OpenID 2.0 est arrivé

Posté par  (site web personnel) . Modéré par rootix.
Étiquettes : aucune
0
7
déc.
2007
Sécurité
Hier se tenait la dernière journée de travail du "Internet Identity Workshop", une suite de conférences abordant le thème de la gestion de l'identité sur l'Internet. En effet, si la gestion des identités peut paraître simple (quoique) dans une organisation donnée, le problème est beaucoup plus complexe sur l'Internet où les acteurs sont multiples et n'ont pas les mêmes objectifs.

Le projet OpenID a l'ambition d'apporter une solution à ce difficile problème et ce d'une façon complètement décentralisée. De plus en plus de grandes entreprises (comme Orange) se rallient à cette norme et OpenID semble avoir le vent en poupe.

À l'occasion de l'Internet Identity Workshop, David Recordon, Dick Hardt et Josh Hoyt ont annoncé les spécifications finales du projet OpenID 2.0. Selon eux, cette spécification peut contribuer à accélérer le processus d'adoption de cette procédure d'authentification :"General consensus is that it's the finalization of 2.0 that many big players have been waiting on." (le consensus général est que c'est la finalisation de [la version] 2.0 que beaucoup de grands acteurs ont attendu).
La nouvelle norme propose, entre autre, des protocoles cryptographiques plus solides, ainsi que la possibilité de recycler les logins utilisés précédemment.

Ceux qui ne connaissent pas ce projet trouveront des réponses à leurs questions sur ce Wiki, ainsi qu'une synthèse des risques et/ou dérives de ce genre de système. La complexité du système reste un de ses points faibles : "OpenID is too hard to add to your site, it's too unfriendly to login to as a use."

Aller plus loin

  • # Complexe par rapport à quoi ?

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    La complexité par rapport à quoi ? La personne qui parle de complexité à propos d'OpenID n'a manifestement jamais essayé de comprendre Cardspace ou Shibboleth...

    • [^] # Re: Complexe par rapport à quoi ?

      Posté par  (Mastodon) . Évalué à 2.

      Et d'un point de vue utilisateur je n'ai pas vu de complexité non plus.
      Mais je suis peut-être trop geek.

    • [^] # Re: Complexe par rapport à quoi ?

      Posté par  . Évalué à 3.

      Question conne de chez conne.

      C'est possible d'utiliser OpenId sur les plateformes mutualisés style Free ?

      Ca permettrait d'avoir une authentification sur les blogs pour les lecteurs occasionnelles et ainsi interdire les commentaires anonymes (et donc virer les spams à moindre frais)

      Si utiliser OpenId avec un dotclear chez Free n'est pas possible, alors, c'est que c'est complexe ;-) (et surtout, ca prive une grande quantité de site de cette possibilité)

      • [^] # Re: Complexe par rapport à quoi ?

        Posté par  (Mastodon) . Évalué à 4.

        Apparemment, c'est possible de coupler dotclear et openid:
        http://tonweb.naedev.org/blog/index.php/2007/09/15/26-un-plu(...)

        L'installation chez free est à tester.

        Et en voici un pour wordpress:
        http://verselogic.net/projects/wordpress/wordpress-openid-pl(...)

      • [^] # Re: Complexe par rapport à quoi ?

        Posté par  . Évalué à 6.

        > Ca permettrait d'avoir une authentification sur les blogs pour les lecteurs occasionnelles et ainsi interdire les commentaires anonymes
        Perdu.
        Un robot peut très bien avoir une identité OpenID parfaitement valide...

        • [^] # Re: Complexe par rapport à quoi ?

          Posté par  (site web personnel) . Évalué à 1.

          >Un robot peut très bien avoir une identité OpenID parfaitement valide...

          Et c'est un problème ? Enfin ça veut dire au moins que l'OpenID n'empéche pas le spam.

        • [^] # Re: Complexe par rapport à quoi ?

          Posté par  . Évalué à 3.

