Journal OpenID :: I want my OpenID !

Posté par  .
Étiquettes : aucune
0
11
mar.
2007
Cher journal, c'est la première fois qu'on se parle. Et pour cette première fois, j'ai décidé de te présenter un ami : OpenID.

OpenID est un projet Open Source qui vise à créer un système d'authentification décentralisé, afin d'avoir une authentification unique sur le web. Voici quelques explications.

A chaque fois que nous naviguons sur un site web (en particulier depuis la démocratisation de PHP), il nous faut nous authentifier. (Il n'y a qu'a voir LinuxFr...). Certains, comme moi choisissent un pseudonyme qui leur sert d'identité sur le web. (pour tout les sites web) Mais dans tout les cas, à chaque fois qu'on navigue sur un forum, un wiki, certains blogs, etc. il nous faut nous identifier. C'est à dire choisir un mot de passe (toujours différents dans un idéal de sécurité utopique), un login (qui ne soit pas déjà pris !), et entrer une adresse email, etc.

OpenID est un système qui permet d'avoir une seul identité, un seul login, un seul mot de passe. Et ainsi, il devient possible de s'identifier sur tout les sites qui supportent OpenID. Pour le moment, OpenID n'est pas encore très connu, mais je pense s'inssèrement que ce genre de technologie fera l'avenir du web, et que dans les quelques mois/années à venir ce projet à de grandes chances de se développer.

Concrètement, comment cela fonctionne? Il existe des serveur d'identité. Lorsqu'un site web propose un formulaire d'identification OpenID, le client entre ces identifiants. Le "consommateur" (le site web) fait donc une requète au serveur d'identité et si les informations sont bonnes, il valide l'authentification.

Evidement, d'un site à l'autre les informations demander lors de l'inscription ne sont pas les même. C'est pour cela que lorsqu'un client se créer une identité OpenID, il a la possibilité d'étendre les paramètres autant qu'il veut.

Quelques sites


ps: Wikipedia ne devrait pas tarder à se mettre à OpenID (prévue pour la fin du moi je crois)

  • # hum

    Posté par  (site web personnel) . Évalué à 6.

    donc en gros, si j'ai bien compris, si on se fait intercepter notre login/password, le voleur a accès à tous nos sites web géré par openid c'est ca ?

    • [^] # Re: hum

      Posté par  . Évalué à 10.

      It's not a bug, it's a feature.

    • [^] # Re: hum

      Posté par  . Évalué à 10.

      Et si tu lisais wikipedia/la faq/les specs, tu saurais que:
      - les communications entre RP (celui qui demande si c'est bien toi) et le reste du monde (ton navigateur comme ton serveur d'identité) ne révèlent JAMAIS ton mot de passe
      - que le seul point sensible, c'est les communications UA <-> IdP, ce qui ne pose aucun problème si ton IdP est sérieux (et si tu ne veux faire confiance à personne, tu peux installer toi même ton serveur d'identité, ya besoin que d'un hébergeur PHP)
      - que tu n'es pas obligé d'utiliser un couple pseudo/mot de passe pour te connecter. Tu peux par exemple t'authentifer avec ta clef publique, ou n'importe quoi d'autre. Tu n'es limité que par ton imagination :p

      • [^] # Re: hum

        Posté par  . Évalué à 10.

        (et si tu ne veux faire confiance à personne, tu peux installer toi même ton serveur d'identité, ya besoin que d'un hébergeur PHP)


        PHP et confiance dans la même phrase, j ai comme un doute...

        Ce ne serait pas le month of PHP bugs en ce moment, avec déjà 18 failles (avec l'exploit qui va bien) sur les seuls internes du moteur en seulement 11 jours ?

        Il n'y a pas moyen de faire un serveur OpenID un peu plus sérieux ?

        • [^] # Re: hum

          Posté par  . Évalué à 8.

          Une bonne partie des failles sont dans des modules qui ne sont pas distribués avec les versions officiels de PHP (wddx, mod_security, ...) ou dans le Zend framework, ou dans des trucs qui ne doivent pas être utilisés en production (phpinfo).

          Et celles qui restent sont corrigées dans les dernières version de php5.

        • [^] # Re: hum

          Posté par  (site web personnel) . Évalué à 5.

          il existe des serveurs openid dans plein de langages différents.
          http://openid.net/wiki/index.php/Run_your_own_identity_serve(...)

          De plus la spec n'est pas trop compliquée et tu dois pouvoir faire le tien si tu veux.

      • [^] # Re: hum

        Posté par  . Évalué à 4.

        Ce n'est pas le seul point sensible. Si tu utilises différents mot de passe par exemple un pour ta banque et un pour DLFP, tu auras tendance à ne pas aller sur le site de ta banque sur un ordinateur non sûr (tu ne fais pas confiance à l'admin, tu as une caméra de surveillance dans la pièce, plus ou moins vers le clavier, ou autre), tandis que tu n'hésiteras peut-être pas à aller sur le forum, si tu estime que de toute façon, ce n'est pas grave pour toi si on te pirate ce compte là.

        Si tu utilises le même openID pour le site de ta banque et le forum, tu risques de compromettre la sécurité en allant sur le forum.

