Orange implémente l'OpenID sur son portail Web

Posté par  . Modéré par Nÿco.
Étiquettes :
0
2
oct.
2007
Internet
Le fournisseur d'accès vient de choisir l'authentification OpenID pour son portail Orange.fr, devenant ainsi le plus gros site implémentant cette solution d'authentification.

OpenID est l'initiative pour un système d'authentification décentralisé, permettant une identification unique.

Un service d'ores et déjà disponible, comme le souligne Neteco, pour les" 17 millions de clients "internet" et 23 millions de clients "mobile" d'Orange France". Le futur de l'authentification déjà chez Orange

L'OpenID a pour but d'implémenter à grande échelle le principe d'identification unique et de SSO (Single Sign-On). En pratique, l'utilisateur dispose d'un compte unique auquel il aura souscrit à une autorité délivrant ces identités numériques, à l'instar d'OpenIDFrance.fr ou obtenu dans le cas présent par son fournisseur de service Internet (Orange).

Cette initiative s'inscrit purement dans la simplification des usages du web. D'une part, l'identification unique permet d'éviter d'avoir à créer n comptes pour n sites, mais un seul compte permet de s'authentifier sur tout les sites supportant le protocole. Un gain de temps non négligeable lorsqu'il s'agit de se rappeler de quel compte on dispose sur quel site et avec quel mot de passe...

D'autre part, le Single Sign-On est un procédé permettant, par passage d'attribut (héritage), d'utiliser la première connexion à un site pour arriver déjà connecté sur les sites suivants supportant l'OpenID.

Ce procédé sera une avancée considérable dans l'utilisation du Web, pour tout les portail/forum/wiki, les sites de vente en ligne, les sites (le site...) d'enchère, les banques, etc...


Un système ouvert et décentralisé

Une particularité de ce système d'authentification réside en sa décentralisation. En effet la plupart du temps, lorsqu'un utilisateur entre son login/password, l'application va aller vérifier l'identité dans une base (locale ou déportée), mais souvent liée au site en question. Avec OpenID, le site en question n'a pas besoin de disposer de cette base d'authentification, mais fait confiance à une autorité, ou fournisseur d'identité. Le profil de l'OpenID peut alors être importé dans le site, et donc partagé entre tout les sites implémentant l'OpenID. Ce système est dit décentralisé car il ne dépend pas d'un seul organisme fournissant ces OpenIDs. L'entreprise bien connue qu'est VerySign pourra en fournir, tout comme l'association OpenIDFrance.org. Il n'y a donc pas de base commune.

De plus, les spécifications étant ouvertes, tout organisme ou personne morale peut se proposer comme fournisseur d'identité. Une liste non exhaustive des serveurs est par ailleurs disponible en lien.

Enfin, le développement d'OpenID est placé sous l'égide de l'OpenID Fundation qui coordonne les efforts et est chargée de promouvoir le système.

Espérons maintenant voir les autres opérateurs emboîter le pas rapidement en ajoutant cette fonctionnalité à l'expérience utilisateur révolutionnaire.

Aller plus loin

  • # OpenID et XMPP

    Posté par  (site web personnel) . Évalué à 6.

    On peut faire du OpenID avec un Jabber ID, donc sans besoin de site web ou de presta style WordPress.com ou ClaimID.com :
    http://openid.xmpp.za.net/
    http://beta.xmppid.net/
    • [^] # Re: OpenID et XMPP

      Posté par  . Évalué à 2.

      Houa, je ne connaissais pas, ça a l'air vraiment pas mal !

      Par contre, niveau sécurité, la confirmation passe par ton serveur Jabber, donc t'as intérêt à avoir confiance ... parce que on pourra hijacker la session facilement si on est un admin de serveur jabber (bon, juste le temps de la session).
      • [^] # Re: OpenID et XMPP

        Posté par  (site web personnel) . Évalué à 1.

        Par contre, niveau sécurité, la confirmation passe par ton serveur Jabber, donc t'as intérêt à avoir confiance ... parce que on pourra hijacker la session facilement si on est un admin de serveur jabber (bon, juste le temps de la session).

