaručí, že to bude použitelné v technologii, ve které budu tvořit za dva roky. Zásadní omezení použitelných tehnologií kvůli blbému přihlašování? Děkuji nechci. Zbytečnost je jasná. „Nikdo“ si nevybírá službu podle toho, jestli podporuje přihlašování X.

            Z pohledu programátora: když je něco zbytečně složité, hromzí, že budu hledat jestli je chyba v mém kódu, nebo v knihovně nebo serveru. nepříjemná situace ve chvíli, kdy šéf zuří, peníze netečou a uživatelé se nemohou přihlásit. Díky složitosti protokolu se nemohu jednoduše podívat, jestli komunikace se serverem je v pořádku.

          4. Maaartin

            Re: S clankem v zasade nesouhlasim

            Zkusil jsem to v Opere a skoncil jsem na strance „Redirection status“ a k tomu nejaky „kliknete na link“ a zadny tam nebyl. Vypada to ze se vsecko povedlo az na ten konec.

    2. Tronda

      Re: S clankem v zasade nesouhlasim

      bredy, bredy! zase ta tvoje pisnicka o openid ktery je tak slozity, ze ho nikdo nepochopi, a jak jsi misto toho vymyslel http://www.easylogin.net/ Nojo je videt, ze kdo openid nepochopi, tak ho vynalezne znovu!

    1. shade

      Re: Proč nemít jednu identitu?

      Vy máte na každém webu registraci jiným emailem? A platíte na každém eshopu jinou kartou? A pokaždé přistupujete z jiné IP adresy (což asi tak nejjednodušší z toho všeho)? :)

      1. Anonym

        V podstatě ano,

        většinou si vybírám eshopy, které registraci nevyžadují a zboží si nechávám posílat na firmu.

        1. keff

          Re: V podstatě ano,

          A co google – ten ví o každém vašem přístupu na jakoukoliv strnku co má alespoň nějaký google javascript (včetně adsense, vloženého youtube vide apod.). Proti tomu se taky bráníte, nebo vám nevadí že tu někdo spojuje cca třetinu vašich aktivit na netu podle unikátní cookie?

          1. alancox

            Re: V podstatě ano,

            „A co google – ten ví o každém vašem přístupu na jakoukoliv strnku co má alespoň nějaký google javascript (včetně adsense, vloženého youtube vide apod.). Proti tomu se taky bráníte, nebo vám nevadí že tu někdo spojuje cca třetinu vašich aktivit na netu podle unikátní cookie?“

            To je zcela v moci uživatele toto odstranit a tomuto zabránit.

            1. Pavel Šimerda

              Re: V podstatě ano,

              „To je zcela v moci uživatele toto odstranit a tomuto zabránit.“

              Taky máte máte v zásobě pár vtipů, co? (Za cookie si mimochodem místo HTTP cookie dosaďte obecný princip cookie).

        2. Pavel Šimerda

          Re: V podstatě ano,

          „většinou si vybírám eshopy, které registraci nevyžadují a zboží si nechávám posílat na firmu.“

          To musíte mít docela hodně firem, pokud ty objednávky nemají být spojené společnou identitou!

      2. alancox

        Re: Proč nemít jednu identitu?

        „Vy máte na každém webu registraci jiným emailem? A platíte na každém eshopu jinou kartou? A pokaždé přistupujete z jiné IP adresy (což asi tak nejjednodušší z toho všeho)“

        A jak se většina webů domluví a porovnají si vzájemně identifikace?

        Na rozdíl od OpenID identity, kde existuje jedno ověřovací místo, kde se ověření setkají?

  7. Pavel

    OpenID

    Mně osobně se myšlenka OpenID moc líbí – a mám fakt dobrý pocit, že už mám několik OpenID identit – Seznam, Google, Google Apps, Microsoft Live a dokonce i MojeID a možná ještě několik dalších.

    Akorát mám v sobě nějaký mentální blok a pro přihlašování se mi to nikdy nechce použít. Hlavně proto, že své e-mailové adresy používám diferencovaně – některé na vážnější věci, jiné na méně vážné. No a protože si už nepamatuji, kterou z nich jsem použil pro které OpenID, nemám odvahu se přes OpenID nikam přihlašovat.

    S autorem článku v zásadě souhlasím – v podstatě mi to nijak nechybí. Většinu hesel mám uloženo v LastPass, případně generuji přes SuperGenPass.