        Il n'y a pas que ce qui transite en ligne qui peut être intercepté...

        • [^] # Re: hum

          Posté par  . Évalué à 3.

          Un couple pseudo/mot de passe n'est pas la seule méthode d'authentification possible. En fait, OpenID ne t'impose aucune méthode. Pour le problème de la banque, deux solutions me viennent à l'esprit (à l'arrache comme ça hein, il y en a sûrement des meilleures):
          - Associer deux mots de passe à un compte OpenID: un premier mot de passe qui te sert à tous les trucs non sensibles mais qui t'interdit l'accès aux sites que tu définis comme étant sensibles (comme le site de ta banque), et un autre qui t'autorise l'accès à tout.
          - Se trimballer avec sa paire de clef GPG sur une clef USB et s'authentifier auprès de l'IdP avec un challenge (sans divulgation de secret). Ce qui résoud le problème de la caméra ou du keylogger, mais pas de l'admin douteux, on est d'accord

          Après, tu peux même varier en disant que les sites non sensibles n'ont besoin que d'un mot de passe tandis que les sites sensibles auront besoin d'une authentification par clef GPG (éventuellement en plus du mot de passe)

          En fait, c'est surtout ça qui me plait avec OpenID: pouvoir controler parfaitement la manière dont je m'authentifie.

          • [^] # Re: hum

            Posté par  (site web personnel) . Évalué à 5.

            sans compter que rien ne t'empêche d'avoir deux OpenID, un pour les forum et un pour ta banque

            • [^] # Re: hum

              Posté par  . Évalué à 10.

              On peut même en avoir un par site...

              • [^] # Re: hum

                Posté par  . Évalué à 1.

                ...d'ou l'interet d'utiliser OpenID (?)

          • [^] # Re: hum

            Posté par  . Évalué à 2.

            On peut aussi imaginer des services OpenID un peu avancés avec un petit boîtier qui donne une chaîne à recopier, un peu comme le font AOL et Paypal je crois. Avec ça, le mot de passe / la clé GPG ne sont d'aucune utilité sans le boîtier.

            On peut remplacer le boîtier par des trucs plus simples/gratuits, genre un tableau imprimé sur une feuille dont on doit recopier la case b2 comme le font certains sites de banque, etc...

  • # Autres

    Posté par  (site web personnel) . Évalué à 2.

    Y'a WordPress.com et ClaimID aussi...

    • [^] # Re: Autres

      Posté par  . Évalué à 5.

      Et passport.net, mais ça na pas marché.

      • [^] # Re: Autres

        Posté par  (site web personnel) . Évalué à 2.

        Tous les comptes @hotmail.* , @msn.com sont des comptes passport.
        Tous les autres comptes se connectant à MSN/Live Messenger sont des comptes passports.

        Je crois que ça en fait pas mal, et que ça marche toujours autant.

        Sinon, il y a le "comtpe Google", qui offre l'accès à de multiples services (de Google), et une API pour que l'utilisateur puisse faire joujou avec ses services Google via des outils d'un développeur externe à Google.
        Dans ce cas là, le developpeur de l'outil redirige l'utilisateur vers une page de connexion de Google, qui, si l'utilsiateur arrive à se connecter à son compte Google, donne une autorisation au site (pour un seul service).

        • [^] # Re: Autres

          Posté par  . Évalué à 5.

          Sauf que Passport.net devais servir de système d'authentification sur tout internet pas que chez MS ! La seule fois où j'ai pu m'inscrire sur une site avec mon compte passport.net c'était sur eBay, et depuis je crois que Microsoft a retiré ce service du marché.

          Bref un beau flop !

    • [^] # Re: Autres

      Posté par  (site web personnel, Mastodon) . Évalué à 0.

      Il y a aussi Lasso (Liberty Alliance) : http://lasso.entrouvert.org/
      ou encore Shibboleth : http://shibboleth.internet2.edu/

      ou dans un genre différent BugMeNot : http://roachfiend.com/archives/2005/02/07/bugmenot/

      • [^] # Précision sur Liberty Alliance

        Posté par  (site web personnel) . Évalué à 10.

        Alors, LASSO n'est qu'une implémentation de Liberty Alliance[1], il en existe d'autres comme OpenSSO/OpenFederation [2] de Sun.

        Le but de Liberty Alliance est de résoudre les mêmes problématique qu'OpenID. La grosse différence, à mon sens, est que Liberty Alliance a été dès le début pensé pour être extrêmement sûr et extensible. Du coup, c'est un peu plus complexe qu'OpenId, mais ca évite par exemple les problèmes de phising [3]. De plus, Liberty Alliance a profité d'être issu d'un consortium poussé par "quelques" poids lourds (pétés de tune, il faut bien le dire : Sun, IBM, Erickson, France Telecom, Novel, Intel, etc). Le gros avantage, c'est que tous ces gens ont payé d'autres gens pour faire des spec complètes, détaillés[4], ce qui facilite énormément les possibilités d'implémentation (comme par exemple LASSO[5], qui est une implémentation purement GPL des spec Liberty, complètement conforme, et qui a été réalisée de manière indépendante).