        L'admin du serveur OpenID peut aussi se faire passer pour toi, mais là c'est sur que ça rajoute un intermédiaire qui peut se connecter à ta place à tous les endroits où tu utilises openID.
  • # Tracking

    Posté par  (site web personnel) . Évalué à 5.

    Orange devient ainsi un gros hébergeur de traceurs de votre activité sur le net.
    Bientôt donc l'arrviée d'une nouvelle génération de publicités ciblées.
    • [^] # Re: Tracking

      Posté par  . Évalué à 2.

      clair est puis
      Espérons maintenant voir les autres opérateurs emboîter le pas rapidement en ajoutant cette fonctionnalité à l'expérience utilisateur révolutionnaire.
      euh non chui pas pressé outre mesure...
      c'est pas parce qu'il y a "open" dans le nom que c'est mieux et que ça rend les gens "libres"... tiens ça me donne une idée de phrase :
      "all open thing don't make people free"... je la note...

      et puis ce système me fait un peu trop penser au "passeport" de MS...
      • [^] # Re: Tracking

        Posté par  (Mastodon) . Évalué à 7.

        Le truc "open" là-dedans, c'est que ce n'est pas lié à un seul fournisseur, ni même à une autorité qui règlementerait tout ça. On est parfaitement libre d'être son propre fournisseur OpenID, il y a des scripts PHP qui permettent de se faire une identité hébergées sur son propre site en quelques minutes.
        • [^] # Re: Tracking

          Posté par  . Évalué à 3.

          chuis d'accord mais comprends aussi que ça pourrait permettre de "pister" un minimum les gens : plus la peine de chercher à filtrer les spams provenant des sites où tu t'es inscrit en donnant une autre adresse email : t'auras pas le choix : ça utilisera celle de ton "openID", rien que ça : c'est pas engageant...
          • [^] # Re: Tracking

            Posté par  (Mastodon) . Évalué à 3.

            Rien ne t'oblige à divulguer l'adresse email de ton profil OpenID aux sites auxquels tu accèdes (on n'est même pas obligé d'en mettre une)

            Tu pourras donc toujours utiliser des adresses jetables pour les sites qui n'inspirent pas confiance, ou utiliser des adresses uniques qui contiennent le nom du site (ça doit même être possible d'automatiser ça si on est son propre fournisseur)
            • [^] # Re: Tracking

              Posté par  (site web personnel) . Évalué à 1.

              Ce n'est pas plus difficile de faire un service d'OpenID jetables que de créer un redicteur de mail jetables (a la jetable.net).

              Et de toute façon, ça va faire comme les mails : le service n'étant pas bien cher à créer, on va avoir des fournisseurs gratuits d'OpenID qui n'ont pas les moyens de vérifier que Pierre Schmoll est bien le Pierre Schmoll qu'il prétends être derrière son clavier.

              Donc si Open ID se développe (ce qui est bien souhaitable), on va certainement aussi se retrouver à utiliser des "Open ID" jetables de la même manière que nos adresses jetables actuelles.
              • [^] # Re: Tracking

                Posté par  . Évalué à 1.

                Surtout il est possible créer des URL openID presque à volonté (même chez Orange je crois qu'ils ont prévus d'en avoir plusieurs) donc facile. Par contre le risque dans le futur est de voir certain site filtrer les fournisseurs OpenID qu'ils acceptent.
              • [^] # Re: Tracking

                Posté par  . Évalué à 7.

                Donc si Open ID se développe (ce qui est bien souhaitable), on va certainement aussi se retrouver à utiliser des "Open ID" jetables de la même manière que nos adresses jetables actuelles.

                super ! je résume:
                Avant : mails jettables
                Après : ID jettables...
                ...quelle avancée ! \o/
  • # Super !

    Posté par  (site web personnel) . Évalué à 4.

    > Le profil de l'OpenID peut alors être importé dans le site,
    > et donc partagé entre tout les sites implémentant l'OpenID.

    Génial !

    Moi qui voulait justement, lorsque je rentre mon adresse et mon numéro de téléphone sur un site bien précis (genre achat en ligne), que ces infos soient partagées avec n'importe qui utilisant le même protocole, et ce sans mon consentement préalable... C'est exactement ce que je cherchais...

    > De plus, les spécifications étant ouvertes, tout organisme ou
    > personne morale peut se proposer comme fournisseurs d'identité.

