Авторизация на доверии » комментарииhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/2010-03-08T10:05:26.223848-08:00Иван Сагалаев о программировании и веб-разработкеhttp://softwaremaniacs.org/media/sm_org/style/photo.jpgBers на "Авторизация на доверии"
2010-03-08T10:05:26.223848-08:00Bershttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-39197Какой-то Вы странный, сами выше признались в некомпетентности, тем самым постулировав свои доводы: "Ну да... Знаете, я никогда не мог заставить себя разобраться со всем этим стеком технологий обеспечения безопасности. Нет, честно, я сам не понимаю, что тут выше написал. И не ошибусь, наверное, в предположении, что конечные пользователи за...
<p>Какой-то Вы странный, сами выше признались в некомпетентности, тем самым постулировав свои доводы:</p>
<p>"Ну да... Знаете, я никогда не мог заставить себя разобраться со всем этим стеком технологий обеспечения безопасности. Нет, честно, я сам не понимаю, что тут выше написал. И не ошибусь, наверное, в предположении, что конечные пользователи за браузерами тоже этого не понимают. Так почему же мы этому доверяем?"</p>
<p>Доверяют не механизмам, а людям, которые разбираются в той или иной области, тем самым "доверие" зелёненькой надписи в браузере - это доверие его разработчикам знатокам закона, незнание которого не освобождает пользователя от ответственности, которую он делегирует разработчикам. Поэтому вся тема укладывается в простое утверждение: "Специалисты не должны рассуждать с технологиями на уровне доверия, и таким специалистам будут доверять люди".</p>
<p>Вторую странность, которую Вы допустили - это принимание слова тривиальность на свой счёт. В предыдущем комментарии, я скорее обращался к гипотетическому читателю, там были два персонажа "Автор" и "Вы".</p>
<p>Нисколько не сомневаюсь в вашей компетентности, и даже с лёгкостью могу списать "утверждение о сложности системы сертификации" на простой художественный оборот.Ivan Sagalaev на "Авторизация на доверии"
2010-03-07T02:05:13.726846-08:00Ivan Sagalaevhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-39108Поняв однажды эти тривиальные основы, Вы избавитесь от необходимости "доверять", а всего лишь будете отслеживать новости с конференций по криптографии о новых алгоритмах и стойкости старых. Всегда забавно, когда меня упрекают в незнании тривиальных основ :-). Я несколько лет наблюдал за безуспешными попытками построить защищённую информационную среду на основе криптографических...
<blockquote>
<p>Поняв однажды эти тривиальные основы, Вы избавитесь от необходимости "доверять", а всего лишь будете отслеживать новости с конференций по криптографии о новых алгоритмах и стойкости старых.</p>
</blockquote>
<p>Всегда забавно, когда меня упрекают в незнании тривиальных основ :-).</p>
<p>Я несколько лет наблюдал за безуспешными попытками построить защищённую информационную среду на основе криптографических технологий. Люди, которые это делают, не осознают, что это социальная проблема и её нельзя полностью решить технологически. Поэтому доверительная система является базой, на которой должна строится технологическая платформа.</p>
<p>А насчёт закона... По-моему, история XIX-XX веков достаточно очевидно уже показала, что это ужасно неэффективное средство управления обществом.Bers на "Авторизация на доверии"
2010-03-06T15:18:19.121387-08:00Bershttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-39077Автор остановился в одном шаге, который отделил бы его от формулировки "Доверие", так часто упоминаемой в статье и привёл бы к очевидному термину "Закон". Вся система сертификации и использования технологий связанных с ней зиждется на криптографической стойкости к атаке на алгоритм хэш функциии с целью вычисления исходных данных или подделке...