        Bon, la contre partie est que Liberty Alliance, c'est un peu plus complexe que OpenID. Mais ca vaut le coup ;)

        Enfin, on ne peut pas parler des solutions de federation d'identité ou de SSO intersite sans parler de SAML, et plus précisement de SAML2.

        En effet, la majorité des solutions convergent vers SAML 2[6] (Security Assertion Markup Language), qui est une norme OASIS. C'est le cas de Liberty Alliance et de Shibolleth (qui étaient proche, et ont pas mal influencé SAML 2), et ca sera peut être le cas de OpenID 2[7] (mais c'est pas pour tout de suite, y'a vraiment du boulot).

        Pour terminer, je vais aussi parler du projet FederID [8], qui est projet ObjectWeb, fincancé en partie par l'Angence Nationale pour la Recherche, et qui vise à implémenter une infrastructure complète et facilement utilisable autour de Liberty Alliance.
        FederID s'appuie sur LASSO pour les traitement bas niveau des messages Liberty Alliance, Authentic[9] pour le serveur d'identification (IdP), Interldap comme gestionnaire d'identités[10], et plus précisément son module LAAP[11] pour permettre l'échange d'attributs obtenu depuis un annuaire LDAP sur le cercle de confiance Liberty Alliance (avec Liberty Alliance, on va plus loin que le partage d'authentification, on partage aussi des attributs. Donc on peut autoriser certains de nos attributs (au hasard, l'adresse) à être partagés avec les autres serveurs auxquels ont fait confiance).

        Bon, mon commentaire est un peu partie pris étant donné que je travaille sur FederID, mais je vous encourage à aller regarder les différences entre OpenID et Liberty Alliance et donc à comprendre leur intéret respectif : essentiellement : la simplicité d'openID (c'est vraiment simple, ca s'ajoute en trop ligne de PHP), mais ca peu l'être un peu trop, cf les problèmes de phising, et ca pêche un peu au niveau des specs (le projet est encore jeune) ; la complexité de Liberty Alliance (la contre partie de spec détaillées...), mais en même temps la robustesse du protocole, sa compatibilité avec SAML2, le fait qu'il soit utilisé dans de très gros projets...

        Au pasage ; Liberty Alliance est déjà utilisé à grande échelle dans les télécoms, comme moyen de fédération d'identité. C'est également ce protocole qui est envisagé pour les grands chantiers d'unification d'identité au sein de l'administration française.

        [1] : "Project Liberty", homepage du projet Liberty Alliance : http://www.projectliberty.org/
        [2] : Sun OpenSSO/OpenFederation : https://opensso.dev.java.net/
        [3] : http://openid.net/wiki/index.php/OpenID_Phishing_Brainstorm
        [4] : Liberty Alliance, specification complètes : http://www.projectliberty.org/liberty/specifications__1
        [5] : LASSO home page : http://lasso.entrouvert.org/
        [6] : Security Assertion Markup Language (SAML) : http://en.wikipedia.org/wiki/SAML
        [7] : convergence OpenID / SAML, par exemple : http://openid.net/pipermail/specs/2006-December/000980.html
        [8] : projet FederID : http://federid.objectweb.org/
        [9] : manuel d'Authentic, ainsi que des précisions sur la fédération d'identité : http://authentic.labs.libre-entreprise.org/doc/fr/authentic-(...)
        [10] : projet de gestion d'identité InterLDAP : http://www.interldap.org/
        [11] : InterLDAP, module "Liberty Alliance Attribute Provider" (LAAP) : http://wiki.interldap.objectweb.org/xwiki/bin/view/Main/LAAP

    • [^] # Re: Autres

      Posté par  (site web personnel) . Évalué à 2.

      http://prooveme.com/

  • # J'ajouterais...

    Posté par  . Évalué à 5.

    Qu'il y a une demande pour que LinuxFR supporte OpenID: http://linuxfr.org/tracker/457.html

    • [^] # Re: J'ajouterais...

      Posté par  . Évalué à 4.

      a implémenter rapidement dans templeet ou wmcoincoin : " I Want My OpenID1 offrira 5.000 USD à 10 projets open source qui implémenteront OpenID." http://iwantmyopenid.org/bounty

      par contre quand on voit que verisign est dans openid, c'est pas ultra rassurant, c'est eux qui pendant un moment voulaient faire des trucs pas très corrects sur internet : http://fr.wikipedia.org/wiki/VeriSign

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Mouais ...

    Posté par  (site web personnel) . Évalué à 2.

    Ca va a l'encontre de ce que je fais sur internet.

    Donc je ne l'utiliserais pas.
    Je dois meme dire que dans le style, ca pue.
    Etant partisan du "ne faire confiance qu'a soit meme", je prefere largement non pas me construire une identité mais plusieurs sur le net, ne pas déléguer a un quelconque service le fait d'avoir a me souvenir d'un mot de passe. (Boudiou c'est vrai que c'est dur de se rappeler a chaque fois d'un mot de passe ...)

    Mais bon, si quelqu'un s'y retrouve, libre a lui.

    • [^] # Re: Mouais ...

      Posté par  . Évalué à 8.