    Et les personnes physiques dans tout ça ? Si une personne physique ne peut se proposer comme fournisseur d'identité, les spécifications ont beau être ouvertes, l'utilisation ne l'est pas...

    <disclaimer>
    Je n'ai pas été voir le site en question, ma réaction est donc basée uniquement sur l'article linuxfr, et est à ce titre peut être erronée... (espérons)
    </disclaimer>
    • [^] # Re: Super !

      Posté par  (Mastodon) . Évalué à 4.

      Moi qui voulait justement, lorsque je rentre mon adresse et mon numéro de téléphone sur un site bien précis (genre achat en ligne), que ces infos soient partagées avec n'importe qui utilisant le même protocole, et ce sans mon consentement préalable... C'est exactement ce que je cherchais...


      Alors, plusieurs choses :
      - tu n'es pas obligé d'enregistrer quoi que ce soit dans ton profil OpenID
      - le fournisseur OpenID ne va en général pas donner ces infos sans ton consentement. En général, la première fois que tu utilises OpenID pour te connecter sur un site, tu vas voir quelles infos le site en question demande, et pouvoir choisir ce que tu veux transmettre
      - dans tous les cas, c'est complètement optionnel, et rien n'empêche d'utiliser OpenID uniquement pour l'authentification



      Et les personnes physiques dans tout ça ? Si une personne physique ne peut se proposer comme fournisseur d'identité, les spécifications ont beau être ouvertes, l'utilisation ne l'est pas...


      Les personnes physiques aussi peuvent être fournisseur d'identité. Comme dit plus haut, ça peut se faire simplement en installant un petit script PHP.
      • [^] # Re: Super !

        Posté par  . Évalué à 1.

        Je rajouterai, que tu peux avoir plusieurs profils, en tout cas myopenid.com le propose.
  • # Décentraliser pour mieux centraliser.

    Posté par  (site web personnel) . Évalué à -3.

    Franchement je trouve que ce principe pu. On ne me fera pas croire que les implémentations de ce protocole sera exempt de failles de sécurité, si le protocole n'en contiens pas lui même dès la conception.

    Franchement si vous êtes sur votre PC à la maison et que vous voulez de l'identification automatique, enregistrer les sur votre disque, il suffit de cliquer sur OK. Stocker tout ses mots de passe en clair chez une entreprise, qui plus est aussi peut recommandable qu'un fournisseur d'abonnement de téléphone portable en plus, je vois pas ce qu'on peut trouver de réjouissant la-dedans.

    Si vous êtes sur beaucoup de postes, etbien retenez vos mots de passe. Les 10 secondes qu'on passe à saisir un mot de passe valent largement le coup par rapport à la sécurité qu'il apporte.
    • [^] # Re: Décentraliser pour mieux centraliser.

      Posté par  . Évalué à 5.

      Et entrer ses multiples password sur de multiples forum alors qu'on se trouve sur un point d'accès wifi ouvert, c'est sûr c'est sécuritaire...

      Alors que là on te propose d'avoir un système simple, chiffré SSL, mais tu préfères l'authentification en clair ?

      Pourquoi parles-tu de stocker tes pwd chez une entreprise ? Tu as mal saisi le principe : ça ne fonctionne que sur les sites implémentant OpenID, ce n'est pas comme du SSO sur une passerelle VPN à qui tu as entré les champs du formulaire et par lequel tu fais un POST pour te logguer... là je serais d'accord avec toi... mais rien de tout ça ici.
      • [^] # Re: Décentraliser pour mieux centraliser.

        Posté par  (site web personnel) . Évalué à -3.

        Le serveur openID centralise ton authentification, donc cracker ton compte openID, c'est cracker tout tes comptes. Etpuis je doute qu'orange, puisqu'on parle de cette entreprise, se prive d'analyser ce que tu fais «pour améliorer la qualité du service».

        Après si tu as des services où tu t'authentifie en clair, et bah tu as pas le choix, tu t'authentifie en clair. Si ils ont un service d'authentification chiffré pour openID, je vois pas pourquoi il en aurait pas sans openID, et inversement.

        Tu m'excuseras mais pour moi «plus simple» c'est pas forcément synonyme de progrès.