<p>Автор остановился в одном шаге, который отделил бы его от формулировки "Доверие", так часто упоминаемой в статье и привёл бы к очевидному термину "Закон".</p>
<p>Вся система сертификации и использования технологий связанных с ней зиждется на криптографической стойкости к атаке на алгоритм хэш функциии с целью вычисления исходных данных или подделке данных для получения такого-же значения функции.</p>
<p>Поняв однажды эти тривиальные основы, Вы избавитесь от необходимости "доверять", а всего лишь будете отслеживать новости с конференций по криптографии о новых алгоритмах и стойкости старых.</p>
<p>Мне когда-то лет пять назад помогла вот эта статься разобраться окончательно: <a href="http://unixwiz.net/techtips/iguide-crypto-hashes.html">http://unixwiz.net/techtips/iguide-crypto-hashes.html</a></p>
<p>Так же с того же сайта и иных источников стоит предварительно наесться терминологии и определений о синхронных/асинхронных алгоритмах, их названиях, различной математике, истории атак и разновидностями.Нурдин на "Авторизация на доверии"
2010-01-15T13:58:25-08:00Нурдинhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-34751Извиняйте, у меня тут мыслительный процесс приторможен в силу непрофессионализма :)Но зато, могу надеяться, что это свежий взгляд. В принципе протокол, о котором Вы говорили, когда опрашивается любой сайт на предмет, известен ли ему данный URL, как раз так и работает. Т.е. OpenID сервер может отдавать не только свою оценку...
<p>Извиняйте, у меня тут мыслительный процесс приторможен в силу непрофессионализма :)Но зато, могу надеяться, что это свежий взгляд. В принципе протокол, о котором Вы говорили, когда опрашивается любой сайт на предмет, известен ли ему данный URL, как раз так и работает.<br>
Т.е. OpenID сервер может отдавать не только свою оценку доверия, но и связанные URL’ы. А консумер потом опросит эти связанные URL’ы и получит их оценку доверия. Среди этих OpenID-серверов может быть и, к примеру, webmoney, который не выдаст номер паспорта, но своей оценкой доверия скажет, что паспорт у человека есть, и паспорт OpenID-серверу известен (а это уже очень многое, т.к. позволит привлечь к юридической ответственности), или же социальная сеть, которая уровнем доверия скажет, что профиль пользователя заполнен полностью, и у него есть друзья.<br>
Эх! Если бы еще OpenID-серверы могли сами обмениваться связанными URL’ами, и если бы пользователь мог на любом OpenID-сервере контролировать процесс и выключать из связки URL’ы, которые хочет скрыть. Цены бы не было!Нурдин на "Авторизация на доверии"
2010-01-15T12:21:10-08:00Нурдинhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-34749Иван, Вы правы, социальные связи в интернете можно сравнить с обычным общением людей. Но в обычной жизни ведь нету удостоверяющих порядочность людей центров и авторитетов, белых списков. В частном порядке мы можем принимать во внимание мнения тех или иных людей относительно порядочности какого-то гражданина, но и то, не всегда доверяем...
<p>Иван, Вы правы, социальные связи в интернете можно сравнить с обычным общением людей. Но в обычной жизни ведь нету удостоверяющих порядочность людей центров и авторитетов, белых списков. В частном порядке мы можем принимать во внимание мнения тех или иных людей относительно порядочности какого-то гражданина, но и то, не всегда доверяем стороннему мнению. И это очень правильно! Иначе мы бы постоянно ошибались и жили бы в постоянном страхе, боясь доносов.<br>
Кредитные истории - это слишком узкая сфера (вопрос просто дать деньги в долг, и информация среди банков), её можно рассматривать как частный случай.<br>
А вот это очень правильно:"Расширение OpenID, когда вместе с подтверждением "да, это мой юзер", сервер может присылать циферку или флажок о том, что "и кстати, он хороший"."</p>
<p>Еще для меня как пользователя хорошо было бы, если бы я мог связать раз и навсегда (или до тех пор, пока не скажу обратное) все свои URL'ы, e-mail'ы, аккаунты в соцсетях, и чтоб я указав любой свой имэйл или url был узнаваем как конкретный Нурдин Саякбаев. Если мой идентификатор расскажет обо мне как о конкретном человеке, который имеет друзей, живет в таком-то городе, и к которому, если постараться, можно предъявить судебный иск, то ко мне будет больше доверия. При этом, конечно на других сайтах я должен иметь возможность и спрятаться за никнеймом, т.к. тайну личной жизни еще никто не отменял )))Нурдин на "Авторизация на доверии"
2010-01-15T11:17:34-08:00Нурдинhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-34748имел ввиду историческая практика, в том смысле, что e-mail'ы существовали, и подобное и раньше могло быть реализовано, но не было. Что наверное говорит о нецелесообразности. Вообще я тут после уже подумал, а может и вправду e-mail может быть таким же удостоверяющим добропорядочность идентификатором, почему нет? Также как и URL. Но...
