wtorek, 20 03 2007 | Kategoria: Technologia
Ostatnio zacząłem trochę pisać o bezpieczeństwie i zagrożeniach wobec naszej wolności. Dzisiaj będzie wpis utrzymany w nieco zbliżonej tematyce. Tak, tak, będę pisał o Identity 2.0 i OpenID. Czym jest ta technologia, chyba każdy wie, a kto nie wie, ten może użyć wyszukiwarki albo już niedługo poczytać kwetniowy Magazyn Internet (będzie tam, jeśli nic nie nawali, nawet wywiad z Czołowym Polskim Ewangelizatorem OpenID ;-)).
Najpierw podstawowe założenie: Identity 2.0 oznacza centralizację. Oczywiście możemy korzystać z usług kilku dostawców tożsamości, ale to nadal będzie forma centralizacji, tylko trochę łagodniejsza. Dla mnie jest to słowo klucz, które zawsze wskazuje na potencjalne problemy.
Na szczęście ta centralizacja nie będzie tworzona rękami państwa (oby). Więc czyimi? Rękami prywatnych osób. Czy tym prywatnym osobom będzie można zaufać? A może to sprytny przestępca przybrał fałszywą tożsamość i najpierw udaje uczciwego, zdobywa zaufanie, a potem będzie sprytnie, niepostrzeżenie podkradał ludzkie tożsamości? To jest coś czemu chyba raczej nie ulegnę: nie oddam wiedzy na temat wielu moich kont w wielu serwisach w przypadkowe ręce, choćby ta osoba miała wspaniałą reputację. A gdyby taki serwer założyła duża, szanowana korporacja, to nie oddałbym jej tym bardziej.
Ponoć nie ma serwera na który prędzej czy później ktoś się nie włamamie. Włamując się na serwer OpenID cracker może niepostrzeżenie uzyskać dostęp do wszystkich moich kont. To z czasem zostanie wykryte, ale co może się stać w tym czasie? Ja takiej sytuacji nie zaryzykuję. Nie twierdzę, że to się zdarzy, ale samo potencjalne ryzyko jest dla mnie osobiście nie do przyjęcia.
A co się stanie, gdy serwer przestanie działać? Czy istnieją jakieś procedury awaryjne, które umożliwią mi zachowanie dostępu do wszystkich kont?
Jest tu dla mnie sporo różnych “ale” ze względu na które nie wyobrażam sobie, abym mógł zacząć korzystać z OpenID.
Komentarze (8)
kl, 21 03 2007, 01:29
Nie wiem, czy czegoś nie mylę, ale zdaje mi się, że w OpenID twoją tożsamością jest twój wybrany *URL*. Możesz użyć własnej domeny skierowanej na serwer providera OpenID albo wręcz założyć swój własny.
bartosz, 21 03 2007, 07:21
a gdyby ci się włamano na maila – skutki nie byłyby zbliżone?
mynthon, 21 03 2007, 10:08
Nikt nie zmusza do używania openID w bardzo newralgicznych punktach jak konto bankowe czy coś podobnego. Ale sam przyznasz, że życie byłoby łatwiejsze gdyby wszystkie fora działały na openID, szczególnie te z typu “aby przeczytać wiadomość musisz się zarejestrować -> Podaj maila do naszego spamBota -> Poczekaj na maila ->Potwierdź założenie konta -> Zaloguj się -> Przykro nam wiadomość o tym temacie nie istnieje na naszym forum.” albo gdybym pisząc komentarze na Twoim blogu nie musiał za każdym razem wypełniać danych.
Bellois, 21 03 2007, 11:34
@kl: to tylko zmienia punkt centralizacji, a nie samo zjawisko centralizacji.
@bartosz: chyba raczej nie byłyby zbliżone, jeden mail to nie to samo, co wszystkie konta.
@mynthon: Może życie byłoby przyjemniejsze, ale pytanie czy stać nas na taką przyjemność.
Mendax, 21 03 2007, 16:51
brawo Kolego Bellois, krotko, prosto i “przyjemnie” opisales powod(y), dla ktorego rozsadni ludzie powinni unikac OpenID.
qx, 23 03 2007, 19:33
Ja używam KDEwallet. Jego korzystanie z niego ogranicza się do podania “hasła do haseł”, reszta dzieje się sama (no, prawie). Gdyby składował dane na serwerze nigdy bym nawet nie pomyślał o używaniu go!
Pozdrawiam
Łukasz
http://pieknedni.blogspot.com/
Szymon Błaszczyk, 23 03 2007, 20:06
Moim skromny zdaniem głównym niebezpieczeństwem dla OpenID jest brak prostego wyjaśnienia, które odpowiadałoby w jednym zdaniu na pytanie “czym jest i co na tym zyskam” ;)
Piszesz: “Czy tym prywatnym osobom będzie można zaufać? A może to sprytny przestępca przybrał fałszywą tożsamość i najpierw udaje uczciwego”
Równie dobrze możesz (bardziej?) obawiać się anonimowej państwowej machiny z rozproszoną odpowiedzialnością lub niecnymi celami. A czy obecnie nie “ufasz” (w rozumieniu składania tam danych i faktycznej tożsamości) allegro, paypal, swojemu bankowi itd?
wentuq, 12 08 2007, 13:21
OpenID IMHO oznacza na pewno duże ułatwienie okiem użytkownika. Podajesz tylko tylko URI potwierdzasz i już jesteś w serwisie. Co do centralizacji to masz rację, ale zauważ, że punkt centralizacji się zmienił i jeśli tego chcesz może znajdować się on u Ciebie a nie na kogoś serwerze. Rozwiązaniem obaw może być postawienie własnego serwera OpenID, ty będziesz wiedział najlepiej jak się zabezpieczyć ale czy będziesz to wiedział lepiej niż inni?
Dodaj komentarz