          Oui, je suis d'accord.

          Mais il faut que 1) les spammeurs mets à jour leur bot (bon, c'est pas forcément trop dur.

          2) L'étape d'après est de n'autoriser que les ID provenant de source de confiance (ou de mettre en modération ceux qui viennent de source douteuse ou qui ne mette pas de captcha lors de l'authen).

          Ca compliquerait quand même les choses? AMHA

          • [^] # Re: Complexe par rapport à quoi ?

            Posté par  . Évalué à 1.

            ou qui ne mette pas de captcha lors de l'authen
            comme si un captcha servait réellement à quelque chose dans la lutte contre le spam... et qu'est-ce qu'une "source de confiance" ?

            • [^] # Re: Complexe par rapport à quoi ?

              Posté par  . Évalué à 3.

              Pour moi, les captchas sont à ranger dans la même catégorie que les DRMs : ils empêchent les utilisateurs légitimes à accéder au service. Il y a tellement de moyens les contourner que ça en devient ridicule...

              • [^] # Re: Complexe par rapport à quoi ?

                Posté par  . Évalué à 2.

                Tu serais plus crédible si tu justifiais tes assertions..

                Les seules méthodes que je connais pour contourner un captcha sont:
                - un OCR, mais ça ne doit pas marcher terrible.
                - mettre en place un site web de sexe et transférer les captchas pour que des utilisateurs les resolvent a la place du spammeur: compliqué!
                - "casser" le site web en contournant la sécurité: encore faut-il que ce soit possible: c'est fini le temps des mots de passe codé en dur dans les pages web..

                Bref rien de fiable, c'est quoi la méthode magique pour contourner les captchas?

                Les DRM sont fondamentalement fragile, mais a priori ce n'est pas le cas des captchas..

                • [^] # Re: Complexe par rapport à quoi ?

                  Posté par  (site web personnel) . Évalué à 6.

                  Si, les méthodes d'OCR sont très efficaces. Par exemple, http://sam.zoy.org/pwntcha/ est bien plus fort que la majorité des humains pour le captcha de linuxfr.org.

                  • [^] # Re: Complexe par rapport à quoi ?

                    Posté par  (site web personnel, Mastodon) . Évalué à 3.

                    Voilà un autre point de vue qui concorde sur le sujet. D'ailleurs, on y apprend (pour ceux qui ne le savaient pas encore) que certaines personnes vendent du soft pour défaire les captchas, avec un taux de réussite associé.
                    http://www.codinghorror.com/blog/archives/001001.html

                    D'ailleurs, les deux sont d'accord pour dire que certains captcha (comme ceux de Google, Yahoo, Hotmail) sont relativement efficaces, au détriment souvent de l'interprétation par un humain qui est pour le coup rendue plus difficile...

                  • [^] # Re: Complexe par rapport à quoi ?

                    Posté par  . Évalué à 1.

                    Si tu fais comme ubuntu-fr (une question à la con (mais une question), genre "2 + 2 =" ou "écrivez bateau") il faut plus qu'un OCR, faut caller de l'IA derrière et là ça deviens plus compliqué.

                    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                    • [^] # Re: Complexe par rapport à quoi ?

                      Posté par  . Évalué à 1.

                      de l'ia ? tu y vas un peu fort là non ? en général les questions sont écrites toujours de la même manière et ça "tourne" (une question de calcul, une question avec une réponse univoque et simple, une consigne où l'utilisateur doit agir en fonction de ce qu'on lui demande)
                      il est donc, hypersimple de pondre une pauvre regexp qui va tester un pattern et agir en fonction genre "si tu trouves 2 groupes de chiffres avec un opérande mathématique entre, alors : effectue le calcul demandé" ou "si tu vois 'écrivez' suivi d'un mot, écrit le mot"...

                      vraiment aucun besoin d'ia...

                      par contre, changer l'id/name du champ de saisie et sa position dans le source du document, faire idem avec le formulaire qui le contient.. ça, c'est un début vers la protection contre les bots... et encore...