      C'est exactement l'inverse. Avec n comptes par site, tu as n chances de de faire choper ton mot de passe (ne me dit pas que tu en utilises un différent par site ;)). Pour chacun de ces n sites, tu es obligé de faire confiance, au minimum, à:
      - tout ce qu'il y a entre le site et toi (sauf si tu passes par HTTPS, mais à part linuxfr et sourceforge, je connais pas grand monde qui le fait...)
      - l'administrateur du site
      - les logiciels qui tournent sur le dit site
      Avec OpenID, tu n'as à faire confiance qu'à une seule entité: ton serveur d'identité. Dont tu peux être l'administrateur. Et dont tu peux coder toi même le logiciel qui tourne dessus. Et la seule "ligne" vraiment sensible est la communication entre toi et ton serveur d'identité. Autant dire que si c'est toi qui administre ton propre serveur d'identité...
      Personellement, je suis bien plus en confiance avec OpenID qu'avec la manière de fonctionner actuelle, après avoir vu les specs ;)

      • [^] # Re: Mouais ...

        Posté par  (site web personnel) . Évalué à 3.


        Avec n comptes par site, tu as n chances de de faire choper ton mot de passe (ne me dit pas que tu en utilises un différent par site ;))


        Pourquoi ca te semble si drole?

        • [^] # Re: Mouais ...

          Posté par  . Évalué à 3.

          Parce que si tu utilises un mot de passe différent (je parle pas d'une légère variation non plus) pour chaque forum/site, tu fais partie de l'écrasante minorité des utilisateurs.

          Evidemment, avec des outils comme Revelation pour mémoriser tes mots de passe à ta place (dans un fichier chiffré avec un vrai mot de passe à ne pas oublier), c'est plus simple.

          • [^] # Re: Mouais ...

            Posté par  (site web personnel) . Évalué à 2.


            Parce que si tu utilises un mot de passe différent (je parle pas d'une légère variation non plus) pour chaque forum/site, tu fais partie de l'écrasante minorité des utilisateurs.


            Et ca semble si surprenant que ca de trouver des gens comme ca ici ? :)

            • [^] # Re: Mouais ...

              Posté par  . Évalué à 3.

              Et tu as des comptes sur combien de sites web ?

              Personnellement, plusieurs dizaines, voir peu etre meme centaines. Et j'ai autre chose à faire qu'apprendre 100 mots de passe differents, surtout quand il y en a certains que j'utilise à peine une ou deux fois par an.

              Enfin si ca t'amuse, et que tu préfère te compliquer la vie inutilement quand il existe des solutions beaucoup plus simples, sures et efficaces ...

              • [^] # Re: Mouais ...

                Posté par  (site web personnel) . Évalué à 2.

                Qui a dit que ca me concernait et qui a dit qu'il fallait les apprendre par coeur ? Je fais juste remarquer que sur linuxfr, il yen a qui doivent avoir plein de passwords différents. Il se trouve que c'est mon cas, et que je gère ca via un logiciel, et que c'est une solution très simple, efficace et relativement sure, comme tu dis...

                • [^] # Re: Mouais ...

                  Posté par  (site web personnel) . Évalué à 2.

                  Et quel programme ? Parce que ça pourrait en intéresser. Moi par exemple, j'ai regardé vite fait Revelation, le gestionnaire de trousseaux de GNOME, PwManager et KWallet mais je ne saurais lequel me conviendrait le mieux là tout de suite.
                  Un retour d'expérience peut être sympa :)
                  Et puis tu fais comment si tu changes d'ordi ? Si tu en as plusieurs ? (pour garder les infos synchrones entre chaque) Bon t'as ptêtre un seul ordi jamais changé/réinstallé...

                  • [^] # Re: Mouais ...

                    Posté par  (site web personnel) . Évalué à 0.

                    Fichier texte dans une partition crypté.
                    Simple et efficace.

                    • [^] # Re: Mouais ...

                      Posté par  . Évalué à 7.

                      Ouais ben hier j'ai dû m'inscrire à un énième forum pour pouvoir poser une question sur un sujet qui d'habitude ne me concerne pas, ça m'a bien fait chier. Entre faire la course aux adresses de courriel jetables qui ne sont pas encore bloquées, et entretenir un webmail gros-plein-de-spams qui ne sert qu'aux inscriptions, les deux sont chiants. Devoir perdre du temps pour rien à remplir tous ces formulaires, décocher toutes les cases qui me plaisent pas, m'emmerder à devoir attendre 2 minutes la réponse de confirmation, ça me botte pas.

                      Tout ça pour quoi ? Pour en fin de compte devoir grepper un fichier texte dans une partition chifrée quand il s'agit de retourner sur un forum qu'on a abandonné pendant six mois. Ou utiliser un gestionnaire de mots de passe déficient par nature vu que le web, par définition, ça s'accède de n'importe où.

                      Donc oui, je suis bien content qu'une solution comme OpenID se démocratise. Et même si je ne devais me faire qu'un seul compte ne gérant que les forums et les wikis peu importants, ça va me faciliter la vie, et c'est ça l'idéal de l'informatique.

