Vlákno názorů k článku Jednotné přihlášení: Google, Facebook nebo Seznam? od dracul - nazorna ukazka:) nejvetsi problem openid je, ze ti...

nazorna ukazka:) nejvetsi problem openid je, ze ti co ho nejvic kritizujou o nem absolutne nic nevi

Zdá se mi, že plně nechápete význam OID. OpenID umožňujě autorizaci uživatele aniž by si u vás musel pořizovat nový username a login, nicméně pokud o něm informace potřebujete, tak si jeho profil samozřejmě vytvoříte (takováto registrace je i u Seznamu). OpenID server samozřejmě může poskytovat některé další údaje, ale je jen na uživateli, zda je pro váš (cílový) server zpřístupní.

"Je to tak, nebo jsem mimo?"

Malinko mimo, vy nemate a neznate heslo k oid. A teoreticky lze aby nektery z provozovatelu oid identity svym useru overoval (napr jmeno, adresu ...) a vy pak muzete takove duveryhodne accounty pouzit i bez jakekoli registrace, protoze vite, ze napr adresa vskutku sedi.

Coz ovsem nijak neresi soukromi uzivatelu.

http://mozek.cz/info/openid

"vy nemate a neznate heslo k oid"

to je myšleno pro mne jako uživatele a vlastníka daného OID? … to asi ne, předpokládám tedy, že tím myslíte mne, jakožto správce webu, kde používám OID registrované u jiného správce (i kdybych sám nabízel OID, tak bych měl přístup k důležitým datům jen u klientů registrovaných u mé služby a u klientů registrovaných jinde ne). A jako správce zase potřebuji přímo znát některé údaje svých klientů a nestačí mi, že tyto údaje zná někdo jiný, takže budu stejně vyžadovat registraci i na svém webu. (V případě, že bych například chtěl znát fyzickou adresu pro doručení zásilky, tak rozhodně nebudu stát o to, aby jiný subjekt řešil kontakt na klienta za mne.)

V části, kde jsem chtěl posoudit, zda "jsem mimo" jsem měl zejména na mysli fakt, že pro uživatele přináší OID jedinou "výhodu" v jednotném logování - a to až po už provedené registraci na všech webech, které to stejně potřebují (byť používají OID). A celý princip jednotného ID já osobně shledávám jednoznačně nebezpečným (pokud trošku myslím dopředu, tak 100%).

Zkrátka bych chtěl od někoho nějaký argument, který by mi vysvětlil výhodnost OID.

děkuji za reakci, ale odpověď na otázku "co je na OID výhodné?" jsem v ní nenašel (ani na odkazované stránce).

treba pro e-shopy je vyhoda v tom, ze u ni nich mozna bude nakupovat vic lidi

treba u me se velmi casto stava ze kdyz neco kupuju u nove vyhlednuteho obchodu, pekne si tam naberu par vecicek do kosiku (nedavno to byli naky hracky pro neter, sou ty vanoce:( ) prechazim k placeni a HLE! REGISTRACE.. moje chut nakupovat opada a odchazim
kdyby po me chteli jen OID, vyplnim, oni si ze servru poberou moje udaje jako jmeno, adresu ... (povolil bych to samozdrejme) a ja bych pak jen natukaval cislo platebni karty
vymejslet pokazdy nakej login, nebo se modlit ze muj vecne reciklovanej nekdo nekde nepouzije opravdu ne.

vyhodnost je snad jasna a toho linku se ty vyhody daji taky pochopit, jen to chce uvazovat jako lenivej programator:)

OK, beru to tak, že pro uživatele jako Vy to má smysl. Zajímalo by mne, kolik lidí takto uvažuje. Pro mne je představa sledování mého chování (kór při pohybu po eshopech) opravdu nepřijatelná. Je ale možné, že lidí uvažujících jako Vy je více, než těch s mým pohledem.

