Составил тут небольшую компиляцию разъяснений по поводу различных недопониманий вокруг OpenID по мотивам комментариев к предыдущей статье, а также по своим предыдущим наблюдениям. Надеюсь, что получился хороший полный FAQ, который поможет разобраться тем, кто "слышал о", задумывается ввести у себя на сайте вход по OpenID, но питает естественное недоверие к новой технологии.

Если что пропустил — пишите, дополнить всегда можно.

OpenID далеко не у всех есть

Так, возможно, было пару лет назад. Сейчас, когда большинство аккумуляторов пользовательских аккаунтов (Яндекс, Рамблер, ЖЖ, Google, Blogger, LiveInternet и др.) работают как OpenID-серверы, вам придется очень внимательно поискать пользователя, у которого OpenID реально нет.

Но юзеры не знают про него и не умеют им пользоваться.

Юзеры так же не знают про HTTP и SMTP, но это не мешает им пользоваться вебом и почтой. Забота по созданию удобных интерфейсов, использующих внутри OpenID, лежит на нас с вами. Один из вариантов решения проблемы я описывал в прошлом посте (плюс, в комментариях было упомянуто еще лучшее решение).

По OpenID невозможно связаться с человеком, поэтому email просить лучше.

На самом деле, OpenID во многом аналогичен email'у. Только он работает через HTTP, а email — через SMTP. И вот именно HTTP, в отличие от SMTP, умеет быть универсальной точкой, из которой можно получить о пользователе любую информацию, которую он готов дать. В частности, у OpenID есть дополнение под названием SRE, из которого можно получить email. Юзер имеет возможность полностью контролировать от полного закрытия до полностью автоматической выдачи известным ему сайтам. Вот, например, как это выглядит для пользователя на Яндексе при первом логине на сайт:

Но и это еще не все! Кроме того, что умеет SRE (никнейм, email, имя, день рождения, пол), из HTTP-адреса можно вытянуть аватарку через pavatar, полноформатную фотографию, геогрфическое положение, адрес и профессию через hCard, а также всю социальную сеть пользователя через FOAF или XFN. Другими словами, OpenID существенно более информативен, чем email.

Все равно нужна полноценная регистрация, потому что сайту может быть нужна очень специфичная информация.

Да, конечно. И OpenID не только не отменяет регистрацию, но и помогает ее организовывать. Смотрите, вот регистрация на http://sudokular.com/:

Сначала меня спрашивают OpenID:

А потом показывают регистрационную форму, где мне нужно дозаполнить несколько полей:

Не будь OpenID, мне пришлось бы опять вводить свои email и имя.

Взлом OpenID пользователя даст доступ сразу на все сайты, где он регистрировался.

Да, так и есть. Однако эта проблема не специфична для OpenID. Сейчас то же самое происходит с email'ом: взлом email'а пользователя дает возможность через функцию "забыл пароль" получить большую часть его паролей.

Если посмотреть чуть дальше, то несмотря на рекомендации, большинство людей везде используют одинаковые пароли. Поэтому на практике сейчас злоумышленнику достаточно получить пользовательский пароль к любому из десятков сайтов пользователя. OpenID создает более защищенную среду, потому что пароль к своему OpenID-сайту пользователь пишет только на сайте провайдера. Кроме того, в OpenID-сообществе все очень надеются, что разовьются другие механизмы авторизации пользователя (биометрические или с использованием сертификатов, например), и свой пароль он вообще вводить перестанет.

OpenID-провайдер все знает про пользователя и может входить на сайты от его имени.

Точно так же и email-провайдер может много чего делать от имени пользователя. В конечно счете это вопрос доверия пользователя провайдеру. Впрочем, OpenID, как децентрализованная система, предлагает пользователю по крайней мере еще один вариант — быть своим собственным провайдером. Это, безусловно, требует соответствующей квалификации или желания ее оплатить, но это тем не менее тоже вариант.

OpenID раскрывает анонимность, в то время как пользователь легко мог бы воспользоваться бросовым email'ом.

OpenID и email тут полностью аналогичны. Для анонимных одноразовых входов пользователь может завести себе анонимный бросовый OpenID. И также, как с email'ом, есть провайдеры OpenID, на которых даже регистрации как таковой не требуется: человек указывает некий общеизвестный URL провайдера, а тот на все авторизационные вопросы просто отвечает утвердительно.

Разумеется, так же, как и с email'ом, доверия к таким пользователям не много, и сайты, требующие серьезной регистрации, вольны не принимать такие OpenID.

OpenID упрощает логин, а значит будет много спама.

Выше я уже показал, что OpenID никак не связан с отменой регистрации. Используйте регистрацию и включайте в ней, например, CAPTCHA. Другими словами, решение о доверии новым пользователям не зависит от того, используете вы для их идентификации пару логин-пароль или некий URL.

Что важно, так это то, что с помощью OpenID можно построить распределенную систему передачи доверия, чего невозможно с логинами-паролями. Например, если у вас на сайте регистрируется человек с логином "maniac", вы не знаете про него ничего. Этот логин существует только у вас в системе и никак не связан с maniac'ами на других сайтах. OpenID URL универсален для всех сайтов. На этом основании разные сайты могут обмениваться информацией о том, доверяют они такому-то OpenID или нет. Есть по крайней мере две конкретные идеи про так, как это технически организуется, о чем я еще собираюсь написать подробней.

Интересно сравнить OpenID с паспортом. Паспорта нужны государствам как раз для того, чтобы привязывать к конкретному человеку некую историю его поведения и потом делать по ней выводы. Только в случае OpenID все несколько свободней: не нужно никакой центральной организации, чтобы завести себе паспорт и начать им пользоваться, собирая для него доверие.

Что делать пользователю, если OpenID-провайдер испортится?

Есть два варианта решения проблемы.

  1. Прямо с первой версии протокола в OpenID предусмотрена ситуация, которая отвязывает человека от зависимости от провайдера: делегация. Вместо использования прямого URL'а провайдера человек может использовать (зарегистрировать) любой свой собственный URL и несложными движениями сказать "мой URL http://vasya.pupkin.name/ обслуживается по OpenID провайдером таким-то". Когда он будет логиниться на сайты со своим URL'ом http://vasya.pupkin.name, они будут запоминать именно его. В результате Василий сможет в любой момент перекинуться на другого провайдера, и никто ничего не заметит.

  2. Первый вариант, очевидно, не подходит для массового пользователя, у которого либо нет своего URL'а, либо он не контролируется в такой степени. Тогда решение старо как мир: использовать несколько OpenID. Сайтам, принимающим OpenID рекомендуется давать пользователю возможность регистрировать на свой аккаунт несколько OpenID, чтобы в случае, когда один вдруг почему-то не работает, можно было зайти по другому.

Но вообще, проблема "утери личности" глобально пока никак не решена. В конечном счете все сводится к вопросу доверия пользователя тем, кто технически обеспечивает его присутствие в сети: регистратору доменного имени, хостеру, провайдеру OpenID. Так устроен мир :-)

У OpenID-пользователей некрасивый логин.

Первые сайты, начавшие пускать OpenID-пользователей, установили практику отображения URL'а в качестве имени пользователя. Это было самое простое тупое решение, но свет клином на нем не сошелся. Вы вольны узнавать никнейм пользователя через SRE или читать его из hCard или спрашивать пользователя самого, как он хочет называться. Просто не надо придерживаться неудачных решений.

Это детская игрушка, годная только для "каментов".

Пожалуй, из всех вопросов на этот у меня нет четкого фактического ответа, потому что это скорее вопрос веры :-). Если вы просто не доверяете технологии — что ж, не спешите, посмотрите, во что это выльется.

Что важно понимать, это то, что OpenID действительно простая технология. Она не обещает никакой новой надежности, криптографической стойкости или решения проблемы спама. Суть ее как технологии сводится к двум вещам:

  • Это замена паре логин-пароль.
  • Он един на все сайты.

Первое дает удобство пользователям, второе позволяет строить всякие межсайтовые механизмы. А как это использовать и что из этого получится — увидим. Пока что никто не отменял правила о том, что все успешные сложные проекты появились из простых проектов.

Комментарии: 84

  1. solovieff

    Вы забываете о том, что для ипользования OpenID надо совершать какие-то специальные действия, а e-mail — вещь и так используемая с другой целью, но пригодная и в этом случае.

  2. Powerman

    Было бы неплохо не забывать и о недостатках OpenID по сравнению с парой логин-пароль:

    • взлом одного аккаунта OpenID даст доступ сразу на все сайты, где регистрировался этот пользователь (фактически, это идентично ситуации, когда пользователь использует одинаковый логин-пароль на всех сайтах, что крайне нерекомендуется из соображений безопасности)
    • взлом аккаунта OpenID даёт возможность зарегистрироваться от имени этого пользователя в любой системе, что может использоваться в самых разных целях
    • взлом провайдера OpenID ... ой!
    • так же не стоит забывать, что провайдер OpenID автоматически имеет доступ ко всем вашим аккаунтам на всех сайтах (и вполне может его предоставить, например, спецслужбам, если у них возникнет такая необходимость)

    Надо отметить, что часть этих угроз можно исключить, если использовать OpenID как замену логину, но не паролю. В этом случае пользователь по-прежнему сможет использовать разные пароли для доступа к разным сайтам.