                      T'façons y a toujours des raleurs pour ne voir que le mauvais côté des choses sans essayer de s'intéresser au bon côté. Y en a même qui inventent des mauvais côtés, aux choses.

                      • [^] # Re: Mouais ...

                        Posté par  (site web personnel) . Évalué à 1.

                        Je ne vois pas ce qu'OpenId changera fondamentalement a cet état de fait.
                        Mise a part le coup de la boite au lettre, mais bon, perso, j'en ai une et voila.

                        Le coup des formulaires a cocher, ce n'est pas OpenId qui les empechera d'en mettre, ca permet juste de se passer de la partie authentification, et encore, du coté serveur.

                        Parce que toi, tu seras toujours obligé de t'identifié.

                        • [^] # Re: Mouais ...

                          Posté par  (site web personnel) . Évalué à 2.

                          ... Et même de créer un compte: OpenID ne règle que le problème de l'auth, il ne crée pas automatiquement un compte sur tous les sites supportant OpenID...

                  • [^] # Re: Mouais ...

                    Posté par  (site web personnel) . Évalué à 2.

                    Pour kwalletmanager on peut exporter les mots de passes pour les réimporter apres.

                    • [^] # Re: Mouais ...

                      Posté par  (site web personnel) . Évalué à 2.

                      Ça reste de la bidouille (synchro à la main, déchiffrement temporaire - pourquoi transformer en fichier en clair alors que l'algo de chiffrement et la clé vont pas changer par magie d'un ordi à l'autre...)...
                      Je parlerai même pas de la solution du dessus; je me vois bien me faire une partition et un dossier uniquement dédiés à recevoir ce fichier (et je pertinente la réponse à ce post) :)

                    • [^] # Re: Mouais ...

                      Posté par  . Évalué à 1.

                      Sinon tu peux simplement copier le fichier kwallet crypté (il est dans ~/.kde/share/apps/kwallet ...)

        • [^] # Re: Mouais ...

          Posté par  . Évalué à 4.

          Demande toi combien de personnes font réellement ça, si tu n'es pas une sorte d'exception que tous les autres voient comme une sorte de paranoîaque (genre '1234' ? c´est bidon comme mdp" "m'en fous, j'ai rien à cacher", ou variantes) et tu comprendras ce qui lui semble si drôle.

          M'enfin ce n'était peut être qu'une question rhétorique ...

        • [^] # Re: Mouais ...

          Posté par  . Évalué à 2.

          En rapport avec le "ne pas déléguer a un quelconque service le fait d'avoir a me souvenir d'un mot de passe. (Boudiou c'est vrai que c'est dur de se rappeler a chaque fois d'un mot de passe ...)"...
          Si tu as un mot de passe différent pour les 350 auxquels tu es inscrit, bonne chance pour tous les mémoriser sans aide d'un quelconque service... (personnellement, j'ai déjà du mal avec 4 ;))

      • [^] # Re: Mouais ...

        Posté par  (site web personnel) . Évalué à 2.

        Pour parler de mon cas personnel, j'utilise effectivement n mots de passe differents, avec bien souvent des logins differents egalement.
        C'est une petite gymnastique a prendre, je ne vais pas m'etendre dessus car là n'est pas la question.
        Le debat est clos sur cet aspect des choses .

        J'en reviens donc a OpenId.
        Bref, il est vrai que la, je n'ai qu'un seul mot de passe a donner, c'est le but de la chose.
        Mais franchement, meme si je suis plutot versé en informatique, vais-je pour autant m'amuser a mettre en place un serveur d'authentification juste pour gerer des connexions a des sites qui les 3 quarts du temps ne me servent a rien ?

        Car c'est bien la le probleme : d'un coté j'ai apparemment toutes les raisons d'etre confiant dans le systeme, mais est ce que cela en vaut-il le coup ?
        Car mettre en place un serveur d'identité suppose :
        Que je loue un serveur - la machine physique.
        Que je code un serveur d'identité. - super je pond du code toute la journee, je vais faire ca en plus le soir ...

        Et la, suis je sur d'etre a l'abri ?
        Et bien non, car
        - Mon serveur est hebergé chez quelqu'un d'autre que moi
        - Mon code est loin d'etre bug-free, comme l'est tout code (si si).

        Donc, pour assurer cette "tranquilité" d'un mot de passe unique, je vais le payer. cherement, pour n'avoir aucune assurance.

        Et non, je ne fais pas plus confiance a un "serveur d'identite" privé qu'a tout autre administrateurs chez qui je cree un compte.
        Je peux meme dire que j'ai encore moins confiance en un serveur d'identité du fait de son role.
        Ca me rappelle un peu le systeme de carte bancaire : normalement tout est securisé. Pourtant des sous traitant des deux plus grand fournisseur de carte bancaire ont eu acces a de vrais numeros en circulation pour test et autre, et ce sont eux qui se sont fait piratés ...

        Non, vraiment je prefere mon systeme d'identité distinctes sur le net, classées par ordre d'importance.
        Je peux vous dire que "jihaire" ,"jrlamoule" c'est pas vraiment l'identité que je considere comme etant la plus critique ...

        • [^] # Re: Mouais ...