<p>имел ввиду историческая практика, в том смысле, что e-mail'ы существовали, и подобное и раньше могло быть реализовано, но не было. Что наверное говорит о нецелесообразности.<br>
Вообще я тут после уже подумал, а может и вправду e-mail может быть таким же удостоверяющим добропорядочность идентификатором, почему нет? Также как и URL. Но в каких-то частных случаях между конкретными сайтами. В глобальном смысле все-таки мне до сих пор это кажется лишним.<br>
P.S.: я не айтишник вообще, но интересуюсь, и благодаря Вашему сайту просвещаюсь. Спасибо Вам!Ivan Sagalaev на "Авторизация на доверии"
2010-01-14T05:10:19-08:00Ivan Sagalaevhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-34739Простите, какая практика? Я не видел ничего такого, реализованного для email'а.
<p>Простите, какая практика? Я не видел ничего такого, реализованного для email'а.Нурдин на "Авторизация на доверии"
2010-01-14T04:41:52-08:00Нурдинhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-34738идея OpenID конечно хороша, но не в доверии дело. Правильно Дмитрий сказал, что смысл в том, чтоб меня на разных сайтах узнавали, когда я хочу представится. А белые листы это другая тема. С таким же успехом можно говорить про белые листы имэйлов, про авторитетные сервисы, которые имэйлы раздают и про...
<p>идея OpenID конечно хороша, но не в доверии дело. Правильно Дмитрий сказал, что смысл в том, чтоб меня на разных сайтах узнавали, когда я хочу представится.<br>
А белые листы это другая тема. С таким же успехом можно говорить про белые листы имэйлов, про авторитетные сервисы, которые имэйлы раздают и про авторитетные сайты, которые белые листы составляют. Как показывает практика это не работает.Серхио на "Авторизация на доверии"
2009-12-07T03:37:23-08:00Серхиоhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-34344На самом деле это ужасно :) У меня начинается паранойя и глаз начинает дергаться как только речь заходит о глобальных идентификаторах, карме, определении доверия на основании общественного мнения и построении системы прав на основе этих данных. На мой взгляд это очень дурно пахнет для меня как для пользователя. Меня честно...
<p>На самом деле это ужасно :) У меня начинается паранойя и глаз начинает дергаться как только речь заходит о глобальных идентификаторах, карме, определении доверия на основании общественного мнения и построении системы прав на основе этих данных. На мой взгляд это очень дурно пахнет для меня как для пользователя.<br>
Меня честно говоря тошнит от новомодных соц.сетей/твиттеров/хабро/гугловолн... Система кармы - это просто убийца индивидуальности, потому что человек обладающий мнением отличным от общепринятого сразу уходит с кармой в минус (в различного рода социальных сетях это хорошо видно), и автоматически получает ограниченные права, такой hi-tech изгой. О свободе выражать свое мнение в сети можно забыть, во всяком случае с оглядкой на карму и свои права построенные на основе кармы никто высовываться не будет если не решит покинуть интернет :) Но ведь такие глобализаторские идеи не остановятся на интернете, скоро будем иметь возможность голосовать там и т.д. и т.п., ведь как удобно, да еще можно отсеить всяких экстремистов по ID и "карме". Просто замечательно, золотой век цивилизации.. Сиди не поднимая зада из кресла, делай свою работу, будь сырой мышью, будешь хорошо работать - станешь золотой и получишь позолоченное кресло со встроенным гидровисломасложором и унитазом. Но черт побери, если ты скотина такая имеешь свое собственное мнение - ты изгой и жить тебе на обочине цивилизации с бомжами.. общественное мнение превыше всего, репутация это все что у тебя есть, ты больше не человек, ты сеть сtмантических связей на сервере гугла... «Arbeit macht frei»!<br>
Эпилог:</p>
<blockquote>
<p>Ты - не твоя работа, не твой счет в банке, не твоя машина, не твои гребаные шмотки. Ты лишь кучка испражнений жизни..<br>
Мы вкалываем на ненавистных нам работах, чтобы купить ненужные нам вещи. Вещи, которые мы имеем, в конце концов имеют нас. Только потеряв все, мы действительно обретаем свободу..<br>
В жопу глобальные идентификаторы.</p>
</blockquote>ARSolog на "Авторизация на доверии"
2009-11-01T14:47:11-08:00ARSologhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-34045Очень интересны предметные обсуждения возможных реализаций этих "белых списков". Особенно дополнительная информация, "активный или нет (сообщений в год), наличие спама (процентов от общего количества сообщений), категория по ненормативной лексике (типа как категория граватара)." Возник у меня вопрос, например я - владелец сайта и не желаю видеть ненормативную лексику у себя,...