Řekl bych, že počet uživatelů, které nezajímá (nebo o tom neví) kdo je sleduje, versus těch co z toho mají obavy, je zhruba ve stejném poměru jako čtenáři Lupy vs. zbytek populace použivající internet.

ještě se zeptám (v duchu mých předešlých příspěvků) - nemáte strach z důsledků případné kompromitace přihlašovacích údajů u takového účtu (kterým můžete provádět kde co na různých webech)?

nemam:) dulezite je mit v bezpeci hlavne stranku kterou pouzivam jako identitu (s tema tagy link s nasmerovanim na openid server). kdyz mi pak nekdo sebere ucet na serveru, jednoduse si to nasmeruju jinam.
no a riziko na vetsine webech je stejne male a alspon se zvysi bezpeci tam kde jsou pouzity recyklovany hesla

Vaši odpověď nechápu (možná jste ale nepochopil můj dotaz).
Zkusím se ještě jednou zeptat a trošku jinak dotaz formulovat:
Pokud probíhá přihlášení pomocí kombinace jméno/heslo, které autorizuje (pro všechna místa, jež OID využívají) Vámi zvolený správce OID a tuto přihlašovací kombinaci někdo zjistí (teď je jedno jak), tak se přece dostane ke všem službám na všech webech, které jste využíval.
Je to tak? Z toho nemáte obavy?

… ještě dodám, aby nedošlo k nedorozumění - nebavím se o tom, že by Vám někdo po zjištění Vašich logovacích údajů dal echo a čas si na různých místech ještě rychle něco ošetřovat. (tuhle absurditu zmiňuji schválně, protože se mi zdálo, že Vaše předešlá reakce k tomuto scénáři inklinovala)

Ano, je to tak. Nazývá se to "efekt kroužku na klíče" (nebo aspoň já tomu tak říkám). Proto je nesmysl používat OID na takové citlivé věci jako je PayPal (jak tu někdo psal) nebo pro přihlašování k mailu (kam mi chodí zapomenutá hesla apod.) OID má smysl (a velký) na diskusních fórech, kdy je potřeba nějak udržet svou identitu "napříč různými servery", nebo u "malých" služeb, kde nejde o peníze, o citlivé údaje a kde případná kompromitace člověku moc neuškodí.

A teď ruku na srdce: Když zjistí někdo vaši přihlašovací kombinaci do mailu, zjistí tím i heslo k dalším vašim službám? ;) Nebo patříte k tomu 0.5% uživatelů, co mají pro každou službu unikátní silné heslo, uložené v hlavě (protože generátor hesel trpí naprosto stejným efektem "kroužku na klíče")?

Asi tak.

Já konkrétně používám tři emailové účty aktivně a dalších pár jen pro neoblomné weby, které trvají na registraci s uvedením emailu pro potvrzení registrace dříve, než uživatel může posoudit, zda je nabízená služba použitelná.
Každý emailový účet má jiné přihlašovací údaje (hesla nejsou příliš komplikovaná, nicméně používají jak číslice, tak malá i velká písmena) a různé důležité informace (mimo jiné i přihlašovací údaje pro "důležité" služby) jsou v oněch třech základních emailových účtech. Vniknutím do kteréhokoliv z nich by mi mohla vzniknout reálná škoda. Nicméně nemám všechny údaje na jednom místě. Pokud jde o používání různých přihlašovacích údajů u různých služeb - ano - snažím se používat různé.
Pokud jde o uznání problematičnosti použití unikátních přihlašovacích údajů, zajímalo by mne, zda je v zájmu uživatele vystupovat v diskusích (které zmiňujete jako ideální pro použití OID) pod jednou identitou. Z příspěvků se dá o autorovi vydolovat opravdu hodně informací. Pokud se uživatel pohybuje po různých fórech a používá jednu identitu, musí si dávat velký pozor na obsah sdělení (o sobě, blízkých apod.)
Myslím si, že pokud problematika soukromí někoho nezajímá, tak nemyslí ani pár let dopředu. Veškerý (nebo téměř veškerý) stav sítě je archivován a pokud není dostatečně analyzován dnes, tak rozhodně bude v brzkém budoucnu. Nejde o paranoiu - jde jen o peníze a moc - znalost člověka, kterého mám "v rukou" je cenná. A proto jsem přesvědčen, že je dnešní běžné užívání sítě velmi lehkovážné a bude "po zásluze potrestáno" v blízké budoucnosti. K oné lehkovážnosti OID jen přispívá. Pořádná legrace ale nastane s IPV6, ale to už je jiná kapitola.