  8. ondra.novacisko.cz

    Zbytečná paranioa

    Mě se líbí, jak se tady každy bojí o své údaje na internetu. Přitom používání jediného ID je poslední věc, která vede k vystopování návštěvníka. Těch metod, jak zjistit „kdo kam chodi“ je mnoho a bez větších technických znalostí nemáte šanci se ukrýt. Schováváním se před jednotným ID je pak stejně zbytečné, jako schovávat se před krysou v medvědí jeskyni.

    1. JmJ

      Re: Zbytečná paranioa

      Porad je lepsi vedet, ze se musim kryt jen pred medvedem, nez mit jeste starost o to, kde ma ne vybafne krysa.

      Opravdu nemam zapotrebi davat zbytecne nejake treti strane pravomoce k memu elektronickemu „ja“.

      Pokud nekomu nevadi, ze nad jeho „elektronickym zivotem“ ma dohled zase dalsi „osoba“, a je mu zatezko si pamatovat par loginu a hesel, tak prosim, necht sluzby „sjednocovani identity“ pouzije. Nejspis se mu nic zleho nestane.

    2. Karel

      Re: Zbytečná paranioa

      Mně ani tak netrápí, že si to někdo může dohledat. Zlý Google o mně bude vědět vše. Ale mám problém s tím, komu co říci. U Alzy a podobných nemám problém jim sdělit svou adresu a telefon, ovšem u běžného „diskusního“ serveru s tím problém mám. A i ten email bývá problém, protože řada „diskusních“ serverů je z nějakého důvodu předává spamerům (možná je někdo vykrádá), takže naprosto běžně používám 3 emailové adresy podle toho, co od dané služby chci (jeden mám pro služby, kde je to jen nutné zlo, čtu ho jen když musím něco potvrdit, druhý email občas i čtu, na tom třetím jsem skoro neustále) a nemusím tak řešit tolik spamu jako dříve. Zvláště u „diskusních“ serverů kde při registraci automaticky schvalujete „odebírání novinek“.

      Kdyby OpenID nabízelo jednoduše implementované „úrovně autorizace“, abych se mohl některým serverům vydávat za „Karel“, jiným za celé své jméno včetně emailu a jiným i se svou adresou, telefonem a datumem narození, pak bych to opravdu zvažoval. Do té doby je to ale pro mně spíš přítěž. A Facebook účet nemám :-)

      1. ondra.novacisko.cz

        Re: Zbytečná paranioa

        To je přesně ono. Na to všechno jsem myslel při návrhu easylogin.net. Možnost vytvářet aliasy (na straně identity providera), možnost skrytého přihlášení (uvedu pouze svého providera, ale plnou autentifikaci provedu až u něj).

        Nicméně OpenID tohle samozřejmě má, ale BFU to nezvládne používat, a service provider to musí umět podporovat. Zase je to o tom technickém zpracování. To je proč OpenID se neujme.

          1. ondra.novacisko.cz

            Re: Zbytečná paranioa

            Je to laboratoř. Smyslem nebylo vydat službu. Na to nemám peníze. Spíš jen ukázat, že to jde navrhnout tak, že se celý protokol vejde do dvou čtyřstránkových PHP souborů

    3. alancox

      Re: Zbytečná paranioa

      „Přitom používání jediného ID je poslední věc, která vede k vystopování návštěvníka.“

      Ha ha ha, jako vtip dobrý.

  9. Opravdový odborník :-)

    Re: OpenID: poučení z krizového vývoje

    Už jsem myslel, že to budou zase obvyklé žvásty a že by to chtělo nějaký odborný článek… ale nakonec to tak zlé nebylo.

    Ad „zaregistrují se se svým oblíbeným jménem a heslem, zaregistrují se a kliknou na „pamatuj si mě“, uloží si heslo do prohlížeče“

    Přesně tak. Navíc na slušných webech se není potřeba registrovat a stačí třeba jen opsat kód z obrázku.

    Ale doplnil bych ještě jednu věc, která podle mého hodně brzdí používání OpenID. Tato technologie totiž často nenahrazuje registraci, ale pouze následné zadávání jména a hesla — a v tom je ten problém. Uživatel se tak jako tak musí registrovat (a sdělit svůj e-mail a pak kliknout na odkaz, který mu na něj přijde) a vedle toho akorát zadá OpenID. Někdy je to zamaskované tak, že člověk napíše komentář nebo vyplní nějaký formulář, zadá OpenID a už se těší, jak je to hotové — a najednou na něj vyskočí klasická registrace a potvrzování e-mailu — takže si tím OpenID vůbec nepomohl. Ovšem toto není chyba OpenID jako takového, ale poskytovatelů služeb, kteří ho tímto způsobem nasazují.

