Vlákno názorů k článku OpenID míří na české weby od mno - Ty bezpečnostní otázky jsou ovšem zásadní. A princip...

Ty bezpečnostní otázky jsou ovšem zásadní. A princip je jasnej - takže bych naopak u IT lidí očekával, že tenhle paskvil budou ignorovat.
Je to něco podobného, jako bylo kdysi u Pentia III - pevně dané a jedinečné ID procesoru, schopné uživatele jednoznačně identifikovat. To samé platí o různých čipech apod. U aplikací, do kterých si lze zašifrovat všechna hesla, a následně se jednou do ní přihlásit a ta se již automaticky postará o vyplňování (poloautomaticky) na služby, to je záležitost klienta, a je to mnohem bezpečnější, hlavně u IT lidí, než data kdekoliv u nějaký firmy. Možnost zneužití je obrovská.

kdo Vam vydava ssl certifikaty? Vy sam? to by prece byla parodie na bezpecnost. podobny certifikat muze vystavit kdokoli, treba phisher.
nebo nejaka renomovana organizace, napr. Verisign? a verite ji, ze nezneuzije Vas certifikat? pokud ano, je to prece podle Vasi logiky parodie na bezpecnost. :-) pokud ne, tak proc ji za to platite?
nebo nepouzivate sifrovanou komunikaci?

ps: ano, Verisign je OpenID provider.

Používám SSL jako uživatel, ale žádný vlastní SSL certifikát nevlastním, a ani jsem tudíž za něj nikomu nezaplatil :-)

Doporučuju odlišovat firmy od fyzických osob. A ano, věřím, že na druhé straně, pokud je certifikát od zaběhlé firmy, je ten správnej server. Ovšem je velkej rozdíl identifikovat se sám za sebe jednotně na všech serverech a rozdíl v certifikátu, kterej jen identifikuje firmu a její servery. To totiž nejsou vůbec žádná osobní data, do kterejch nějakejm diskuzím, blogům, a jiným prkotinám, kde vůbec neni nutný ba bezpečný se identifikovat pod pravou identitou, prostě nic není.

Ale nic vám nebrání si OpenID honem pořídit. Já k tomu (vůbec tomuhle principu identifikovat se někde, kde to vůbec není potřeba) mám nedůvěru, a proto si ho pořizovat nebudu. A píšu proč. Toť vše.

OpenID a certifikáty jsou přece něco úplně jiného, s úplně jinými bezpečnostními riziky. Těžko to můžete srovnávat:

- U certifikátů hrozí víceméně jenom to, že někdo získá soukromou část certifikátu autority a pak si začne vystavovat vlastní certifikáty, které nebude moci nikdo odlišit od certifikátů oficiálních. Tady nastupuje důvěra v autoritu, že má svoje systémy zabezpečené tak dobře (technicky i organizačně - hrozbou jsou zejména zaměstnanci, méně už hackeři apod.), aby k tomu nemohlo dojít - a pokud k tomu dojde, že to bude ihned odhaleno a kompromitovaný certifikát okamžitě revokován.

- U OpenID je těch útoků celá řada, nejen na bezpečnost, ale i na soukromí (možnost sledovat pohyb uživatele po webech, které podporují OpenID). Poměrně výrazný potenciální problém je třeba právě ta největší výhoda OpenID - unifikované přihlašování. Na straně serveru je to hezky ošetřené, na straně klienta může být nějaký keylogger velkým problémem, protože dokáže snadno zachytit všechna data potřebná k přihlášení (to u aplikací pro správu hesel není - tak útočník potřebuje nejen to heslo, ale taky samotnou databázi, případně i použité keyfiles).

Připojuji:

http://news.zdnet.co.uk/security/0,1000000189,39461045,00.htm

http://www.theregister.co.uk/2008/08/13/openid_phish_risk/

Verisign snad certifikuje pouze veřejnou část klíče. Není důvod, proč by potřebovali i soukromou část, takže ta zůstává po celou dobu na mém serveru. Či jaké zneužití myslíte?

Certifikát je veřejný klíč plus podpis toho veřejného klíče vytvořený certifikační autoritou. Takže na certifikátu není co zneužívat. Navíc certifikační autorita (která si zaslouží takové označení) nikdy nebude mít k dispozici váš soukromý klíč. Takže jediné, co může certifikační udělat (jako svůj největší průšvih) je to, že podepíše s vašimi osobními údaji veřejný klíč někoho jiného. Tím se sice stane ona CA nedůvěryhodnou, ale nestane se nedůvěryhodným váš původní pár soukromého a veřejného klíče – až se takový podvod provalí, je možné u kteréhokoli použití certifikátu s vašimi údaji kdykoli zpětně zjistit, zda byl použit váš pravý pár klíčů, nebo zda byl použit ten falešný. Prakticky: když budete mít vystaven certifikát na jméno Pepa Novák, pak někdo ukradne CA její privátní klíč a vystaví si také certifikát na jméno Pepa Novák, pořád to budou dva různé certifikáty a různou dvojicí klíčů, a až se tenhle problém provalí, bude možné rozlišit, co jste podepsal vy svým klíčem a co podepsal ten útočník.

Celý princip certifikačních autorit je postaven na tom, že certifikační autority jsou (i zpětně) kontrolovatelné. To u OpenID neplatí, tam jste opravdu vydáni na milost a nemilost OpenID providera a pokud ten začne zlobit (nebo jej někdo zkompromituje), nemáte žádný způsob, jak prokázat, co bylo vytvořeno vaší pravou identitou a co nějakou falešnou.