… chci tím jen říct, že z pohledu provozovatele webu, který nemá zájem důsledně sledovat uživatele je nasazení OID jen další prací navíc a pro uživatele jde o nebezpečnou věc (což si někteří dostatečně neuvědomují, nebo na to kašlou). Toť můj pohled na OID a zatím mi ho tady nikdo nevyvrátil.

"zajímalo by mne, zda je v zájmu uživatele vystupovat v diskusích (které zmiňujete jako ideální pro použití OID) pod jednou identitou. Z příspěvků se dá o autorovi vydolovat opravdu hodně informací. Pokud se uživatel pohybuje po různých fórech a používá jednu identitu, musí si dávat velký pozor na obsah sdělení (o sobě, blízkých apod.)" - věřte, že třeba já ten zájem mám; a ještě spíš mám zájem na tom, aby někde někdo nepoužíval moje jméno / nick. A pozor na obsah sdělení si dávám, což je, řekl bych, ku prospěchu věci.

pochopil sem vas dobre, odpoved uz vam dali jini:)

a jinak bych chtel jeste upozornit ze na nekterych servrech jde nastavit pro prihlasovani na jednotlive stranky ruznou uroven zabezpeceni (prihlaseni skoro automaticky,jmeno/heslo,certifikat.... a treba v budoucnu i SMSka jak v bance) takze nakonec i na prihlasovani do banky to treba bude casem pouzitelny;)

ale vyvratil:)

to byla nadsazka:D
i kdyz ... :-X

předpokládám, že chápete, že o tom, jestli mi někdo vyvrátil můj pohled na věc nebo ne, rozhoduji já sám - a tedy opakuji "nevyvrátil" :-)

ja chapu ze kdyz nekdo nechce vyvratit nazor tak mu ho nikdo nevyvrati:)


nicmene vsechny vase namitky jsou vyvracene, takze to shrneme:

"Pokud jsem schopen si jako provozovatel webu od této třetí strany vyžádat požadované konkrétní informace, pak je situace lepší": ano v openid si muzete vyzadat vsemozne udaje, a hlavne ty nejmene dulezite ktere ale vsichni vyzadujou (jmeno, email, ...) a implementace neni slozita, je to v kazde knihovne.

"představa, že kompromitací jedněch přihlašovacích údajů přijdu o vše je úděsná představa": zalezi na zabespeceni serveru, a neni vubec problem doprogramovat miliony zpusobu jak to zabezpecit, a to ze se nekdo za vas tajne loguje je snadneji zjistitelne nez na kdejakym obycejnym prihlasovatku, treba myopenid ma stranku s casy kdy ste se kam logoval a urcite to je to tak vsude

"Nutnost registrace kde všude stejně bude nutná": jestli chce provozovatel registraci je ciste na typu sluzby (eschop to podle me nepotrebuje) a i tak vyplneni predvyplneneho formulare je mene otravne nez psat vsecky sve udaje porad dokola

"A když budou náhodou tyto mé logovací údaje kompromitovány, tak jsou v háji všechny služby": prave ze ne:)

"Dalším problémem z pohledu uživatele vidím právě v možnosti krásného sledování mého pohybu po netu": ste paranoik, je to stejny jako jedna IP adresa, cookies, stejne nick a email