          Posté par  . Évalué à 2.

          Je peux vous dire que "jihaire" ,"jrlamoule" c'est pas vraiment l'identité que je considere comme etant la plus critique ...


          Et la propriété intellectuelle de tes chansons ?!

    • [^] # Re: Mouais ...

      Posté par  . Évalué à 3.

      et sur internet, tout est en général enregistré et public, du coup avec openid on a le parcours de la personne sur internet, génial !

      • [^] # Re: Mouais ...

        Posté par  . Évalué à 4.

        T'as qu'à utiliser un identifiant openID différent pour chaque site... Ou un spécial pour les sites de p0rn.


        Ok, je sors.

    • [^] # Re: Mouais ...

      Posté par  (site web personnel) . Évalué à 3.

      Surtout que si tu as plein de comptes sur Internet (tous les forums auquel tu t'est inscrit, les bugzilla et j'en passe) tu va avoir du mal a retenir des mots de passe différents pour chacun.

      Ou alors tu utilises le même mot de passe pour tout mais ce n'est pas très sûr.

      Quant à demander au navigateur de les retenir, ça marche plus ou moins (chez moi pas du tout même)

      • [^] # Re: Mouais ...

        Posté par  . Évalué à 2.

        C'est vraiment une menace pour la vie privée, ce truc.

        Si le grand public l'utilise, ça sera avec des serveurs contrôlés par des boîtes connues mais pas très fiables, genre AOL.

        Je pense (j'espère) que les navigateurs résoudront leur bugs de gestion de password avant que ces systèmes d'OpenID se généralisent (d'ailleurs, chez moi, ça marche).

        Et ces systèmes sont des usines à gaz, quand même.
        Mettre un serveur d'identité chez soi pour pallier les carences du navigateur, faut vraiment que le navigateur soit dans les choux.

        • [^] # Re: Mouais ...

          Posté par  . Évalué à 1.

          > Mettre un serveur d'identité chez soi pour pallier les carences du navigateur, faut vraiment que le navigateur soit dans les choux.

          Mais quand tu veux accéder à un site depuis un autre ordinateur avec un autre navigateur, tu fais comment ?

          • [^] # Re: Mouais ...

            Posté par  . Évalué à 2.

            On peut mettre son navigateur sur une clé usb.

            Peut-être que certains cyber ne permettent pas cela, mais tu risques d'avoir le même problème avec une clé ssh.
            Et le tableau de chiffres dont tu parles plus haut n'est pas l'idéal non plus en public.

            On peut penser qu'autoriser un client d'un cyber à utiliser un profil sur une clé usb et à lui proposer firefox devrait se développer si ça n'existe pas encore.

            Et on peut quand même retenir 3-4 passwords pour les sites les plus importants.

        • [^] # Re: Mouais ...

          Posté par  . Évalué à 5.

          Heu... Tu nous apprends quoi là ?
          Le grand public utilise déjà des services controlés par des boites connues mais pas fiables, que ce soit pour les mails, la messagerie instantannée (je ne citerai pas de nom :p), les moteurs de recherche, ou même l'accès à internet (suffit de voir le nombre d'abonnés à AOL, justement ;)). Sous ce pretexte, il faudrait freiner à tout prix le développement des mails, de la messagerie instantannée, des moteurs de recherche ou même d'internet ? Il pue vraiment ton raisonnement...

          • [^] # Re: Mouais ...

            Posté par  . Évalué à 1.

            >Sous ce pretexte, il faudrait freiner à tout prix le développement des mails, de la messagerie instantannée, des moteurs de recherche ou même d'internet ?

            Hein ? Mais pas du tout !

            Je dis que le navigateur peut faire le boulot de l'openid d'une façon plus simple et moins intrusive.

            • [^] # Re: Mouais ...

              Posté par  . Évalué à 2.

              1. Comme dit précédemment, ton navigateur, tu l'as pas toujours sur toi. Il y a aussi le cas de changement de navigateur, de suppression accidentelle du profil,... Non, je fais pas vraiment confiance au navigateur
              2. Ne vois pas simplement OpenID comme le moyen de "faire le boulot du navigateur". OpenID, c'est pas juste un truc pour se souvenir de ses mots de passes. Le principal avantage d'OpenID est, à mon sens, de pouvoir contrôler la méthode pour s'authentifier.
              3. Pour l'intrusif, tu peux justement jouer à trouver une méthode d'authentification qui passe par le navigateur, si ça t'amuse. En s'inspirant par exemple de HTTP-Auth (Google Summer of Code 2006, Jabber, je te laisse chercher)

              • [^] # Re: Mouais ...

                Posté par  (site web personnel) . Évalué à 3.

                En passant quelqu'un sait pourquoi la plupart des sites utilisent un formulaire pour l'authentification a la place d'utiliser l'authentification HTTP ? La deuxième solution a au moins l'avantage que les mots de passe sont beaucoup plus facile a retenir pour le navigateur.

                • [^] # Re: Mouais ...

                  Posté par  . Évalué à 2.