    Что касается межсайтовых механизмов - они точно так же реализуются через email. Те сайты, которые проводят процедуру "подтверждения email", запросто могут использовать email в качестве уникального идентификатора пользователя, привязывать к нему информацию о доверии, etc. и обмениваться этой информацией с другими аналогичными сайтами. OpenID здесь никакого выигрыша не даёт.

    Ну и последняя "фишка" - автоматическое считывание информации о пользователе. Эта фишка и сейчас имеет слабое отношение к OpenID, за исключением SRE вся эта функциональность доступна любому, у кого есть своя веб-страничка - просто пропишите несколько дополнительных тегов/классов на странице. (Кроме того, все, кому это нужно, давно используют встроенные возможности браузеров или плагины etc. для автоматического заполнения форм регистрации на сайтах, и использование OpenID для них в этом смысле ничего принципиально не изменит.)

    В качестве IMHO хочется добавить, что "простой" протокол OpenID на мой взгляд сильно переусложнён, но это технические подробности реализации, не имеющие значения для конечного пользователя.

  3. Powerman

    Решил разбить комментарий на две части - они получились достаточно разные, да и размер-с...

    Итак, переходим от неконструктивной критики к альтернативным предложениям. Что нам нужно (в случайном порядке):

    • упростить регистрацию для пользователя
    • сохранить как минимум текущий уровень безопасности и анонимности пользователей
    • глобальные идентификаторы пользователей для межсайтовых механизмов
    • как правило, сайтам нужен механизм обратной связи с пользователем (и даже те, которым он не особо нужен - всё-равно обычно хотят его иметь). OpenID его не предоставляет, и им остаётся email

    Я предлагаю при регистрации указывать вместо логина url, но это будет адрес обычной статической странички, а не OpenID. Вся информация о пользователе (имя, email, предпочитаемый nickname, etc.) будет находится на этой странице в том же hCard сотоварищи.

    Подтверждение "владения" этой url будет происходить традиционным образом - проверкой email-а указанного на этой странице.

    Именно email может считаться глобальным идентификатором пользователя (хотя надо ещё подумать, что всё-таки лучше использовать - email или url).

    Резюмируя:

    • пользователь при регистрации вводит url и выбирает себе пароль, плюс подтверждает свой email традиционным способом
    • необходимая для регистрации информации (включая email) вытаскивается сайтом автоматически из указанной url, если нужно что-то необычное - запрашивается дополнительно традиционным способом
    • при повторном входе он вводит любой из своих уникальных идентификаторов на этом сайте (как минимум это либо url либо email, плюс это может быть nickname) и пароль

    Сравним это с OpenID:

    • пользователь в обоих случаях использует url вместо логина
    • в моём варианте пользователь дополнительно вводит пароль на каждом сайте, но это усложнение необходимо для поддержания безопасности (кроме того менеджеры паролей в браузерах и куки "запомнить меня" никто не отменял - а они позволяют свести ввод паролей к одному-двум разам за всё время работы с сайтом)
    • в обоих случаях можно использовать url (или email) в качестве глобального идентификатора пользователя для межсайтовых механизмов
    • в моём варианте нет необходимости в поддержании OpenID-серверов, достаточно парсеров hCard (или чего-то аналогичного) на сайтах - которые при использовании OpenID вероятнее всего тоже будут использоваться для получения дополнительной информации - т.е. мой вариант позволяет упростить и серверную и клиентскую реализацию
    • в моём варианте не возникает новых угроз безопасности

    Итог: всё, что делает OpenID, можно реализовать значительно проще, и надёжнее. Но мы ведь не ищем лёгких путей, да?..

  4. zz

    Взлом емейл акаунта + напоминание пароля - такая же проблема как и с openid. сайты на которых регистрировался пользователь находятся простейшим поиском писем в инбоксе по кейвордам registration/confirmation/etc :)

  5. angry-elf.livejournal.com

    Вы забываете о том, что для ипользования OpenID надо совершать какие-то специальные действия, а e-mail — вещь и так используемая с другой целью, но пригодная и в этом случае.

    Ага. Только в 90% случаев, при регистрации начинаются ненужные телодвижения - тыц-тыц проверить почту. Тыц-тыц, да где же она, тыц-тыц, о, пришла наконец, тыц-тыц, ну давай грузись, тыц-тыц, бля, многабукф, где уже эта ссылка для подтверждения. А, вот она, тыц-тыц, "ваш аккаунт активирован, теперь вы можете залогинится". Бляя, еще и логинится?! С openid экономится куча тыцей :)

  6. angry-elf.livejournal.com

    взлом одного аккаунта OpenID даст доступ сразу на все сайты, где регистрировался этот пользователь (фактически, это идентично ситуации, когда пользователь использует одинаковый логин-пароль на всех сайтах, что крайне нерекомендуется из соображений безопасности)
    взлом аккаунта OpenID даёт возможность зарегистрироваться от имени этого пользователя в любой системе, что может использоваться в самых разных целях
    взлом провайдера OpenID ... ой!
    так же не стоит забывать, что провайдер OpenID автоматически имеет доступ ко всем вашим аккаунтам на всех сайтах (и вполне может его предоставить, например, спецслужбам, если у них возникнет такая необходимость)

    Теперь меняем в означенном тексте "openid" на "email" и... ничего не меняется. Удивительно!
    На мыло точно так же приходят подтверждения о регистрации, а то и пароли (находим, где мыло использовалось, заходим, запускаем восстановление пароля, 99% что процедура потребует только этот же почтовый ящик).

  7. angry-elf.livejournal.com

    Надо отметить, что часть этих угроз можно исключить, если использовать OpenID как замену логину, но не паролю. В этом случае пользователь по-прежнему сможет использовать разные пароли для доступа к разным сайтам.

    А можно сделать аутентификацию на openid-сервере по клиентскому сертификату. Тогда пароль останется ровно один - при открытии пользователем браузера. Воровство этого пароля бесполезно без сертификата. Сертификат без пароля тоже бесполезен.

  8. Powerman

    С openid экономится куча тыцей :)

    Кучу тыцей Вы описали абсолютно верно. Но суть в том, что OpenID их никоим образом не отменил - сайту нужен способ обратной связи, и единственный способ убедиться что юзер указал настоящий и свой email - послать ему письмо для "активации" аккаунта. Так что ничего на самом деле не экономится.

    Теперь меняем в означенном тексте "openid" на "email" и... ничего не меняется.

    Позвольте не согласится. Во-первых нормальные сайты не присылают мне мой пароль при "активации" (даже если они сделают эту глупость, пароль обычно можно сменить на сайте).

    Во-вторых при процедуре "восстановления" пароля обычно генерируется и высылается случайный пароль - так что если кто-то эту процедуру проведёт без моего ведома, то я об этом легко узнаю т.к. мой старый пароль перестанет работать (а вернуть старый пароль они не смогут т.к. не знают его). Сайты которые вместо этого высылают текущий пароль... с этими сайтами о безопасности говорить бессмысленно, т.к. они в базе хранят пароли в открытом виде вместо хешей... т.е. не сильно заботятся о безопасности моего аккаунта.

    В-третьих даже при использовании webmail-а эти "активационные" письма обычно сразу удаляются. Хотя это, безусловно, не мешает на сервере сохранять все удалённые пользователями письма, но воспользоваться ими (чтобы узнать, где у меня есть аккаунты для проведения "восстановления" пароля) по крайней мере не сможет хакер взломавший мой email.

    В общем, увести аккаунт можно, но незаметно для меня получить к нему доступ - в большинстве случаев всё-таки нельзя.

    А можно сделать аутентификацию на openid-сервере по клиентскому сертификату.

    Это не меняет тот факт, что провайдер OpenID имеет доступ на все мои аккаунты, что у него этот доступ могут украсть (взломав) и что он его может передать сам (ментам).

    А из серии "а можно" - можно среди прочей информации о пользователе на его страничке (url которой он указывает при регистрации) выложить его PGP public key. И сайты могут присылать письма в PGP. И тогда все идут лесом - даже сделав "восстановление" пароля они не смогут узнать пароль.

  9. Yura Ivanov

    ИМХО, openid - это не уход от ввода пароля, а просто возможность подписаться в комментарии своим именем (блогом, сайтом и т.д.). Сказав таким образом, что я вот что думаю по данному поводу, и вероятно вам будет интересно знать что я еще думаю по этому и по другим поводам. Т.е. просто поменяли поле WWW на OpenID. (как в этом блоге например это произошло).

    Ну и еще openid - это модно. ага.