"A zpět k pohledu provozovatele - nasazení jak OID, tak jeho alternativ je z principu věci jen komplikace navíc": knihovy jsou snadno pouzitelny, a velke mnozstvi hotovek to uz ma davno v sobe implementovano treba pres plugin

"Nevím, jestli OID "nejvíc kritizuji"": ano nejvic kritizujete:)

"proto mi prosím vysvětlete výhodnost OID pro uživatele a pro provozovatele webu": uzivatel nedava heslo provozovateli, pro provozovatele je snadnejsi implementace nez vymejslet spravu hesel, obnovu zapomenutych ...


"OK, beru to tak, že pro uživatele jako Vy to má smysl. Zajímalo by mne, kolik lidí takto uvažuje.": by ste se divil, spousta dokonce i ti co o openid nic netusi, proto taky zacali postupne vznikat podobne jednotne prihlasovadla

"nemáte strach z důsledků případné kompromitace přihlašovacích údajů u takového účtu" ne ne nemam

......

pak uz se to jen opakouje a opakuje

Jediný problém je, že OID neumožňuje zasílat adresu uživatele, ta se musí na webu třetích stran stejně vyplnit. Důvod je ten, že při registraci OID (např. www.myopenid.com) není možné ani nikde v kolonce vyplnit adresu, proto taky nejde odeslat. Jediná výhoda OID je v tom, že člověk musí znát pouze jedno přihlašovací jméno a heslo a dokáže se přihlásit všude tam, kde je OID používáno. Pokud někdo neví, jak OID funguje, tak na www.religis.cz/open-id/ je můj článek, který mu alespoň trochu vysvětlí, oč jde.

Díky za vyčerpávající shrnutí, u téměř všech bodů mám však jiné závěry :-)

Myslím, že nechcete slyšet mou zásadní námitku, či ji spíše nechcete pochopit - pro správce je neoddiskutovatelně přidání podpory OID prací navíc (stejně jako přidání jakékoli jiné funkcionality) a pro uživatele je princip jedněch logovacích údajů nebezpečný.

Proti tomu se neustále bráníte tím, že existují knihovny a jiná udělátka a proti druhé části námitky, že jsem paranoik. Nic z toho není argument, který by mohl popřít jakoukoliv část mého tvrzení.
Pokud jde o Váš pohled na mne jakožto na paranoika - nezbývá, než se za pár let "sejít" a popovídat si znovu :-)

(mimo téma - pravopis je otrava, ale není to špatná věc a diakritika také není k zahození)

zasadni namitku z pohledu provozovatele opravdu slyset nechci. jako programator vim, ze rozbehat to je snazsi nez rozbehavat vlastni spravu loginu a hesel. nehlede na to ze vetsinou uz to pro ruzna fora, wiki a jine prkotiny to uz davno hotove je, staci to jen zapnout. a s tou praci navic, to neni pro spravce ale kecala nad nim;)

a druha uzivatelska cast? je smutny ze ste si vzal ze vseho co sem napsal jen to ze ste paranoik, i kdyz to si nemyslim, myslim si ze ste jen provokater:(
hold ste sem zacal psat s tim ze nazor uz mate a menit ho nebudete, i kdyz v nekolika prispevcich ste predstiral ze se chcete jen o tom neco dozvedet. hold opravdu nema cenu na fora (mimo provokaci) vubec psat.