        C'est du discours de marketeu de bas étage qu'on nous balance dans cette dépêche :
        - «simplification des usages du web» :et donc mieux, bien entendu, créer un compte et taper un mot de passe, c'est tellement compliqué!
        - «Un gain de temps non négligeable» : c'est sûr c'est des heures de productivité que je perd à taper des mots de passe!
        - «[inutile de] se rappeler de quel compte on dispose sur quel site» : à trop cool, vivement le jour où je n'aurais enfin plus besoin de retenir quoi que ce soit, et qu'enfin où puisse me faire l'ablation de cet organe indésirable qu'est le cerveau
        - une avancée considérable dans l'utilisation du Web : enlarge your p3nis!
        - expérience utilisateur révolutionnaire : VI4GR4!!!!!

        Je me marre.
        • [^] # Re: Décentraliser pour mieux centraliser.

          Posté par  . Évalué à 3.

          1. Rien ne t'oblige à utiliser l'OpenID.

          2. Si tu mets le même mot de passe pour tous les sites cela revient au même. C'est même nettement pire. Si un seul de ces sites a une faille, d'office on te vole tous les accès aux autres sites, ce qui est beaucoup plus probable. De plus, rien ne t'empêche d'utiliser d'autres comptes OpenID selon le type de site.

          3. Pour ton traçage et pubs ciblées, il te suffit de choisir un fournisseur OpenID qui s'engage à ne pas t'espionner. Pour info, tu peux monter toi même ton propre serveur OpenID.

          4. Non c'est clair que rentrer ton mot de passe ne te tue pas, mais en entreprise. (Oui, oui ça existe) Il est très rébarbatif de faire la même opération, alors si elle peut être automatisée (Single Sign On) pourquoi s'en priver ? D'ailleurs quand on voit le prix des solutions SSO on se doute bien que beaucoup de personnes sont interressées dans la solution, pas mal de sociétés sont spécialisées là dedans. Mais bon faut sortir de chez soit pour s'en apercervoir. Aller à des salons etc,...

          5. Il faut bien se dire que le site qui requiert l'authentification ne sait pas quels autres sites sont visités avant et après. Donc ici Orange ne pourra vous traquer que sur son site, mais qui ne le fait pas ? C'est déjà autre chose que Google, doubleclick, etc.. qui vous traquent en permanence et en toute transparence, il faut se dire que juste l'affichage d'une pub, d'un pixel, ou tout autre composant vous trace illico. Et ce sans vous demander quoi que ce soit.

          De toute façon être anonyme sur le net est une utopie. Sauf peut-être pour des gens malins, ayant une très bonne connaissance de tous les systèmes et qui prennent le temps de le faire.

          Le truc bien, c'est qu'avant de critiquer une technologie, on se renseigne un peu dessus. Afin d'éviter de transmettre de fausses idées aux autres...
          • [^] # Re: Décentraliser pour mieux centraliser.

            Posté par  (site web personnel) . Évalué à 2.


            Non c'est clair que rentrer ton mot de passe ne te tue pas, mais en entreprise. (Oui, oui ça existe) Il est très rébarbatif de faire la même opération, alors si elle peut être automatisée (Single Sign On) pourquoi s'en priver ? D'ailleurs quand on voit le prix des solutions SSO on se doute bien que beaucoup de personnes sont interressées dans la solution, pas mal de sociétés sont spécialisées là dedans. Mais bon faut sortir de chez soit pour s'en apercervoir. Aller à des salons etc,...

            J'ai moi même bossé sur de l'intégration SSO dans des applis web. Donc je suis pas le trou du cul qui est jamais sortit de chez lui...

            De plus tu me parles tout à coups de SSO dans une entreprise. Mais là il s'agit d'un fournisseur d'abonnement téléphonique, de la vie privé des gens. À contexte différents, problèmes différents, solutions différentes.


            De toute façon être anonyme sur le net est une utopie. Sauf peut-être pour des gens malins, ayant une très bonne connaissance de tous les systèmes et qui prennent le temps de le faire.

            Bah moi j'ai bonne espoir dans des solutions comme tor. Ce n'est pas encore ça, mais on en est qu'au balbutiement.