    Что даст, например, openid от gmail'а или от рамблера, где инфы обо мне нет, т.к. подарочный openid мне дали, а зачем он нужен и есть ли вообще никто не знает. И куда он приведет ваш сервак и за какими данными мне непонятно.

    А то, что пароль не надо вводить - это дополнительные примочки. Мне в винде тоже пароль не надо вводить, по отпечатку пальца вхожу. Какая в сущности разница будет пароль или не будет, будет он вводиться на одном сайте или на другом?
    Экономия копеечная.

    Кроме того, психологически вводить пароль от почты на сайте васи пупкина, не совсем приятно.

    OpenID далеко не у всех есть

    Именно так. Аккумуляторы тут ни при чем.

    Например.
    Есть аська, корпоративная почта, видимая только в интранете. Есть еще ящик на google, в качестве архива почты используется. Да еще есть ramblerid, чтоб в игрушки играть на рамблере и на яндексе есть аккаунт чтоб в маркете пару товаров мониторить.
    Вот и скажите, причем тут блог васи пупкина о... микроконтроллерах и зачем ему мои данные совершенно не относящиеся к теме?

    Я к тому, что каждый идентификатор уникален в рамках сервиса, а имея url, уникален в интернете. Это безусловно. Только у каждого сервиса есть свое прдназначение и каждый идентификатор ассоциирует юзера c этой подписью.

    Чего хотят добиться аккумуляторы? Да очень просто, чтоб весь инет был зарегистрирован у них, чтоб каждый пользователь интернета имел у них мыло, блог, публиковал свои фотки, хранили свои покупки, девичью фамилию матери... и только у них. До кучи и openid у них есть. Ясное дело, что если есть только акаунт на яндексе, то ясно что нажимать, но такой случай редкость.

    Чего хотят добиться комментаторы, указав openid? Да того же что они делали, указывая http://www.

    Чего хотят добиться вебмастеры, давая указывать openid? Про легкие пути уже говорили...

    OpenID не только не отменяет регистрацию, но и помогает ее организовывать.

    Либо дается слишком мало информации для заполнения регформы, либо не та, либо нам нет дела какая информация будет указана. И лишь в одном случае, когда в openid присутствует необходимая и достатачная инфа происходит упрощение.

    OpenID раскрывает анонимность, в то время как пользователь легко мог бы воспользоваться бросовым email'ом.

    Не так. "OpenID раскрывает анонимность, в то время как пользователь хотел бы представиться Львом Толстым." И мыло показывать необязательно (да оно и не показывается в 99% случаев), т.к. мыло - это односторонняя связь. Можно что-нить написать, но что-нить узнать по мылу о пользователе нельзя, ну кроме сервиса, где пользователь завел мыло. В отличие от openid&www полей.

    Не будь OpenID, мне пришлось бы опять вводить свои email и имя.

    Почему опять? Только email и имя. один раз.

  10. angry-elf.livejournal.com

    2 Alex Efros

    Я, вообще-то, говорил про взлом почтового ящика, после которого (взлома) можно гарантированно получить доступ к большинству аккаунтов на внешних сайтах.

    А можно сделать аутентификацию на openid-сервере по клиентскому сертификату.

    Это не меняет тот факт, что провайдер OpenID имеет доступ на все мои аккаунты, что у него этот доступ могут украсть (взломав) и что он его может передать сам (ментам).

    Сервер, предоставивший вам openid-аккаунт с аутентификацией по клиентскому сертификату, является, скорее всего, моим собственным :)
    Ну или доверенным центром типа paypal, webmoney, моего банка или еще кого, у которых и так есть доступ и к моим данным, и к полиции.

  11. Иван Сагалаев

    Было бы неплохо не забывать и о недостатках OpenID по сравнению с парой логин-пароль:

    • взлом одного аккаунта OpenID даст доступ сразу на все сайты, где регистрировался этот пользователь (фактически, это идентично ситуации, когда пользователь использует одинаковый логин-пароль на всех сайтах, что крайне нерекомендуется из соображений безопасности)

    О, я знал, что что-то забуду :-). Но опять-таки, это не недостаток именно OpenID. Сейчас то же самое происходит с email'ом: взлом email'а пользователя дает возможность через функцию "забыл пароль" получить большую часть его паролей.

    Кроме того, несмотря на рекомендации, большинство людей по факту везде используют одинаковые пароли. Поэтому на практике сейчас злоумышленнику достаточно получить пользовательский пароль к любому из десятков сайтов. OpenID делает это менее вероятным, потому пароль юзер пишет только на сайте провайдера.

  12. Pashka R.

    О, я знал, что что-то забуду :-). Но опять-таки, это не недостаток именно OpenID. Сейчас то же самое происходит с email'ом: взлом email'а пользователя дает возможность через функцию "забыл пароль" получить большую часть его паролей.

    Я думаю, что эти споры будут слышны еще долго. И убедить сторонников "теории заговора" в удобстве будет очень сложно.

  13. Sergey Sergeev

    такое ощущение, что никто не читает комментарии и тем более сами посты, а спешат высказать своё мнение.

    в комментах фичи OpenId пытаются вменить ему в баги и не продуманность

    можно конечно по пунктам начать опровергать, но следущий же коммент, будет снова о том же :)

    и по теме, Иван, спасибо, что есть время каталогизировать знания по OpenId

  14. Alexander Dobrolyubov

    Все думают только о пользователе и о удобстве использования универсального аккаунта, но многие забывают, что этот универсальный аккаунт под названием OpenID представляет намного меньше коммерческой ценности с точки зрения интернет бизнеса.

    Представте себе как бы себя чувствовали такие сервисы как MySpace или Facebook если бы не стимулировали email рассылками своих пользователей - они бы потеряли конкурентное преимущество. Взять наши Яндекс и Mail.ru которые тоже при всяком удобном случае стараются выслать какую нибудь открыточку или другую ненужную туфту. В америке email очень часто является ключом для входа в какой нибудь клуб покупателей, например Walmart, т.к. потом указанный email будет использоваться для рассылки всяких реклам и купонов. Примеров успешного коммерческого использования email огромное количество, с OpenID такого не происходит.

    А не происходит этого потому, что Реальному Бизнесу нужен Реальный Пользователь с Реальными Контактами, которые доступны в любое время суток, а пока OpenID не предоставляет реальных контактов (email в OpenID можно скрывать или менять) перспектив у него нет.

    OpenID в ближайшие годы не станет основным средством аутентификации, скорее он будет существовать как вспомогательное средство для привлечения новых пользователей.

  15. Pavel Reznikov

    А не происходит этого потому, что Реальному Бизнесу нужен Реальный Пользователь с Реальными Контактами, которые доступны в любое время суток, а пока OpenID не предоставляет реальных контактов (email в OpenID можно скрывать или менять) перспектив у него нет.

    Что мешает требовать от пользователя email при регистрации (первом логине)? Это писалось в комментариях не раз.

  16. Alexander Dobrolyubov

    Что мешает требовать от пользователя email при регистрации (первом
    логине)? Это писалось в комментариях не раз.

    Но тогда OpenID в большинстве случаев не нужен совсем.

  17. Кирилл Маврешко

    Собака лает, а караван идёт.

    Не так давно о присоединении к OpenID Foundation объявил Facebook. И делает он это не для галочки, а всерьёз проработав вопросы юзабилити и безопасности. И даже собирал конференцию по этому вопросу. Например, разработчики из Facebook дают советы по реализации OpenID-логина, не требующего покидать страницу (ребята из RuTube близко подобрались к этому варианту).

    Я очень не люблю апелировать к авторитетам, но часто только такими аргументами и удаётся убедить самых "упёртых". На сегодня в OpenID Foundation входят Google, IBM, Microsoft, PayPal (кто там про безопасность возмущался?), VeriSign и Yahoo. Хочется спросить противников OpenID: "Вы правда считаете себя умнее и профессиональнее специалистов этих компаний?"

    Надеюсь, кого-то это убедит лучше, чем километры рассуждений о преимуществах OpenID. Тем более, что многие комментаторы имеют более чем туманное представление о технических деталях протокола и его возможностях.

  18. Иван Сагалаев

    Немножко ответов разным людям.

    Alex Efros:

    использовать email в качестве уникального идентификатора пользователя, привязывать к нему информацию о доверии, etc. и обмениваться этой информацией с другими аналогичными сайтами. OpenID здесь никакого выигрыша не даёт

    Выигрыш в том, что подтверждение OpenID для юзера чисто интерфейсно работает проще, чем по email.

    Также почитал ваше предложение со статической страницей. На мой взгляд слишком неудобно, и пользователю (подтверждения email'а), и программисту (парсер hCard и общая неспецифицированность процесса). Но даже если это и не так, то я не вижу никакого выигрыша по сравнению с OpenID.

    Собственно, в этом наше основное расхождение: вы (гипотетически) хотите, чтобы я доказал, почему OpenID лучше, а я исхожу из того, что OpenID уже есть и работает, и (гипотетически) прошу доказать, что в нем такого плохого :-).