<p>Очень интересны предметные обсуждения возможных реализаций этих "белых списков". Особенно дополнительная информация, "активный или нет (сообщений в год), наличие спама (процентов от общего количества сообщений), категория по ненормативной лексике (типа как категория граватара)."<br>
Возник у меня вопрос, например я - владелец сайта и не желаю видеть ненормативную лексику у себя, если ОпенИД мне возвращает метаинфу пользователя "он ругается как сапожник", мне блокировать этого пользователя? В этом случае он вернется в другом обличие)))<br>
Хм, но можно использовать это доверие пользователю иначе. Например сообщения "сапожника" сперва отправлять на премодерацию, а сообщения хорошего пользователя сразу публиковать.Почитать &laquo; Work is Fun Blog на "Авторизация на доверии"
2009-10-26T06:25:14-07:00Почитать « Work is Fun Bloghttp://workisfun.wordpress.com/2009/10/26/%d0%b4%d0%be%d1%84%d0%b8%d0%b3%d0%b0-%d0%bf%d0%be%d1%87%d0%b8%d1%82%d0%b0%d1%82%d1%8c/https://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33982[...] http://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/ [...]
<p>[...] <a href="http://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/">http://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/</a> [...]Ivan Sagalaev на "Авторизация на доверии"
2009-10-26T02:59:36-07:00Ivan Sagalaevhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33980Уважаемый Grey3, вы путаете две вещи: протокол OpenID как таковой и устаревший плагин для WP на этом блоге. Последний не знает ничего ни про какие белые списки, неверно задуман и криво работает (хотя это утверждение и задевает Андрея Черезова). Возможно у меня дойдут когда-то руки до того, чтобы это починить,...
<p>Уважаемый Grey3, вы путаете две вещи: протокол OpenID как таковой и устаревший плагин для WP на этом блоге. Последний не знает ничего ни про какие белые списки, неверно задуман и криво работает (хотя это утверждение и задевает Андрея Черезова). Возможно у меня дойдут когда-то руки до того, чтобы это починить, но пока не дошли.</p>
<p>Скажу однако, что регистрации тут конечно не будет. За ненадобностью: всю жизнь комментировать тут можно без регистрации. Иногда комментарий проходит премодерацию, иногда сразу появляется. Но это мелочь.</p>
<p>Так что, не списывайте со счетов всю технолгию только на том основании, что у меня в блоге она работает криво :-).Grey3 на "Авторизация на доверии"
2009-10-26T02:14:12-07:00Grey3https://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33979Ага, а вот сейчас при отправке без всякого OpenID (URL), коммент появился в блоге сразу. И в чём тут дело?!
<p>Ага, а вот сейчас при отправке без всякого OpenID (URL), коммент появился в блоге сразу. И в чём тут дело?!Grey3 на "Авторизация на доверии"
2009-10-26T02:11:50-07:00Grey3https://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33978Ну вот опять... какая ж это, к чертям, авторизация по OpenID, если ничего не работает у Вас в блоге?! Отправлял вам здесь коммент, в пятницу. С указанием всех 3х полей, включая URL для OpenID. Как и положено, прошёл проброс на ЖЖ, там я залогинился, подтвердил разрешение, меня перебросило обратно в...