            Le truc bien, c'est qu'avant de critiquer une technologie, on se renseigne un peu dessus. Afin d'éviter de transmettre de fausses idées aux autres...

            Ce qui serait pas mal aussi, c'est de ne pas prendre son interlocuteur pour le dernier des crétins qui parle sans avoir aucune notion du sujet juste parcequ'il n'a pas la même opinion que soi.
    • [^] # Re: Décentraliser pour mieux centraliser.

      Posté par  (Mastodon) . Évalué à 1.

      Stocker tout ses mots de passe en clair chez une entreprise, qui plus est aussi peut recommandable qu'un fournisseur d'abonnement de téléphone portable en plus, je vois pas ce qu'on peut trouver de réjouissant la-dedans.


      Qui te dit que les mots de passe sont stockés en clair ? Par contre, un truc dont je suis sûr, c'est que la plupart des sites sur lesquels je vais ne proposent pas de SSL, donc les mots de passe sont transmis en clair. Avec OpenID, on peut forcer le SSL pour l'envoie du mot de passe, pour tous les sites. Rien que pour ça, c'est intéressant.

      Et si vraiment tu veux une sécurité maximale, il y a toujours la possibilité de mettre en place son propre serveur, et là, tu peux être 100% sûr que ton mot de passe n'est jamais stocké en clair (ou alors, on peut aussi d'autres méthodes d'authentification, un certificat X509 par exemple)


      Si vous êtes sur beaucoup de postes, etbien retenez vos mots de passe. Les 10 secondes qu'on passe à saisir un mot de passe valent largement le coup par rapport à la sécurité qu'il apporte.


      Et si on les oublie, on peut toujours demander un nouveau mot de passe, qui sera envoyé en clair par email.... Géniale la sécurité.
      • [^] # Re: Décentraliser pour mieux centraliser.

        Posté par  (site web personnel) . Évalué à 1.


        Qui te dit que les mots de passe sont stockés en clair ? Par contre, un truc dont je suis sûr, c'est que la plupart des sites sur lesquels je vais ne proposent pas de SSL, donc les mots de passe sont transmis en clair. Avec OpenID, on peut forcer le SSL pour l'envoie du mot de passe, pour tous les sites. Rien que pour ça, c'est intéressant.

        C'est fort ça, tu arrives à force à fournir un service qu'il ne fourni pas?

        Si le serveur n'a pas de certificat SSL et n'accepte pas de requète sécurisé, j'ai du mal à voir comment il va accepter ta connexion openID.

        Mais bon openID c'est encore mieux que la poudre verte, même pas besoin que le service auquel on se connecte inclus openID, openID peut forcer le serveur à ce reconfigurer pour qu'il utilise openID.


        Et si on les oublie, on peut toujours demander un nouveau mot de passe, qui sera envoyé en clair par email.... Géniale la sécurité.

        Ça dépend du service. Puis si tu arrives pas à retenir tes mots de passe, imprime les et range les dans un classeur. C'est pas ce qu'il y a de plus sécurisé, mais pour les obtenir il faudrait déjà rentrer chez toi (physiquement je veux dire).
        • [^] # Re: Décentraliser pour mieux centraliser.

          Posté par  . Évalué à 3.

          Lis la doc sur l'OpenID tu comprendras mieux. Le seul truc que tu fournis au site c'est ton login. Qui de toute façon est en clair sur presque tous les sites et qui de toute façon n'est un secret pour personne.

          L'authentification se fait par le site qui héberge ton OpenID qui lui possède le SSL. La communication entre le site visité et le serveur OpenID est toujours cryptée (SSL). Grâce à cette technique le site visité n'a pas besoins de certificat SSL. Il est client de ton serveur OpenID comme toi tu es clients de sites SSL et que tu ne possèdes pas non plus de certificats sur ton PC.

          Donc au final, si le site visité n'a pas de SSL l'OpenID renforcent grandement la procédure de login.
          • [^] # Re: Décentraliser pour mieux centraliser.

            Posté par  . Évalué à 0.


            C'est fort ça, tu arrives à force à fournir un service qu'il ne fourni pas?

            Si le serveur n'a pas de certificat SSL et n'accepte pas de requète sécurisé, j'ai du mal à voir comment il va accepter ta connexion openID.