    Честно говоря, я не хочу никого "обращать в свою веру". Не нравится, так не нравится. Только не пишите про новые угрозы безопасности, их нет.

    Юра Иванов:

    Юра, судя по общему построению текста, ты явно со мной не согласен. Но я не понимаю, в чем :-).

    • Поменяли поле WWW на поле OpenID — да, так и есть. Очень хорошо!

    • Что даст OpenID, где нет о тебе инфы — ничего. Воспользуйся другим OpenID, где инфа есть или продолжай пользоваться этими, если не нужно.

    • Аккумуляторы хотят у себя пользователей — да, пусть хотят. Кому от этого плохо?

    • "OpenID раскрывает анонимность, в то время как пользователь хотел бы представиться Львом Толстым." — да, в этом смысл. Я хочу, чтобы люди в ЖЖ, видящие комментарий от http://softwaremaniacs.org/about/ имели все основания думать, что это правда я, а не кто-то, кто меня не любит.

    В общем, я не понял, что конкретно тебе не нравится в OpenID :-).

    Александр Добролюбов:

    Что мешает требовать от пользователя email при регистрации (первом логине)? Это писалось в комментариях не раз.

    Но тогда OpenID в большинстве случаев не нужен совсем.

    Александр, не путайте основное и побочное. Возможность потребовать email — побочная. Есть и есть. Основной смысл OpenID в другом. В едином удобном identity на разных сайтах и в отсутствии нужды придумывать новые пароли или доверять пароль каждому встречному сайту.

  19. Alexander Dobrolyubov

    Александр, не путайте основное и побочное. Возможность потребовать email — побочная.
    Есть и есть. Основной смысл OpenID в другом. В едином удобном identity на разных сайтах
    и в отсутствии нужды придумывать новые пароли или доверять пароль каждому встречному
    сайту

    Каждому встречному сайту не нужны пароли, ему нужны emailы как средство гарантированного контакта с пользователем. Паспорт с точки зрения маркетинга зачастую играет второстепенную роль.

    У OpenID нет средства гарантированного контакта.

    Если вы оставили контакт на "встречном" сайте, все он вас зацепит и отдавать этот контакт никому не захочет. Более того он вытянет из вас больше нужной ему информации и завяжет на многочисленных друзей и коммьюнити, только ради того чтобы вы никуда не ушли. OpenID на этом сайте будет играть роль мышеловки. И, к моему сожеланию, пока от этой стратегии не собираются отказываться, в том числе и "эксперты из компаний гигантов".

    И пока OpenID не решит проблему гарантированной связи с пользователем успеха он не будет иметь.

  20. [...] деякого періоду в мережі з'явилась ще одна стаття схожої тематики від Маніакального Веблогу. Варто [...]

  21. Сергей Шепелев

    Александр Добролюбов, я недавно как вчера имел длительный секс с добавлением OpenID авторизации в движок своего блога и могу вас совершенно точно уверить - там есть средство гарантированного контакта, ага.

    Вы можете при запросе SREG сказать, что вот эти ('nickname', 'fullname') поля опциональны, а вот эти ('email',) совершенно обязательны.

    Очевидно, что дальнейшие проблемы лежат на совести OpenID провайдера - он может и не выдать вам так непременно затребованную почту, но это точно так же как пользователь укажет левый адрес. Просто вы можете доверять большому честному провайдеру и недоверять каждому встречному юзеру. Опять же выгода.

  22. Powerman

    Иван Сагалаев: Но опять-таки, это не недостаток именно OpenID. Сейчас то же самое происходит с email'ом: взлом email'а пользователя дает возможность через функцию "забыл пароль" получить большую часть его паролей.

    Как я уже писал, как правило "забыл пароль" приводит к смене пароля, т.е. владелец аккаунта легко обнаруживает что кто-то использовал его аккаунт. Кроме того, OpenID провайдер может отличаться от провайдера webmail-а - в этом случае вместо одной точки, которую хакеру нужно взломать, у него оказывается выбор из двух - да, поверьте, этот фактор тоже уменьшает безопасность.

    Иван Сагалаев: Кроме того, несмотря на рекомендации, большинство людей по факту везде используют одинаковые пароли. Поэтому на практике сейчас злоумышленнику достаточно получить пользовательский пароль к любому из десятков сайтов. OpenID делает это менее вероятным, потому пароль юзер пишет только на сайте провайдера.

    Да, об этом я не подумал. Согласен. Для пользователей, которые не заботятся о своей безопасности, OpenID действительно повышает безопасность. Но для пользователей, которые заботятся о своей безопасности OpenID понижает безопасность. Парадокс, а? Внимание, риторический вопрос: правильно ли усилить безопасность тех, кому она не нужна, ослабляя при этом её у тех, кому она нужна?

    Pashka R.: И убедить сторонников "теории заговора" в удобстве будет очень сложно.

    При чём тут теории заговора? OpenID увеличивает удобство, это факт. И уменьшает при этом безопасность, это тоже факт. Работа в винде под аккаунтом "администратора" - типичный пример отказа от безопасности в пользу удобства.

    Сергеев Сергей: можно конечно по пунктам начать опровергать, но следущий же коммент, будет снова о том же :)

    Можно, конечно, много говорить о возможности опровергать, особенно если опровергать нечем. Кстати, это типичный приём троллей.

    Kirill Mavreshko: Хочется спросить противников OpenID: "Вы правда считаете себя умнее и профессиональнее специалистов этих компаний?"

    Детский сад. Я Вам конкретные примеры привожу, и с удовольствием послушаю, в чём именно я ошибаюсь. А что касается этих "специалистов" - можно пруфлинк, где они утверждают что OpenID не уменьшает безопасность по сравнению с традиционным подходом? Желательно с подробным анализом и сравнением угроз и векторов атак - ведь они же специалисты!

    Иван Сагалаев: Выигрыш в том, что подтверждение OpenID для юзера чисто интерфейсно работает проще, чем по email.

    Согласен. Проблем только две: 1) если сайту всё-таки нужен email юзера (99.5% используемых/виденных лично мной сайтов, по крайней мере сложилось именно такое субъективное впечатление), то подтверждать придётся и email и OpenID; 2) выше упомянутое ослабление безопасности.

    Иван Сагалаев: Также почитал ваше предложение со статической страницей. На мой взгляд слишком неудобно, и пользователю (подтверждения email'а), и программисту (парсер hCard и общая неспецифицированность процесса). Но даже если это и не так, то я не вижу никакого выигрыша по сравнению с OpenID.

    Я предполагал, что парсер hCard или чего-то подобного будет иметь место в любом случае, т.к. из SRE пока много не вытянешь. Поэтому переход от hCard+OpenID к просто hCard при сохранении той же функциональности - это упрощение, что есть гуд.

    Выигрыш по сравнению с OpenID заключается не в дополнительных фичах, а в том, что уровень безопасности не уменьшится.

    Иван Сагалаев: ... прошу доказать, что в нем такого плохого :-) ... Только не пишите про новые угрозы безопасности, их нет.

    :) А больше в OpenID ничего плохого нет. Я сам им с удовольствием пользуюсь. Просто я использую свой собственный провайдер OpenID, запущенный на моей рабочей станции. В таком виде, лично для меня, никаких дополнительных угроз безопасности использование OpenID не создаёт - если взломают мою машину (Hardened Gentoo :)) меньше всего меня будет беспокоить получение хакером доступа к блогам, на которых я комментирую через OpenID.

  23. Powerman

    Сергей Шепелев: ... там есть средство гарантированного контакта, ага.

    Увы, нет. Средством гарантированного контакта указанный пользователем email обычно становится не раньше, чем пользователь этот email подтвердит. Так что без дополнительного подтверждения принимать email полученный через OpenID/SRE будут только те сайты, которые и сейчас не высылают писем с требованием подтвердить свой email.

  24. Кирилл Маврешко

    Alex Efros: Детский сад. Я Вам конкретные примеры привожу, и с удовольствием послушаю, в чём именно я ошибаюсь.

    По-моему, вашу критику OpenID уже разнесли предыдущие комментаторы. Вам показали, что использование email не является ни более удобным, ни более безопасным. А предложенная "альтернатива" в виде HTML-страницы с email'ом прекрасно заменяется SRE, да и тот же hCard никто не запрещает использовать.

    А что касается этих "специалистов" - можно пруфлинк, где они утверждают что OpenID не уменьшает безопасность по сравнению с традиционным подходом? Желательно с подробным анализом и сравнением угроз и векторов атак - ведь они же специалисты!

    Да пожалуйста! Анализу атак и методам защиты посвящён целый раздел спецификации. Судя по тому, как упорно вы спорите, вы даже не удосужились посмотреть её хотя бы по диагонали. Я уж не говорю о десятках статей, которые прекрасно находятся гуглом. Получается что-то вроде "Вашего Пастернака не читал, но осуждаю".

    Можно, конечно, много говорить о возможности опровергать, особенно если опровергать нечем. Кстати, это типичный приём троллей.