<p>Ну вот опять... какая ж это, к чертям, авторизация по OpenID, если ничего не работает у Вас в блоге?!<br>
Отправлял вам здесь коммент, в пятницу. С указанием всех 3х полей, включая URL для OpenID. Как и положено, прошёл проброс на ЖЖ, там я залогинился, подтвердил разрешение, меня перебросило обратно в блог. Никаких ошибок не высветилось, но коммент не появился. Несмотря на то, что я вроде у вас в белом списке... Хотел было отослать повторно, но текст уже тю-тю. Ну думаю может там буфер какой-то, ручное разрешение даже для белых списков... но и сегодня коммента нет!</p>
<p>Вот отправляю это вам безо всякого OpenID. И рекомендую сделать всё же для комментов в блоге регистрацию/логин отдельно. Типа, сначала зарегился (по опенид или иначе), потом пиши, зато коммент появится сразу. Не появился - значит блог не работает, чётко и ясно! А не как сейчас, пишешь на деревню дедушке, не зная дойдёт текст или пропадёт по дороге...</p>
<p>Так что ОпенИд не будет распространён пока не будет отшлифован, включая стандарты - что когда кому передавать, что где у кого брать, или хоть дать пользователю возможность самому указывать что где, а не как сейчас в зависимомти от настроения программистов! Причём обоих, отдельно программиста клиента(консумера), отдельно программиста сервера!Дамир Курбангулов на "Авторизация на доверии"
2009-10-21T01:10:59-07:00Дамир Курбангуловhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33954А что если для получения доверия сделать так: пользователь обращается в Центр Авторизации (ЦА) для получения id (высылает свои паспортные данные), а ЦА высылает пользователю заказным письмом пароль(ключ). Если я не ошибаюсь, то заказное письмо может получить только тот кому оно адресовано предъявив удостоверение личности. Таким образом получаем точные и...
<p>А что если для получения доверия сделать так: пользователь обращается в Центр Авторизации (ЦА) для получения id (высылает свои паспортные данные), а ЦА высылает пользователю заказным письмом пароль(ключ). Если я не ошибаюсь, то заказное письмо может получить только тот кому оно адресовано предъявив удостоверение личности. Таким образом получаем точные и проверенные данные в ЦА. Конечно, будут небольшие накладные расходы, но ведь и за бумажный паспорт приходится платить.boolock на "Авторизация на доверии"
2009-10-16T21:56:41-07:00boolockhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33935Списки можно не вести локально, а создать нечто вроде публичных сайтов по типу сервисов закладок. Там же можно будет выйти на все комментарии/посты данного id. Потом, хотелось бы, чтоб сервер сообщал не просто белый/черный, а отдавал некую статистику - в общем случае, активный или нет (сообщений в год), наличие спама...
<p>Списки можно не вести локально, а создать нечто вроде публичных сайтов по типу сервисов закладок. Там же можно будет выйти на все комментарии/посты данного id.<br>
Потом, хотелось бы, чтоб сервер сообщал не просто белый/черный, а отдавал некую статистику - в общем случае, активный или нет (сообщений в год), наличие спама (процентов от общего количества сообщений), категория по ненормативной лексике (типа как категория граватара).Дмитрий на "Авторизация на доверии"
2009-10-14T12:59:29-07:00Дмитрийhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33925Безусловно, OpenID очень полезная технология, когда пользователь хочет скрыть свой профиль или свои личные данные. Я же говорю об обратной ситуации, когда я хочу сказать - Вот он Я! Не он, не ты - именно Я.