            Il vaudrait vraiment mieux que tu lises la norme avant de poster à tord et à travers car d'après tes affirmations basé sur un article de presse on peut clairement voir que tu ne l'as pas fait.

            Si ton IDP OpenID offre de du SSL toutes tes authents se feront en SSL et ce quelque soit le service.
          • [^] # Re: Décentraliser pour mieux centraliser.

            Posté par  . Évalué à 2.

            L'authentification se fait par le site qui héberge ton OpenID qui lui possède le SSL. La communication entre le site visité et le serveur OpenID est toujours cryptée (SSL). Grâce à cette technique le site visité n'a pas besoins de certificat SSL. Il est client de ton serveur OpenID comme toi tu es clients de sites SSL et que tu ne possèdes pas non plus de certificats sur ton PC.

            Cela dit, si le site visité n'a pas les certificats signant ton serveur OpenID, comment peut-il être certain que c'est bien lui?
            • [^] # Re: Décentraliser pour mieux centraliser.

              Posté par  . Évalué à 3.

              Soit le site V: site visité (orange ici)
              soit le site H: site hébergeant ton openID. (Myopenid.com par exemple)

              Lors de ta première visite tu créés un compte chez V, la vérification de l'authentification de H n'est pas importante à ce moment car à ce moment là, tu n'as aucune données stockées sur le site V.

              Lors de cette première visite, V et H conviennent d'un "secret commun" (signature). Encodée soit avec HMAC-SHA1 (clé longue de 160 bits), soit avec HMAC-SHA256 (clé longue de 256bits).

              Il suffit de vérifier cette signature lors de suivantes visites pour vérifier l'authenticité de H.

              Pour info, il y avait déjà eu une news à l'époque (2006)
              http://linuxfr.org/~mildred/22041.html (C'est grâce à elle que je me suis interressé la première fois à l'OpenID)

              Mais à cet époque l'OpenID était en 1.0, il me semblait qu'on parlait déjà de la version 1.1. La version 2.0 est en Draft actuellement.

              Pour l'histoire que quelqu'un prenne le controle de tous vos compte lors du hack du serveur OpenID choisis, sachez que la même faille existe actuellement, enfin en un peu moins grave selon les sites. Cela s'appelle le couple, "Oublié le mot de passe" et "email", si quelque prend le controle de votre email. On se retrouve dans le même cas.

              Un autre cas ou l'OpenID est plus sécurisé, si on vole le nom de domaine de votre email.
              En redirigeant l'email vers votre serveur, on peut grâce à l'option "J'ai oublié mon mot de passe" récupérer le tout.
              Sauf si vous avez une question secrète.
              Pour l'OpenID, c'est d'office le cas grâce au secret partagé.

              Un autre gros avantage de l'OpenID, c'est auto complétion des coordonnées, si vous l'autorisez bien sûr !
  • # Linux FR

    Posté par  (site web personnel) . Évalué à 7.

    Ce qui amène à la question : à quand une authentification OpenID sur LinuxFR ?
    • [^] # Re: Linux FR

      Posté par  . Évalué à 3.

      on passe d'abord entièrement le site en XUL/Jabber. ensuite on verra.
    • [^] # Re: Linux FR

      Posté par  (site web personnel) . Évalué à 3.

      Quand suffisamment de monde sera intéressé par OpenID. Pour le moment, seules 10 personnes ont votés pour dans le tracker [https://linuxfr.org/tracker/457.html], et vu le boulot que ca représente, c'est nettement insuffisant.

      D'autres part, OpenID semble poser des problèmes. Nous attendons des réponses à [https://linuxfr.org/comments/860880.html] pour nous convaincre ;-)

      Vous savez ce qu'il reste à faire pour avoir OpenID sur LinuxFR.org.

      Ce commentaire est posté en mon nom uniquement, mais je pense qu'il est partagé par les autres admins LinuxFR.org.
      • [^] # Re: Linux FR

        Posté par  (site web personnel) . Évalué à 1.

        Merci beaucoup pour ces infos !
        (c'était exactement ce que j'attendais : contrairement à ce que mon post pourrait faire penser, je n'étais pas juste en train de crier que je voulais un poney)
  • # Décentraliser pour mieux centraliser ?