    Ваши слова?...

    Поймите, вас никто не уговаривает. Почитайте спеки, пошастайте по сети - аргументов уже полно. Всё расписано и разжёвано. Я даже удивляюсь, что Иван ещё нашёл терпение сделать эту замечательную подборку мифов. Большое ему за это спасибо!

  25. denger

    Alex Efros, какой толстый тролль

    взлом одного аккаунта OpenID даст доступ сразу на все сайты, где регистрировался этот пользователь (фактически, это идентично ситуации, когда пользователь использует одинаковый логин-пароль на всех сайтах, что крайне нерекомендуется из соображений безопасности)

    взлом аккаунта OpenID даёт возможность зарегистрироваться от имени этого пользователя в любой системе, что может использоваться в самых разных целях

    взлом провайдера OpenID ... ой!

    так же не стоит забывать, что провайдер OpenID автоматически имеет доступ ко всем вашим аккаунтам на всех сайтах (и вполне может его предоставить, например, спецслужбам, если у них возникнет такая необходимость)

    как уже сказали выше, абсолютно то же самое можно сказать о почте. Допустим у нас есть почта и опенайди на йандексе.

    При авторизации через почту на сайте я вношу логин, пароль, почту.
    Приходит письмо, я нажимаю на ссылку внутри.

    При авторизации через опенайди я вношу УРЛ, открывается страница с подтверждением от опенайди-провайдера.

    Если сайт зверски хочет мой е-майл для рассылки спама - его можно получить от openid-провайдера или занести вручную. если потребуется проверка мыла - ну придется нажать на ссылку в письме.

    При этом openid заменяет пароль, что не может не радовать, да и вообще процедуру ускоряет.

    Вы настаиваете на увеличении безопасности "распределением безопасности", т.е. десять сайтов, на каждом свой параноидальный пароль и мыло для восстановления пароля и рассылки спама. Если взломают один-два сайта — ну и хрен с ним, не жалко. Зато остальные целые. Мыло взломать невозможно, это аксиома. И mail-провайдер в принципе не может подсмотреть почту.

    В openid централизованная структура. Если беречь пароль openid-провайдера, то всё будет хорошо. Учитывая ненадобность хранения других паролей, это безопасней почты.

  26. h-po.ya.ru/

    В общем,ясно - будем поглядеть,как говорят в одном южном городе...

  27. Сергей Шепелев

    Alex Efros,

    Увы, нет. Средством гарантированного контакта указанный пользователем email обычно становится не раньше, чем пользователь этот email подтвердит. Так что без дополнительного подтверждения принимать email полученный через OpenID/SRE будут только те сайты, которые и сейчас не высылают писем с требованием подтвердить свой email.

    Вы осознаёте, что ни один серьезный OpenID провайдер не покажет консумеру почту юзера, пока сам не проверит её?

    Это как раз бонус - вебмастеру не надо заботиться о проверке почты в случае, если он доверяет провайдеру. Таким образом, я доверяю 99% OpenID. А вот адреса предоставляемые сомнительными провайдерами, можно проверять, да. И если они не настоящие - публиковать таких провайдеров говном.

    Опять же, децентрализация на благо общества.

  28. Иван Сагалаев

    Вы осознаёте, что ни один серьезный OpenID провайдер не покажет консумеру почту юзера, пока сам не проверит её?

    Я бы не сказал, что это принятая практика. Например у нас на openid.yandex.ru можно ввести любой адрес. Фактически считается, что это ровно то, что пользователь сам хочет сказать консумеру.

    На самом деле, Алекс Эфрос совершенно прав, что если сайту нужен гарантированно рабочий email, то он должен (и будет) его проверять. Я только не понимаю, почему из этого он неявно выводит, что OpenID бесполезен :-). У OpenID, как у HTTP-адреса все равно гораздо больше применений, чем у только email'а. То есть он расширяем, а email — нет.

  29. Иван Сагалаев

    Alex Efros:

    Но для пользователей, которые заботятся о своей безопасности OpenID понижает безопасность. Парадокс, а?

    Парадокс только в такой постановке. Если человек настолько заботится о своей безопаности, то он может на своем собственном OpenID-сервере вообще отказаться от парольной авторизации.

    Например, я недавно раздумывал о том, что можно для авторизации распечатать на листок последовательность случайных чисел, и ее же положить на сервер. Каждый раз при авторизации будет использоваться новое случайное число. При поимке спецслужбами листок необходимо быстро съесть и переварить :-).

    В OpenID способ авторизации вынесен за рамки спецификации как раз для обеспечения любой стойкости, какая нужна юзеру.

  30. Сергей Шепелев

    Иван, однако вы меня расстроили.

    По-моему это так естественно, что провайдер показывает консумеру проверенную почту...

    ну ладно, хорошо что myopenid и гугля проверяют.

  31. Иван Сагалаев

    Вообще, включить валидацию email'ов у нас выполне возможно. Я просто не думал, что это в принципе нужно. Но теперь подумаю :-).

  32. Yura Ivanov

    Иван, ты сделал вывод на основании трех плюсов, которые по большому счету не плюсы, а так примочки... И вывод этот - дефолтовый вход (а может и единственный) по openid. Такой экстремизм обязан вызывать отторжение, по крайней мере у меня вызвал.

    Я привел примеры случаев, когда openid не то что полезен но и вреден, как преумноженная сущность. Использование этих чудо-кнопок разных провайдеров теряется для "не гиков", ибо гики и так знают что такое openid, вводя мирных пользователей в заблуждение. А если будет openid only, на каждый вход будет создаваться отдельный аккаунт, т.к. на яндексе пользователь max зарегистрирован уже, а про max34753847 забудут как только ты дашь войти. И кому от этого будет легче?

    У меня вот нет openid (читай блога, сайта и т.д.), который был бы по теме твоего блога. Поэтому я не подписываюсь всеразличными openid аккаунтами, которых мне надавали на просторах инета. Кроме того, считаю создание openid-дора обманом, если хотите.

    Если человек подписался в комментарии url'ом, значит он хочет чтобы туда кто-то пришел... А если там вечный ундеркострукшин или блог про светлячков, то какая-то фигня получается, а не ссылка по теме. Это если рассматривать openid со стороны посетителей.

    А со стороны провайдеров я уже сказал - это борьба за популярность сервиса не имеющая отношения к юзабилити.

  33. Олег

    Иван Сагалаев:

    Вообще, включить валидацию email'ов у нас выполне возможно. Я просто не думал, что это в принципе нужно. Но теперь подумаю :-).

    Я тоже подозревал, что порядочные провайдеры проверяют email. Иван, пока зачисляю вас в список непорядочных :)

    У OpenID, как у HTTP-адреса все равно гораздо больше применений, чем у только email'а. То есть он расширяем, а email — нет.

    OpenID полезен, просто не надо фанатить и пытаться его использовать везде. Иногда его используют там где использование его бесполезно. Но я опишу пример полезного применения OpenID. Год назад перед нами (js-kit.com) стояла задача выдать права на модерацию и т.п. для нескольких пользователей, в то время как сайт привязан к конкретному логину. И именно через OpenID это оказалось сделать проще. Админу достаточно ввести OpenID модератора и наделить его определенными правами. Подобную реализацию для email мы тоже планировали сделать, но сначала на это не было времени, а потом оказалось что для тех кому нужен множественный доступ к модерации не является проблемой завести OpenID аккаунты.

    И раз я уж упомянул js-kit.com хочу заметить, что OpenID это не единственный инструмент ухода от логин-парольной схемы, есть OAuth, Facebook Connect и т.п.

  34. arty

    И раз я уж упомянул js-kit.com хочу заметить, что OpenID это не единственный инструмент ухода от логин-парольной схемы, есть OAuth, Facebook Connect и т.п.

    OAuth тут совершенно не в кассу, он для делегации полномочий юзера другому сайту

    Facebook Connect нифига не распределённый. Хотите новый vendor lock?

  35. Sergey

    Автору большое спасибо за такой пост, очень информативно :)
    openId открывает большие возможности, вплоть до централизованного управления своими аккаунтами, но спамерам он так или иначе будет на руку...

  36. angry-elf.livejournal.com

    OpenID не дает спамерам каких-либо дополнительных преимуществ сверх того, что они имеют сейчас.

  37. Sergey

    Разве? То есть по вашему заполнить 1 поле или заполнить 10 полей для автоматики одинаково по сложности?

    Ставьте капчу, но успрощение регистрации для юзера = упрощение регистрации для автомата

  38. Иван Сагалаев

    Разве? То есть по вашему заполнить 1 поле или заполнить 10 полей для автоматики одинаково по сложности?

    Сергей, ровно про это есть отдельный вопрос и ответ в посте.

    Откуда вообще идея, что регистрация по OpenID заканчивается вводом OpenID?

  39. Sergey

    Откуда вообще идея, что регистрация по OpenID заканчивается
    вводом OpenID?