    1. Tronda

      Re: OpenID: poučení z krizového vývoje

      taky jsem se tesil, ale redakce asi usoudila, ze sebevetsim zvastem stejne „tricet let vyvoje bankovnich aplikaci v jave“ neprekona. // just kidding! ;)

    2. Martin MalýAutor příspěvku

      Re: OpenID: poučení z krizového vývoje

      To máte pravdu. Není to problém samotného návrhu OpenID, je to problém konkrétní implementace, ale dobré jméno to té technologii rozhodně nedělá.

    3. ondra.novacisko.cz

      Re: OpenID: poučení z krizového vývoje

      Souhlas. On v pozadí ten profil vznikne vždycky, ale uživatel by to nemusel vědět. K tomu taky chybí v OpenID spoustu položek, které by uživatel mohl mít předvyplněné, třeba odkaz na ikonu, odkaz na webové stránky, nějaké sociální údaje, stačí se podívat na jakýkoliv diskuzák. Vše samozřejmě volitelně a s možnosti nastavit si to pro každého service providera jinak.

      OpenID má mechanismus, jak přenášet tyto profilové údaje, ale znám málo IdP, kteří umí tak komplexni profily a málo SP, kteří to umí využít. Valná většina podporuje jen simple registration. A opět se vracíme k technické implementaci, protože SREG je ta nejjednodušší verze OpenID a prakticky nikomu se nechce jít do něčeho složitějšího. A SREG je zároveň konečná, protože technologické limity dané naprosto nevhodným způsobem přenášení údajů mezi subjekty neumožňují jakékoliv rozšíření. Ono to hodně vypadá, že OpenID vymýšleli hlavně produkťáci, obecně teoretici, ale zapoměli si pozvat nějakého schopného programátora/a­nalytika

      1. alancox

        Re: OpenID: poučení z krizového vývoje

        A jsme tam, kde to tvrdím.

        OpenID zabil špatný návrh. A následně implementace.

      2. Pavel Šimerda

        Re: OpenID: poučení z krizového vývoje

        „Ono to hodně vypadá, že OpenID vymýšleli hlavně produkťáci, obecně teoretici, ale zapoměli si pozvat nějakého schopného programátora/a­nalytika“

        Mám přesně opačný názor, totiž, že to dělali hlavně programátoři, a zapomněli o tom včas přesvědčit markeťáky :D.

  10. veros

    Použití OpenID v praxi

    Přispěchám ještě s křížkem po funuse, ale zato s použitím OpenID.

    OpenID používáme interně ve firmě pro autentizaci k několika různým intranetovým systémům. Než nutit nebohé uživatele pamatovat si sedm hesel k interním systémům, tak máme jeden centrální systém, který dělá OpenID providera. Všechny ostatní systémy, se ho pak umí přes OpenID zeptat, „kdo to ke mně přistupuje?“.

    Protože OpenID je otevřený standard, výrazná část software ho podporuje a i dodavatele je s malým úsilím přesvědčit, aby „tohle stáhli“ a použili.

    O jemných nuancích implementace v open-source, který jsme přihýbali, se vyjadřovat nebudu, nemohl bych zůstat u slušných slov. :-)

    Globální využití OpenID jsem čekal pár let zpátky, ale nějak zatím nepřišlo…

    1. Pavel Šimerda

      Re: Použití OpenID v praxi

      Pokud mě někdy někdo vůbec přesvědčí (jedině dostatečným obnosem peněz), abych vytvářel nějaké komplikovanější weby, správa identit bude jednoznačně postavena na OpenID, pokud do té doby nevznikne něco lepšího.

      1. ondra.novacisko.cz

        Re: Použití OpenID v praxi

        To je na nic. Kazdy vetsi portal ma vlastni system a vetsinou je to postavene na nejakem centralnim spravci session, ktery umi vyrobit session pro danou sluzbu bez nutnosti noveho prihlaseni. Takhle to ma resene Seznam. A neni tam potreba tahat OpenID.

      2. veros

        Re: Použití OpenID v praxi

        Ano, podobný problém, kde OpenID (dobře schované před uživatelem) je řešení.