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    Si je comprends bien le mode de fonctionnement, on peut être son propre OpenId provider, comme on peut héberger son propre courriel, jabber, web, etC.

    En fait, ce n'est pas si bête que ça, mais ça pose le problème de centraliser le service chez un prestataire. Je sais bien que tout le monde n'a pas les compétences pour héberger sois-même ce service, mais ce serait une bonne chose de le gérer sois-même, plutôt que de faire confiance à un tiers.

    Avant de lire la page d'OpenId, j'étais très méfiant vis-à-vis de ce protocole. Je le suis un peu moins à présent, mais cela pose tout de même le problème de la sécurité. Car au lieu d'avoir un verrou pour chaque porte, on a une télécommande à distance pour ouvrir toutes les portes et fenêtres.
    • [^] # Re: Décentraliser pour mieux centraliser ?

      Posté par  . Évalué à 3.

      D'ailleurs, ça serait sympa d'inventer une variante d'OpenID faite pour être installée chez soi.
      Je m'explique : je parle d'un logiciel qui "juste marcherait" : pas de serveur http à configurer, pas de ports à ouvrir sur le NAT/FW, voilà, juste un petit démon facile à installer, qui fonctionnerait en symbiose avec le porte-feuille de clés du système de bureau.
      Cela supposerait que la connexion ne soit plus initiée par le site demandant authentification, mais par le serveur d'identité (à savoir le logiciel dont je parle), donc il faudrait que le site le fasse comprendre au navigateur, et que le navigateur aille réveiller le démon.

      L'intérêt de cela :
      - par rapport à OpenID : pas besoin de donner sa confiance à un prestataire tiers
      - par rapport aux solutions de portefeuille de mots de passe + autocomplétion (comme dans Firefox, ou bien Konqueror+kwallet) : procédure unifiée pour l'inscription et l'authentification aux différents sites, ainsi que suppression du besoin de crééer 36 000 mots de passe (ou utiliser 36 000 fois le même), puisqu'il s'agira de secrets partagés entre les sites et le démon, générés automatiquement comme dans OpenID.

      Est-ce que ça existe ?
      • [^] # Re: Décentraliser pour mieux centraliser ?

        Posté par  (site web personnel) . Évalué à 1.

        Oui, c'est comme ça que je me connecte à ma banque, sauf que ça ne marche que pour ma banque :)

        Plus sérieusement, sous windows, pour simplifier les logins, s'en souvenir et avoir de l'autocomplétion des forms, tu pourras essayer ça : http://www.roboform.com/fr/

        Je n'ai pas trouvé d'équivalent libre aussi avancé.
        • [^] # Re: Décentraliser pour mieux centraliser ?

          Posté par  . Évalué à 2.

          Ce n'est pas seulement pour se souvenir, mais aussi pour unifier la procédure et arrêter les bidouilles bancales, avec l'espoir qu'on ait un protocole ouvert et dont la fiabilité ainsi que la sécurité auront été prouvées.
    • [^] # Re: Décentraliser pour mieux centraliser ?

      Posté par  (site web personnel) . Évalué à 2.

      Sauf que perso je ferais pas confiance à un fournisseur d'identité inconnu.
      Me faire spammer des sites par des mecs qui se loguent en openid avec un serveur en russie ca enleve de l'interet a demander un compte...
      Donc avoir des gros fournisseurs comme ca c'est bien parce que tu peux les mettre dans une liste de domaines de confiance.
  • # grand mère...

    Posté par  (site web personnel) . Évalué à 1.

    pour arriv*er* déjà connecté !
  • # PTDR !!!

    Posté par  . Évalué à 2.

    Le fournisseur d'accès vient de choisir l'authentification OpenID pour son portail Orange.fr


    Je ne vois nul part ou s'identifier avec son openid sur orange.fr ?????

    Evidemment si chacun refuse le serveur du concurrent , je ne vois vraiment pas a quoi ca sert !!! Decidemment chez Orange on a toujours eu un probleme avec le concept de libre concurence ;-)
    • [^] # Re: PTDR !!!

      Posté par  . Évalué à 1.

      http://openid.orange.fr

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.