    А чем она заканчивается? Один раз хорошо составленный профиль OpenID дает возможность не заполнять остальные поля, а значит упрощает регистрацию. Что именно вы имеете ввиду?

    Я вижу только описание про капчу и:

    Только в случае OpenID все несколько свободней: не нужно
    никакой центральной организации, чтобы завести себе паспорт и
    начать им пользоваться, собирая для него доверие.

    Обмен информацией между сайтами? Интересно, как это будет работать и кто не даст возможность создавать OpenID сотнями и тысячами

  40. Kira

    а мне понравилась идея, только вот я не согласен что у многих оно есть. В т.ч. не у каждой "блондинки" есть ЖЖ или почта на яндексе (скорее mail.ru), все таки это немного гиково, имхо...

  41. Sergey

    mail.ru тоже может сделать OpenID

  42. Иван Сагалаев

    А чем она заканчивается? Один раз хорошо составленный профиль OpenID дает возможность не заполнять остальные поля, а значит упрощает регистрацию.

    А что сейчас делается для защиты от спама при регистрации без OpenID? Та же капча и делается. Премодерация делается. Honeypots расставляются.

    Мой поинт в том, что большое количество обычных полей для робота не является препятствием. Что они заполняются по SRE, что они будут заполняться роботом просто так — никакой разницы. Серьезно, с этой точки зрения OpenID отличается от традиционной формы только тем, что он заменяет собой пару логин/пароль.

    Вот что интересней, это то, что с использованием OpenID появляются новые способы борьбы со спамом. Например social whitelisting. Впрочем, я еще собираюсь написать про это.

  43. Vooon

    По большей части так и выходит, что openid нужен только для комментариев.

    А для успокоения своей паранойи можно поднять свой сервер.
    Как я и поступил, благо в byteflow уже есть встроенный сервер :)

  44. Kira

    может, не спорю. Но пока нету, да я и не беру в разрез именно mail.ru. Просто все равно надо учитывать тех пользователей у которых нету openid, мне кажется их не такое огромное меньшинство...

  45. Sergey

    Серьезно, с этой точки зрения OpenID отличается от
    традиционной формы только тем, что он заменяет собой пару
    логин/пароль.

    Но помимо замены он несет изменения в процессе регистрации, который ключевой для спамеров. Я не против OpenID, мне как пользователю наоборот нравится.

    появляются новые способы борьбы со спамом

    Война продолжается, пора рыть окопы :)

  46. Иван Сагалаев

    Но помимо замены он несет изменения в процессе регистрации, который ключевой для спамеров.

    Я не понимаю, какие :-). Сравните:

    Вот спамер пишет робота для регистрации в стандартной форме какого-нибудь форума. Робот заполняет логин и пароль случайными значениями, а в email вводит свой специальный зарегистрированный аккаунт, который парсит письма от форума и переходит по ссылке подтверждения.

    Вот спамер пишет робота для регистрации в стандартной форме какого-нибудь форума. Робот в OpenID вводит свой специальный зарегистрированный аккаунт, который подтверждает себя на любой запрос.

    Видно, что вся разница — в коде генерации логина и пароля. Это элементарная задача.

  47. Sergey

    Видно, что вся разница — в коде генерации логина и пароля.
    Это элементарная задача.

    А как быть с:

    Не будь OpenID, мне пришлось бы опять вводить свои email и
    имя.

    Вы же сами писали в посте о SRE, о то что пользователь по желанию может отдать информацию, на методы новые ссылку давали, где говорится о рейтинге, обмене информацией и т.п., а теперь мне говорите, что тут только в логине и пароле дело, странно получается.

  48. Иван Сагалаев

    Ничего странного :-). Мне, как человеку удобно, что эти поля подставляются из SRE, потому что иначе мне пришлось бы это делать руками. А роботу абсолютно все равно, подставятся они или он их будет заполнять каждый раз. У программы отсутствуют понятия "лень" и "надоело" :-).

  49. Sergey

    У программы отсутствуют понятия "лень" и "надоело" :-).

    Вот, но у программы ошибки гораздо чаще встречаются, а тут ей все заполнят. Вот о чем я говорю ;) Так что ему далеко не все равно

    Только поменяв имена полей или сделав их нелогичными можно сбить ее с толку, а тут она просто не будет заполнять, да и поля нельзя путать а то сам OpenID запутается.

  50. Иван Сагалаев

    Юра Иванов:

    Иван, ты сделал вывод на основании трех плюсов, которые по большому счету не плюсы, а так примочки... И вывод этот - дефолтовый вход (а может и единственный) по openid. Такой экстремизм обязан вызывать отторжение, по крайней мере у меня вызвал.

    Ну по мне-то это не примочки. Людям с ним реально удобней, повышение общей безопасности интернета для юзеров — вообще святая задача. А мне больше всего интересно распространить эту практику, чтобы действительно можно было делать всякие интересные многосайтовые вещи, основываясь на общем identity.

    У меня вот нет openid (читай блога, сайта и т.д.), который был бы по теме твоего блога. Поэтому я не подписываюсь всеразличными openid аккаунтами, которых мне надавали на просторах инета.

    Ах вот в чем дело... Ну тут ты Сам Себе Злобный Буратино :-). Не трогая слов типа "неправильно", я могу точно сказать, что с такой трактовкой OpenID не встречался никогда. OpenID — это не содержимое твоего комментария и не рекламная ссылка. Поэтому он вообще никак не связан с темой сайта, на котором ты его используешь. Он просто обозначает человека. Если там написано про человека что-то интересное, то это тоже не обязано иметь никакого отношения к тому, где он этим идентификатором подписывается. Больше того, если человек будет везде подписываться разными адресами, то смысл единого идентификатора теряется.

    Другими словами, если хотеть пользоваться OpenID, как хочешь ты — да, это неудобно.

  51. [...] ссылку на тему OpenID и всяких мифов с ним связанных на Маниакальном Веблоге. Если кратко, то вы регистрируетесь один раз, к примеру [...]

  52. Yura Ivanov

    Если там написано про человека что-то интересное, то это тоже не обязано иметь никакого отношения к тому, где он этим идентификатором подписывается.

    Ну и какой тогда смысл мне как посетителю видеть эти серо-оранжевые значки? Если считать, что интернет придуман для роботов, то в принципе я тут действительно зря распинаюсь. А то, что меня завут Юра и фамилия у меня Иванов интересно наверное только мне, и тебе чтоб добавить меня в белый список (с openid добавление в белый список у тебя идет автоматом, кстати?). Владельцев других миллионов openid адресов мои данные как и меня их фио не интересуют.

    Не "по теме твоего блога", не так выразился, а хотя бы относился к айтишной области, ибо айтишники часто читают и комментируют смежные области, да и вообще развлекательных ресурсов у меня нету... Здесь полезные ссылки искать среди подписей перестал. Замена www на openid прошла с искажением. Это печалит.

    А буратина я себе давно и не жалко :-)

    ЗЫ Про многосайтовые вещи у меня есть реальная проблема в багтраке с универсальным идентификатором (будь то openid или что-либо другое, мыло или телефон). Для владельца нескольких сайтов один и тот же посетитель и должен и не должен иметь одинаковые привилегии. Т.к. сайты могут конкурировать друг с другом, могут дополнять друг друга, а могут быть в полярных областях и никак не должны быть связаны. В таких случаях проблема есть и в на стороне движка и на стороне бэкофиса и на стороне посетителя. Короче, с многосайтовостью тоже не все так просто.

  53. Иван Сагалаев

    Ну и какой тогда смысл мне как посетителю видеть эти серо-оранжевые значки?

    Этот вопрос аналогичен вопросу "зачем людям знакомиться, они друг про друга ведь ничего не знают к моменту знакомства". Эти значки означают конкретного человека. Один только факт сопоставления "я этого чувака уже видел вот там" уже несет полезную информацию.

    Для владельца нескольких сайтов один и тот же посетитель и должен и не должен иметь одинаковые привилегии.

    Не путай аутентификацию с авторизацией. OpenID нужен только для первого. То, что на разных сайтах одному и тому же identity сопоставляются разные права — это вполне естественно. Это уже область OAuth, кстати :-)

  54. Yura Ivanov

    Ты, наверное, не поверишь, но я не знал как тебя зовут как минимум года два. Это не мешало общаться...

    Да я не путаю эти два "а", вопрос непростой в любом случае. Семантика, завязанная на уникальный идентификатор, не всегда укладывается в схему. Схему расширять приходится, а натуральные ключи по нескольким полям никогда не любил :-)

  55. Иван Сагалаев

    Ну причем тут как зовут... Тогда моя identity воспринималась примерно как Maniac@news:mtu.inform, но она была. Это как раз иллюстрирует то, что я хочу сказать: нужны уникальные признаки, чтобы отличать одних людей от других.