                  Je dirais :
                  - parce que c'est plus facile à implémenter (un poil de code PHP/MySQL derrière le formulaire et hop, plutôt que d'interfacer tout avec la config du serveur Web à base de .htaccess et autres)
                  - parce que ça permet de faire un joli formulaire sur la page web plutôt qu'une boite grise avec un petit message
                  - parce que les navigateurs retiennent aussi les mots de passe des formulaires d'authentification

                  • [^] # Re: Mouais ...

                    Posté par  (site web personnel) . Évalué à 2.

                    En l'ocurence on peut l'utiliser a partir d'un script php sans problèmes

                    http://fr.php.net/manual/fr/features.http-auth.php

                    Et pour répondre a juste en dessous :
                    Netscape et Internet Explorer effaceront le cache d'identification client s'ils reçoivent une réponse 401. Cela permet de déconnecter un utilisateur, pour le forcer à saisir à nouveau son nom de compte et son mot de passe. Certains programmeurs l'utilisent pour donner un délai d'expiration ou, alors, fournissent un bouton de déconnexion.


                    Ensuite l'estethique de la boîte de dialogue dépend du navigateur et s'intègre très bien (beaucoup plus que les formulaires) à l'OS. Il y a juste la chaîne d'authentification qui n'est pas toujours bien présentée à l'utilisateur.

                    Personellement, je préfère de loin une solution d"finie dans le standard HTTP facilement utilisable par n'importe quel user-agent à une solution particulière redéfinie a chaque fois sur chaque page.

                • [^] # Re: Mouais ...

                  Posté par  . Évalué à 2.

                  - parce qu'on doit fermer le navigateur pour se délogguer

        • [^] # Re: Mouais ...

          Posté par  . Évalué à 1.

          Mettre un serveur d'identité chez soi pour pallier les carences du navigateur, faut vraiment que le navigateur soit dans les choux.

          Utiliser internet chez soi pour pallier les carences du telephone, faut vraiment que le telephone soit dans les choux.
          Utiliser le telephone chez soi pour pallier les carences de "je me déplace et je vais voir la personne", faut vraiment que, etc...

          • [^] # Re: Mouais ...

            Posté par  . Évalué à 2.

            Décidement, c'est parti pour les incompréhensions.

            Tu compares le fait de prendre un abonnement internet ou de composer un numéro de téléphone avec la mise en place un serveur d'identité ?

        • [^] # Re: Mouais ...

          Posté par  . Évalué à 0.

          C'est vraiment une menace pour la vie privée, ce truc.

          Est ce que tu peux expliquer exactement en quoi c'est une menace pour la vie privée ?
          J'ai du mal à comprendre.

          • [^] # Re: Mouais ...

            Posté par  . Évalué à 2.

            Je crois qu'il veut parler de stocker les infos des sites où tu passes, etc...

            Imaginons ce service chez google (couplé a gmail, gtalk et compagnie...) et greffons-y le pire scénario.
            Réfléchis au nombre de données perso que tu fais déjà passer par leurs services avec un compte.

            Alors, si en plus, tu leur permets de tracer les sites où tu t'inscris (facile car ces sites utiliseront ton openID couplé a ton compte gmail...) y aura plus grand chose qui va leur échapper.
            Par rapport aux cookies traceurs éternels, tu leur facilite la vie. => le rêve de toute régie publicitaire.

            Oui on peut installer un serveur chez soi. Mais combien le feront ?
            Tout comme on peut installer un serveur mail chez soi. Mais c'est une sérieuse minorité.
            C'est en cela que la vie privée peut être malmenée.

            C'est comme tout : ca dépend de la confiance accordée au prestataire...

            • [^] # Re: Mouais ...

              Posté par  . Évalué à 4.

              À chaque fois que tu t'inscrit quelque part tu donne une adresse mail. Cette adresse reçois à chaque fois un mail de confirmation d'inscription, avec ton mot de passe, etc...

              Donc tu permet déjà au prestataire de ton adresse mail de "tracer les sites où tu t'inscrit". À mon avis à ce niveau là tu peux voir ton adresse mail de la même façon qu'OpenID.

            • [^] # Re: Mouais ...

              Posté par  (site web personnel, Mastodon) . Évalué à 7.

              en même temps, ils pourront découvrir que... youpie, le ploum de linuxfr, d'ubuntu-fr, d'ubuntuforums, du forum dotclear, du forum truc, du forum machin et tout, et bien, c'est la même personne !

              Wow ! Merci openid !

              Moi qui met toujours le même pseudo, le même avatar et la même adresse email, je suis sûr que sans openid, personne aurait jamais pu réussir à me tracer.

              En plus, c'est comme pour tout le reste : tu utilises si tu as envie ou pas. Le principe d'openid te permet d'explicitement autoriser un site à accéder à tes données. Je vois vraiment pas pourquoi vous vous prenez la tête autrement que pour le traditionnel : "rha ! mais c'est un changement, j'ai horreur du changement !"

              Mes livres CC By-SA : https://ploum.net/livres.html

              • [^] # Re: Mouais ...

                Posté par  . Évalué à 1.