<p>Безусловно, OpenID очень полезная технология, когда пользователь <strong>хочет скрыть</strong> свой профиль или свои личные данные.</p>
<p>Я же говорю об обратной ситуации, когда я хочу сказать - Вот он Я! Не он, не ты - именно Я.Дмитрий на "Авторизация на доверии"
2009-10-14T12:51:53-07:00Дмитрийhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33924Дмитрий, машина может с полной уверенностью отличить один URL от другого. C этим я полностью согласен. Но как всегда есть несколько проблем: Можно рисовать разные аватарки. Это самый простой подход, но ведь вся "соль" OpenID - это мой один профиль на разных сайтах (моя аватарка, мой сайт, мой блог и...
<blockquote>
<p>Дмитрий, машина может с полной уверенностью отличить один URL от другого.</p>
</blockquote>
<p>C этим я полностью согласен. Но как всегда есть несколько проблем:</p>
<blockquote>
<p>Можно рисовать разные аватарки.</p>
</blockquote>
<p>Это самый простой подход, но ведь вся "соль" OpenID - это мой один профиль на разных сайтах (моя аватарка, мой сайт, мой блог и т.д.) Смысл в том чтоб на разных сайтах меня всегда узнавали :)</p>
<blockquote>
<p>Можно отправлять подозрительные совпадения на модерацию.</p>
</blockquote>
<p>А как быть с форумами? Но вообще проблема глубже - нужна система, которая гарантирует, что я это я - чтобы сайт мог это сам проверить и подтвердить автоматически для пользователя. Например как PGP-ключи.</p>
<blockquote>
<p>Google'овый OpenID просто не задуман как публичный.</p>
</blockquote>
<p>Возможно. Но другие OpenID сервера (Например: myopenid.com), работают так же, только тут я могу САМ указать любой профиль, даже если он не мой.Ivan Sagalaev на "Авторизация на доверии"
2009-10-14T00:08:15-07:00Ivan Sagalaevhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33922Пока я собираюсь написать отдельный пост со своими комментариями на комментарии, вот коротенький ответ на: Да - строка url будет отличаться, но разве простой посетитель может уловить эту разницу в ID? и Машина может, осталось довести это до человека. Тут суть в том, что Google'овый OpenID просто не задуман как...
<p>Пока я собираюсь написать отдельный пост со своими комментариями на комментарии, вот коротенький ответ на:</p>
<blockquote>
<p>Да - строка url будет отличаться, но разве простой посетитель может уловить эту разницу в ID?</p>
</blockquote>
<p>и</p>
<blockquote>
<p>Машина может, осталось довести это до человека.</p>
</blockquote>
<p>Тут суть в том, что Google'овый OpenID просто не задуман как публичный. Это тоже валидный подход, он полезен пользователю этого OpenID для того, чтобы он мог управлять собственными данными на сервере (например редактировать свои посты на форуме). Публично их можно показывать например так же, как анонимных юзеров.Google user на "Авторизация на доверии"
2009-10-13T14:02:37-07:00Google userhttps://softwaremaniacs.org/blog/2009/10/04/authorization-on-trust/#comment-33921Дмитрий, машина может с полной уверенностью отличить один URL от другого. С человеками, действительно, всё сложнее. Например, я уверен, что ссылка должна вести не на XML id, а на мой публичный профиль http://www.google.com/profiles/temotor , но Wordpress с OpenID урлом ничего кроме подстановки в HTML не делает. Можно рисовать разные аватарки,...
<p>Дмитрий, машина может с полной уверенностью отличить один URL от другого.</p>
<p>С человеками, действительно, всё сложнее. Например, я уверен, что ссылка должна вести не на XML id, а на мой публичный профиль <a href="http://www.google.com/profiles/temotor">http://www.google.com/profiles/temotor</a> , но Wordpress с OpenID урлом ничего кроме подстановки в HTML не делает. Можно рисовать разные аватарки, как на форуме Ивана (пример здесь <a href="http://softwaremaniacs.org/forum/test/5447/">http://softwaremaniacs.org/forum/test/5447/</a> ). Можно отправлять подозрительные совпадения на модерацию. В общем, это не столько технологический, сколько интерфейсный вопрос. Машина может, осталось довести это до человека.</p>
<p>В устаревшем :) случае имя-пароль опознать подмену может только человек (подозрительные совпадения на модерацию или никак).