  56. Imbolc

    Думаитси мну, 95.7% читающих это блог джангируют хотябы на досуги. Иван, вот если бы ты выложил готововый джанга-апп реги с использованием опен-ид, было бы убедительнее в разы. Я бы, точно заюзал. По дефолту бы только поставил "войти как юзег гугли", а то от яндекса чем-то до боли родным потягивает, типа патриотизма :)

  57. angry-elf.livejournal.com

    Судя по комментам, 95.7% пищущих комменты вообще не в курсе, что такое openid...

  58. sergeykish.com/

    Множество комментаторов считают нормальным использование Email в качестве логина. Это распространенная практика, но почему она должна считаться нормальной?

    Email это средство общения. Такое же как и Jabber, Skype, SMS, телефон, почта, домашний адрес. А идентифицирует меня паспорт и ИИН. Глупо разбрасывать что-либо из этого списка где попало.

    Авторизация необходима для идентификации пользователя. Если пользователь использует один браузер мы можем хранить информацию в куке. В противном случае можно использовать связку логин+пароль.

    Единственное предназначение Email - восстановление пароля. То есть в некой светлой голове родилась идея "пользователь может забыть пароль от нашего сверхценного сайта, нельзя это допустить!" и поставил обязательным (!) поле email. А затем добавил проверку регулярным выражением и в довершение - регистрацию через Email.

    Только почему этот человек не подумал что я не захочу терять пароль? А если потеряю - он был не важен, и могу создать новую связку логин+пароль.

    И тут мы подходим к вопросу "гарантированного средства связи". Под видом средства для восстановления пароля сайт получает Email. А мы - спам. То есть в мое средство общения начинают литься потоки виагры, поддельных роллексов, стучатся дети африканских королей.

    В лучшем случае это можно назвать распространением новостей. Но RSS с этой задачей справляется лучше - единый интерфейс добавления и удаления источника, огромный спектр средств просмотра, а главное - без моего желания никто не может добавить свою ленту.

    Я желаю использовать средство общения как средство общения. Ресурсы требующие Email выглядят как минимум устаревшими, максимум - подозрительными. Средство контакта я оставляю сам. Остальные получают ящик посещаемый раз в месяц.

    И напоследок

    Email есть у всех, а OpenID нужно получить

    Люди поподая в сеть заводят Email исключительно для регистрации.

    Email - уникальный идентификатор

    Не совсем - не у меня один ящик используется как средство общения, а еще пара - как средство регистрации.

  59. sergeykish.com/

    И ведь только упомянул RSS.
    Что это за обязательное поле Email при добавлении комментария?

  60. Иван Сагалаев

    Что это за обязательное поле Email при добавлении комментария?

    Это стандартное поведение WordPress'а. Самому не нравится, но пока не могу с этим ничего поделать. Извините :-)

  61. Сергей Шепелев

    Кстати это поле даже не используется для уведомления о новых комментариях.

  62. Ilnur

    Внесу и я свои пять копеек. Что может позволить openid.
    Белые, серые и черные списки общие для нескольких дружественных друг другу сайтов.

    Пусть есть несколько сайтов которые вобщем доверяют друг другу, тогда они могут поддерживать общие списки для этих сайтов.

    Белый список: люди которые зарекомендовали себя как нормальные и адекватные лица на одном или нескольких сайтах, от которых можно не ожидать спама и т.п. Эти лица могут попадать под минимальную модерацию или вообще без модерации. Также относительно свободно входить без дополнительных потверждений, если лицо еще не разу не было на конкретном сайте, но было на других.

    Серый список: основная масса пользователей. Эти лица попадают под обычную модерацию или постмодерацию.

    Черный список: явные спамеры и троли и т.п. Эти лица либо явно блокированные или только через предмодерацию.

    Конечно можно и через маил это реализовать, но через openid видимо будет проще.

  63. VVVas

    Такое вот свое мнение, почему я (пользователь-недокомпьтерщик) не пользуюсь openid:

    • его нет на сайте который я посещаю.
    • в качестве ника указывается адрес openid, а не ник.
    • самая важная для меня причина нет мест где я мог бы попробовать испытать эту систему, пощупать. Я хочу проверить действительно ли я могу контролировать то, что получает форум, блог и т.д., я хочу проверить, что именно он получает и могу ли я это отредактировать (потом или во время регистрации/входа) и прочее проверить.
    • я хочу что бы оно считывало из hCard всё что можно и предлагало убрать лишнее.
  64. Temiy

    Иван Сагалаев

    Честно говоря, я не хочу никого "обращать в свою веру". Не нравится, так не нравится. Только не пишите про новые угрозы безопасности, их нет.

    Ну как же нет то? Если взламывают мой пароль на сайте где была авторизация по email/pass, то я теряю доступ к конкретно этому сайту. А если взламывают мой пароль на openid, то я теряю доступ ко всем сайтам которыми пользовался через openid.

    Сразу появляется дыра в безопасности, как если бы я пользовался одним и тем же паролем на всех ресурсах.

  65. VVVas

    Если взламывают мой пароль на сайте где была авторизация по email/pass, то я теряю доступ к конкретно этому сайту. А если взламывают мой пароль на openid, то я теряю доступ ко всем сайтам которыми пользовался через openid.

    Сравнение не корректно. Если вы говорите об openid сервере, то сравнивать надо с почтовым сервером. Если вы говорите о взломе конечного ресурса, где вы зарегистрированны, то при использовании пары логин-пароль - вы палитесь по полной (только не говорите, что для каждого ресурса выдумываете уникальный мегапароль), а при использовании openid - узнается адрес openid, который и так никто не скрывал.

    Дальше тоже есть мысль, но грамотно ещё не сформулировал её.

  66. Temiy

    Сравнение не корректно. Если вы говорите об openid сервере, то сравнивать надо с почтовым сервером.

    С чего бы это вдруг? Я вижу ваш логин, захожу на вашу страницу, достаю вашего openid провайдера (http://openid.yandex.ru/vvvas/) и иду подбирать ваш пароль (ну или просто пытаюсь авторизоваться под вами и меня перенаправляют на openid). В случае с openid здесь нет конечного ресурса который надо взламывать, а есть только openid.

    ...(только не говорите, что для каждого ресурса выдумываете уникальный мегапароль).

    За меня это делает KeePassX. Но я, конечно, грешен и использую одинаковые простые пароли для сайтов однодневок за регистрацию на которых душа не болит.

    ...а при использовании openid - узнается адрес openid, который и так никто не скрывал.

    Так же как и login. Не email, заметте! Email чаще скрывают.

  67. Sem

    Перламутровые пуговицы

    Недавно обеспокоился проблемой моей сетевой многоликости. Составил небольшой документ, куда попало более 80 сайтов, форумов, игр и прочих сервисов в которых я регистрировался по тем или иным причинам. Помимо множества различных паролей (зачастую приходится прибегать к средствам восстановления пароля, для того и решил составить список) есть и множество различных логинов. Некоторые сайты требуют их без пробелов, или только маленькие буквы, некоторые не работают с определёнными почтовыми серверами, или кто-то своим присутствием доказывает, что я не оригинал.

    Что я хотел бы взамен

    Ссылку на себя как личность. Сейчас у меня есть ссылка типа "Я на почте Яндекса" или "Я игрок в Шахматы на сайте Chess.com" или "Я здесь владелец кошелька PayPal". Хочется сказать просто: "Это Я!". А остальное это мои параметры, приложение ко мне, мои характеристики, а не основное определение. Я есть совокупность всех этих параметров, а не каждый из них по отдельности.

    О насущном

    Сертификаты выдаёт центр сертификации, которому ты доверяешь и хочешь пользоваться. Паспорт выдаёт государство, гражданином которого ты хочешь являться. OpenID выдаёт любой Вася Пупкин, который читал блог "Как это делать?" и которому ты решил довериться...

    Когда первый раз услышал про OpenID, думал что это интернет паспорт который-то мне и нужен, но оказалось это сущность более предназначена для организации труда по развитию этой сущности и генерации знаний, нужных только для этой сущности. Ведь всё было придумано до нас. OpenID замена пары логин+пароль. Ни чем революционно не лучше и не хуже. Просто замена.

    Можно было и раньше в качестве логина давать не никнейм, не почту, а ссылку на сайт. Да, OpenID не позволит от вашего имени что-нибудь писать на сайте, где вы ещё не зарегистрировались, потому что ссылка уникальна. Подделать её, как и почту, можно только взломав провайдера услуг.

    Можно было и раньше пользоваться различными программами по заполнению форм и хранению паролей. Да, OpenID позволяет их хранить в интернете, и даже цунами, разрушившее твою квартиру вместе с бакапами системы, теперь тебя не лишит доступа к нужным тебе сервисам.

    Я разочарован. Будем искать. :)

  68. Temiy

    Я тоже разочарован в OpenID =).

    OpenID замена пары логин+пароль. Ни чем революционно не лучше и не хуже. Просто замена.

    В том то и проблема, что это не замена. OpenID без регистрации с подтверждением по email или ещё как-то == анонимный пользователь. Обратите внимание, что комментирование например в ЖЖ чаще всего закрыто для OpenIDшников.