                T'excite pas comme ça... J'ai pas dit que j'étais contre ! ;-)

                ils pourront découvrir que... blabla...c'est la même personne !
                Et comme une majorité de personnes utilisera une seule ID pour tout (comme pour le mail), Ca groupera un paquet d'infos sur des domaines un peu plus divers, de leurs gouts musicaux à la boutique où ils commandent leur viagra.

                Le principe d'openid te permet d'explicitement autoriser un site à accéder à tes données.
                Depuis le départ, je ne parlais pas des sites demandeurs, mais des hébergeurs d'ID.
                J'ai bien précisé que c'était un scénario exagéré et fictif (mais toujours possible).
                Eux qui nous scrutent le plus possible pour augmenter leur ciblage publicitaire, et dieu sait quoi d'autre... (oups, là je deviens parano.)
                Après tout, une des raisons de l'insuccès de MS passport, c'était le manque de confiance envers le service. (C'était pas la seule)

                Note pour andeus au dessus : Faut interpréter le contenu du mail pour ca... (même si c'est pas un grand obstacle)

                • [^] # Re: Mouais ...

                  Posté par  . Évalué à 3.

                  Si ce service se généralise, tu peux être sûr que la plupart des fournisseurs d'accès le proposeront. Ils sont déjà responsables en bonne partie de la préservation de notre vie privée, et tant que les lois resteront de notre côté, il n'y a pas de raison de se méfier d'eux. Il y a aussi des organismes indépendants qui s'y mettront. En l'occurence, je pense que belnet.be lancera ce service s'il a du succès, et je leur fais confiance. (Ils ont déjà mis en place un serveur jabber et d'importants mirroirs de FTP de LL)

              • [^] # Re: Mouais ...

                Posté par  (site web personnel) . Évalué à 1.

                En plus, c'est comme pour tout le reste : tu utilises si tu as envie ou pas.

                Ben oui, mais on peut se demander de l'interet et dire qu'on ne l'utilisera pas, et pour quelles raisons

                Le principe d'openid te permet d'explicitement autoriser un site à accéder à tes données.

                Ok, genial, dans ce cas là, je peux aussi lui fournir les données que je veux ca revient au meme

                Je vois vraiment pas pourquoi vous vous prenez la tête autrement que pour le traditionnel : "rha ! mais c'est un changement, j'ai horreur du changement !"

                T'as rien compris, ce n'est pas une resistance au changement. On nous présente une "nouveauté", très bien.
                Elle est sensée etre super sécurisée, super pratique etc ...
                Ben au lieu d'évangéliser bêtement et disant : C'est open source, tout le monde peut l'utiliser gnagnagni gnagnagna, on en discute.

                En plus OpenId ne règle en rien le problème de phishing ...

  • # A votre place, je courrais quand même...

    Posté par  . Évalué à 1.

    A tous ceux qui sont connus sous un pseudo récurrent sur divers sites, je n'ai qu'une chose à dire:
    - En cas de migration massive à openid, le premier blaireau qui crééra son login plus vite que vous peut presque usurper votre identité sur une multitude de sites simultanément!

    Quoi?! Qui a dit que j'étais vraiment contre?!?

    • [^] # Re: A votre place, je courrais quand même...

      Posté par  . Évalué à 5.

      Heu... Mis à part qu'avec OpenID, 1 login = 1 page web
      Donc, il te reste de la marge avant de te faire piquer tous les pseudos possibles ;)

      (si quelqu'un a piqué matthieu.livejournal.com, tu peux toujours prendre matthieu.myopenid.net)

    • [^] # Re: A votre place, je courrais quand même...

      Posté par  (site web personnel) . Évalué à 2.

      Sauf qu'il n'y a pas "un login" mais "un login + un serveur". Avec autant de serveurs qu'on veut, y compris le tiens propre si tu veux.

      C'est comme partout, quelqu'un peut prendre ton pseudo (et souvent de bonne fois en plus). L'avantage avec openid c'est au contraire qu'une fois qu'on t'a identifié et qu'on connait ton url openid, tu es sûr de pouvoir l'utiliser partout (et pas de devoir prendre des pseudos légèrement différents suivant les sites parce qu'un copain est passé avant toi sur un site à la mode).

      • [^] # Re: A votre place, je courrais quand même...

        Posté par  . Évalué à 1.

        Ah!
        Ben alors autant pour moi! J'aurais mieux fait de mieux RTFM avant de l'ouvrir...

        Je vais de ce pas me faire un serveur openid en boulet-sur-tous-les-sites.com... -->|[] ("aïe! qui c'est qui a fermé à clé?!?")

  • # old stuff ?

    Posté par  (site web personnel) . Évalué à 1.

    J'ai pas lu la moitié du journal, j'ai à peine grepé les liens dans les commentaires et j'ai pas trop le temps de creuser mais il me semble qu'il y a déjà eu d'autres tentatives d'unification d'authentification auparavant (la plus connue étant sans doute MS Passport/Live ID).

    http://fr.wikipedia.org/wiki/Windows_Live_ID
    http://fr.wikipedia.org/wiki/Liberty_Alliance#Authentificati(...)

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Trop cool

    Posté par  (site web personnel) . Évalué à 2.

    On va pouvoir gérer les droits numeriques grace qu passeport .GNU :p

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.