                • [^] # Re: Complexe par rapport à quoi ?

                  Posté par  . Évalué à 2.

                  Tu serais plus crédible si tu justifiais tes assertions..

                  Il semblerait que ça soit inutile, tu connais déjà la réponse ! Je n'ai pas dit que c'était facile à mettre en place, mais que celui qui était gêné est l'utilisateur légitime.

                  Et puisque tu sembles fort dans le domaine, comment tu fais pour que les personnes avec des déficiences visuelles puissent entrer sur ton site ?

    • [^] # Re: Complexe par rapport à quoi ?

      Posté par  . Évalué à 3.

      Il y a bel et bien un léger problème (temporaire) d'ergonomie avec OpenID selon moi:

      les utilisateur sont habitués à donner un couple login/mot de passe. C'est devenu très intuitif pour eux.

      Or, avec OpenID, hormis dans le cas où le site est fournisseur d'OpenID (c'est pas le but que chaque site soit son fournisseur sinon zéro fédération des identités), l'utilisateur doit d'abord entrer son OpenID qui prend généralement la forme d'une URL.

      Cette première étape est déconcertante pour l'utilisateur moyen: il ne voit pas pourquoi d'un coup on ne lui demande plus deux mais une seule information et pourquoi celle-ci est généralement plus compliquée qu'un login.

      Une fois que l'utilisateur est sur la page du fournisseur d'OpenID, c'est bon, il s'y retrouve.

      Bref il y a bien une période pendant laquelle on va devoir éduquer les utilisateurs et convaincre les décideurs que cette différence fonctionnelle n'est pas insurmontable.

      Raphaël Valyi.

  • # OpenID et authetifications auprès de services publics et cie

    Posté par  . Évalué à 1.

    ATTENTION, ce qui suit pourrait apparaitre comme de de la bouillie de cerveau ou de la masturbation intellectuelle.

    Avec le développement de l'administration électronique, nous avons besoin et nous aurons besoin de plus en plus de nous identifier auprès de nos administrations ou des services fournis par ou au nom de ces administrations (impôts, sécurité sociale, santé, chômage, mairie...).

    Nous avons aussi besoins de nous authentifier auprès de services fournis par des opérateurs à caractère lucratif.

    Les services des opérateurs publics et des opérateurs lucratifs sont indépendants et interdépendants (surtout quand il y a circulation d'argent : la sécu me rembourse via ma banque des prestations "acquise" -en payant avec mon compte en banque- dans une clinique en vérifiant la réalité de cette prestation). Je peux consulter, indépendant l'état de mes remboursements à la sécu, mon(mes) compte(s) auprès de ma banque et mon dossier médical à la clinique.

    Ces services partagent mon identité mais ne doivent pas pouvoir l'utiliser pour s'authentifier à ma place :
    - en gros pour chacun d'eux, j'ai une identité d'authentification mais pour tous j'ai une identité d'authentification, dans mon exemple cela représente 4 identités ce qui est conforme à l'exposé de Stéphane Bortzmeyer
    - C'est aussi le cas actuellement, chacun me fournit une identité et la banque fournit une identité à tous ceux qui font des échanges financier, la clinique et la sécu partagent aussi mon identité, cela fait largement plus que les 4 identités nécessaires.
    - Résumons : ACTUELLEMENT LA GESTION D'IDENTITÉS NUMÉRIQUES EST UN GROS BORDEL !

    OpenID peut-il m'être d'un quelconque secours pour résoudre cette complexité de la vie numérique quotidienne ?
    Si oui comment ? Si oui à qui propose-t-on de faire de OpenID le gestionnaire universel d'identité et d'authentification ?
    Evidemment, tout cela en respectant l'intimité de ma vie privée (dans un monde idéal, ma banque devrait payer la clinique en ne sachant pas qu'elle paye une clinique !).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.