  69. Ivan Sagalaev

    В том то и проблема, что это не замена. OpenID без регистрации с подтверждением по email или ещё как-то == анонимный пользователь.

    Боже мой, да перестаньте уже этот FUD распространять, а? На этот вопрос в статье есть конкретный ответ. В комментариях тоже тему обсосали. Если вам этого как-то недостаточно, давайте разберемся. Но перестаньте, пожалуйста, твердить одно и то же заблуждение.

    Обратите внимание, что комментирование например в ЖЖ чаще всего закрыто для OpenIDшников.

    Вы их и правда считали? Я частенько встречаю и закрытые и открытые комментарии. И главное, даже если, закрытых было бы больше, что это показывает? Что каждый ЖЖист, не открывший комментарии по OpenID, подробно изучил вопрос и сделал сознательный технически грамотный выбор? Я вас умоляю...

  70. Temiy

    Я вижу вас эта тема прям за живое задевает, и похоже вас уже невозможно переубедить, не буду разводить пустой холивар.

  71. Flashr

    Некоторые комментарии по статье, а не по комментам:

    Сейчас, когда большинство аккумуляторов пользовательских аккаунтов работают как OpenID-серверы

    Они, как и Яндекс, паразитируют на OpenId, выдавая информацию по OpenID, но не принимая. То есть я не могу залогинится в яндекс по своему OpenId. Эта практика обусловлена желанием завлечь к себе как можно больше пользователей.

    у OpenID есть дополнение под названием SRE

    У Яндекса какая-то кривая реализация этого, в частности в багтракинге dotnetopenid библиотеки очень много веток было открыто, в связи с тем, что именно с яндексовским SRE, что-то не работает. Чего стоит только одна необходимость отключения безопасного парсинга http заголовка. (httpWebRequest useUnsafeHeaderParsing="true")

    через pavatar, gavatar

    Если Вы зотите выглядеть экспертом в OpenID, то забудте про эти сервисы, которые не удовлетворяют требованиям децентрализованного обмена информации. Также непонятно при чем тут микроформат "hCard", может имелось ввиду "vCard"?

    а также всю социальную сеть пользователя через FOAF или XFN. Другими словами, OpenID существенно более информативен, чем email

    Не согласен. Но не буду раскрывать ссуть, а то Яндекс, у которого полно мыл, возмет на вооружение и опять реализует все на свой лад.

    В остальном хорошо написали.

  72. Ivan Sagalaev

    Они, как и Яндекс, паразитируют на OpenId, выдавая информацию по OpenID, но не принимая.

    Почему "паразитируют"? Для Яндекса предоставить OpenID своим существующим пользователям действительно проще, чем сделать некий универсальный доступ по OpenID к сервисам. Просто потому, что последнее требует формирования вдумчивой политики по этому поводу. Но слово "паразитируют" означает, что Яндекс этим самым получает какую-то выгоду, не принося никакой пользы сообществу. Я не в состоянии увидеть, в чем это заключается.

    У Яндекса какая-то кривая реализация этого, в частности в багтракинге dotnetopenid библиотеки очень много веток было открыто, в связи с тем, что именно с яндексовским SRE, что-то не работает.

    Простите, это FUD. "Что-то не работать" в SRE может с любой стороны, здесь надо разбираться конкретно. Я помню только два тикета по поводу .NET'овской библиотеки. По обоим мы общались с разработчиками и, помнится, обе проблемы решили.

    Мне, как менеджеру этого сервиса, регулярно приходят вопросы и баг-репорты про его работу. Все что сломано, мы чиним. Пишите пожалуйста к нам в суппорт.

    через pavatar, gavatar

    Если Вы зотите выглядеть экспертом в OpenID, то забудте про эти сервисы, которые не удовлетворяют требованиям децентрализованного обмена информации.

    Я и так эксперт, зачем мне "выглядеть"? :-).

    По сути. Pavatar — децентрализованная технология, и вообще говоря, является идеальным компаньоном для OpenID. Gravatar — централизованная, да. Но OpenID никаким образом не накладывает такого ограничения, вы его придумали себе сами. Проще говоря, ничто не мешает консумеру, получив через SRE email, попытаться узнать по нему gravatar.

    Также непонятно при чем тут микроформат "hCard", может имелось ввиду "vCard"?

    Имелся в виду hCard. Она вполне удачно применяется.

    Не согласен. Но не буду раскрывать ссуть, а то Яндекс...

    Теории заговора я здесь не поощряю.

  73. Flashr

    Почему "паразитируют"?

    Статья в тему - http://www.sitepoint.com/blogs/2008/10/30/the-single-sign-on-war-will-ruin-openid/ , на которую ссылался Фицпатрик.

    Пишите пожалуйста к нам в суппорт

    =( Пишу, еженедельно, зачем правда до сих пор не пойму. Сейчас застряли на том, что я прошу поменять всюду написание "блоГГер" на правильное "блоГер". Но видимо, они считают себя еще большими "экспертами".

    Pavatar

    да, извиняюсь. почитал.

    Имелся в виду hCard. Она вполне удачно применяется

    кк, теперь понял, что имелось ввиду. Такое решение я бы не стал поддерживать, как и микроформаты вцелом. Ввиду того, что я сторонник отделения вывода для отображения и для автоматической обработки.

  74. Александр Соловьёв

    поменять всюду написание "блоГГер" на правильное "блоГер"

    микроформаты вцелом.

    Я, конечно, придираюсь, но люди, которые пишут "вцелом", не должны определять, как писать правильно очень спорное слово типа "блоггер". По-моему, правильный вариант — блоггер. И "в целом", ага.

    Ну это так, оффтопик.

  75. Ivan Sagalaev

    Статья в тему - http://www.sitepoint.com/blogs/2008/10/30/the-single-sign-on-war-will-ruin-openid/ , на которую ссылался Фицпатрик.

    А... Это известная проблема — очень мало консумеров и много серверов. Причем объяснимая: сервер сделать проще. Однако я не соглашусь с посылом, что крупные провайдеры делают этим что-то плохое для OpenID. Напротив, дает удобный аргумент против возражений типа "OpenID ни у кого нет". Так что наличие крупных провайдеров для технологии скорее полезно, чем вредно.

    =( Пишу, еженедельно, зачем правда до сих пор не пойму. Сейчас застряли на том, что я прошу поменять всюду написание "блоГГер" на правильное "блоГер".

    Под "пишите нам" я понимал именно сервис OpenID. За весь Яндекс я как-то не готов говорить :-).

  76. [...] Мифы и легенды [...]

  77. SevaXXL

    Я сторонник OpenID, но... есть большая вероятность того, что некий сайт оформит диалоговое окно подтверждения авторизации под видом Яндекса или Гугла и получит очень важные данные. Т.о. при авторизации по OpenID приходится беззаботно передавать очень ценную информацию.
    При авторизации через e-mail сайт получает только адрес почты и не очень ценный пароль, т.к. он не от ящика, а от входа на такие же сайты.

  78. Google user

    SevaXXL, действительно OpenID не решает проблему фишинга. А должен? Но и не усугубляет. Точно так же злой умышленник оформит сайт под вид Яндекса и утянет пароль от почты.

    Кроме того,

    не очень ценный пароль, т.к. он не от ящика

    аргумент выдуманный. Вы помните цитату на баше про 130 тысяч паролей "12345" из 600 тысяч пользователей? Откуда такая уверенность, что все используют разные пароли? Хотя бы для почты другой пароль? Ниоткуда.

  79. Bers

    Плюсы в OpenID против пары пользователь-пароль.

    Если делать OpenID по своему домену, зарегистрированному в нормальном региональном регистраторе с нормальным договором с синей печатью, то можно приравнять к цифровой подписи.

    Проблемы кратковременного взлома это не решает, но уж заблокировать свой домен в целях противодействия взлому свершившемуся можно вполне официальными способами взаимодействия с реальной ответственной организацией.

  80. gross

    Хотел бы добавить. Некоторые CA имеют функционал OpenId-провайдеров. Что позволяет спокойно пользоваться сертификатом для логина. А получить сертификат 1 класса, подтвердив email, не занимает много времени.

  81. w3d

    Предположим, я забыл имя и пароль OpenID. Какие есть средства восстановления, с учетом того что это распределенная система?

  82. Ivan Sagalaev

    Она распределённая в том смысле, что сайт, принимающий вход и сайт, хранящий данные — разные. Если вы забыли пароль от сайта-провайдера, то механизмы восстановления точно такие же, как и есть сейчас. OpenID этого вообще никак не касается.

  83. Antony

    А чем хуже Windows Live ID, или Google Open ID или любой другой метод, который подразумевает использование уже имеющихся аккаунтов на ряде ресурсов?

  84. Ivan Sagalaev

    Google Open ID — это и есть OpenID. Поэтому он ничем не хуже. А Windows Live ID никто не пользуется. Сравнение же проприетарных и открытых платформ идентификации — это отдельная большая тема.

Добавить комментарий