        Jen my to máme o trošku složitější, protože ne všechny systémy jsou Drupal – jde o historicky danou směs různých interních webů.

    2. Jan

      Re: Použití OpenID v praxi

      Nebyl by lepší nějaký kvalitní SSO? Prostě přihlásím se ráno do domény a pak už je klikám? Třeba NTLM?

      1. veros

        Re: Použití OpenID v praxi

        Nemám nic proti kvalitnímu SSO, ale NTLM tam nejspíš nepatří. Pomněte, že klientská zařízení nemusíte mít pod kontrolou. Přihlášení do domény a NTLM over HTTP vyžaduje Windows, ne?

        Pokud existuje elegantní řešení, které si poradí s různými verzemi webových prohlížečů na různých operačních systémech a to včetně úchylných prohlížečů v nejrůznějších mobilech, tak sem s ním.

        Rád se podívám, jak se to dá udělat jednodušeji. Používat OpenID pro SSO není nejjednodušší, ale přišlo mi nejvíce funkční.

      2. Pavel Šimerda

        Re: Použití OpenID v praxi

        Je nějaký důvod, aby kvalitní SSO nepoužívalo jako základ protokol OpenID?

    1. veros

      Re: Lidé chtějí anonymitu

      Ne, nemáte pravdu.

      Nic nebrání tomu používat nějakého OpenID providera, který Vám bude pro každou službu poskytovat jiný OpenID identifikátor, fiktivní jméno a e-mail, který Vám bude přeposílat.

      Vyzkoušeno na testovacím serveru. Do ostrého provozu by to chtělo ještě tak týden práce (kterým bohužel nedisponuji).

    2. Pavel Šimerda

      Re: Lidé chtějí anonymitu

      „Tu ale tento systém odstraňujě.“

      OpenID? Neodstraňuje, nesmíš věřit všemu, co někdo napíše do internetové diskuze.

  11. imploder

    soutěž o iPad a Kindle 3

    Založil jsem si MojeID a spojil ho se svojím účtem. Nechápu ale, jak root.cz nebo jiné servery iinfo.cz zjistí, že jsem si ho založil kvůli téhle soutěži a zařadí mě tak do slosování. Psal jsem kvůli tomu mail na mojeid@iinfo.cz a nikdo neodpověděl.

    1. Pavel Šimerda

      Re: soutěž o iPad a Kindle 3

      Soutěž jsem neřešil… ale doporučuju zkusit napsat na nějaký obecnější mail iinfo.

    2. Tom

      Re: soutěž o iPad a Kindle 3

      Dobrý den,

      MojeID ví, ze kterého serveru člověk přišel, tj. díky komu si ho založil. Stejně tak ví, když se s ním člověk na server přihlásí. Tím pádem není problém splnit podmínku pro zařazení do slosování, kterou je založení účtu na některém našem serveru a alespoň jedno přihlášení pomocí MojeID na něm.

      1. imploder

        Re: soutěž o iPad a Kindle 3

        Aha, díky. Tyhle komentáře jsem přehlídl. Z nějakého důvodu mi přestaly chodit upozornění na mail (gmail) – nejenom odsud, ale i z kalendáře Googlu. Je to divné.

    3. imploder

      Re: soutěž o iPad a Kindle 3

      Tak už se to vysvětlilo, odpověděli mi. Je to podporované na straně mojeid.cz, které dostane data z automaticky (javascriptem) odeslaného formuláře ze serverů iinfa.

  12. Clock

    A jake problemy tedy lidi pali?

    Kdyz se mluvi o tom, ze OpenID resi problem ktery lidi nepali – to by me zajimalo, jake problemy lidi dnes pali?

    1. František Kučera

      Re: A jake problemy tedy lidi pali?

      Když se omezíme na web, tak třeba jeho zahlcení spoustou bezcenného obsahu (automaticky generovaný, zkopírovaný, hloupý, prošpikovaný reklamou…). Najít to, co člověk hledá, je čím dál těžší. Navíc spousta obsahu z webu prostě mizí (takže když člověk najde něco zajímavého, měl by si to uložit na disk, protože zítra už to tam nemusí být).

Napsat komentář

Tato diskuse je již příliš stará, pravděpodobně již vám nikdo neodpoví. Pokud se chcete na něco zeptat, použijte diskusní server Devel.cz

Zdroj: https://www.zdrojak.cz/?p=3515