(ne! pravopis neni otrava, jen ty chyby proste nevidim asi protoze moje profese neni psani dlouhych, nic nerikajicich ale pravopisne spravnych kecu. diakritika k zahozeni je, pokud musite neustale prepinat klavesnici)

Do diskuse jsem vstupoval s tím, že mám o OID jen základní informace a (ale) celá koncepce se mi nezdá a proto jsem (byl) zvědavý, jestli mi někdo ukáže nějaký důvod, proč by to mělo být zajímavé.
Tehdy jsem ještě byl ochoten změnit stanovisko, pokud by mi někdo podal dostatek pozitivních argumentů.
Místo argumentů mi pořád dokola opakujete, že systém je snadné nasadit a je pro něj podpora v připravených knihovnách pro různá prostředí a že je moc prima pro lidi mít ke všemu na webu jedno jméno/heslo. Já prostě tvrdím, že implementace čehokoliv k již existujícímu je práce navíc a systém jednoho jména/hesla je nebezpečný.
Vaše prosté tvrzení, že tomu tak (podle Vás) není - není (pro mne) argument.

Nicméně Vám děkuji za snahu o "evangelizaci", ale zůstávám dál "bezvěrcem". :-)

první vlaštovka - myšlenka, že se chci profilovat jako obecně známá osoba a proto si zaberu na webech svého zájmu svůj nick (či reálné jméno) je pro mne prvním opravdu smysluplným argumentem. Sebekriticky přiznávám, že tento pohled mne nenapadl. Nejspíše to vyplývá z mé povahy - sám nemám zájem být ikonou (myšleno v dobrém).
Tedy ještě jednou - uznávám tento argument.

"ale proboha, proc porad tvrdite system jednoho jmena/hesla"

"tvrdím" to proto, že to bylo prezentováno, jako základní výhoda - že není nutno používat pro různé weby různé logovací údaje a je to tím pádem pro uživatele snazší. A já všeho všudy tvrdím, že právě to je nebezpečné.

A zakládání několika OID je už teprve zajímavá myšlenka :-)

Nicméně, aby to tady zbytečně nepokračovalo dál, vzdávám se dalších reakcí a Vám děkuji za Váš promrhaný čas a omlouvám se za něj.

Evidentne to nechapete, takze priklad OK ? ;)

Provozujete shop a posilate zasilky. Na to potrebujete vedet adresu. Znate duveryhodneho poskytovatele oid, ktery overuje adresy.

Prijdu jako kolemjdouci, nakoupim, zadam oid, vas srv overi, ze je platne, vyzada si adresu, tu pouzijete a smaznete. Zadna registrace netreba.

Jinak oid by melo upoznovat rezim takovy, ze se heslem vuci svemu poskytovateli overite jednou a nasledne staci vlozit kdekoli pouze oid (coz muze udelat prohlizec automaticky).

Nevím, jestli OID "nejvíc kritizuji", nicméně uznávám, že o něm téměř nic nevím. Podle Vaší reakce usuzuji, že o něm víte podstatně více - proto mi prosím vysvětlete výhodnost OID pro uživatele a pro provozovatele webu. (Z mých už napsaných reakcí asi chápete mé obavy a výtky k principu jednotných ID - poraďte, kde mám chybu v uvažování.)

nejen ze existujou knihovny, obcas existujou pluginy, tj. klik, klik, klik ok:)

ale proboha, proc porad tvrdite system jednoho jmena/hesla
zaprve: identit si muzete udelat treba 3. prvni pro oblibene fora, druhy pro ty same fora ale jen jako provokater a treti pornostranky;)
dale je tu takova drobnost, openid nemusi byt jen jmeno/heslo ruzne servery muzou mit vicero spusobu pro prihlasovani na ruzne stranky.
a hlavne, openid server si muze dovolit byt specialista a nabidnout nepreberne moznosti v zabezpeceni a overovani (bez overovani, jmeno/heslo, jabber, certifikat, sms, security token) coz si vetsina webu dovolit nemuze ani nahodou (vetsinou je to totiz jen jmeno/heslo nesifrovane pres http protoze certifikat na https je drahej:)

a ze implementace neceho je je prace navic, no tak to hold chodi, ale taky opak toho je ze vznikaji ruzna zverstva jako treba prihlasovani na titulky.com (kde se pokousej o neco jako openid)

Máte pravdu - nechápu plně význam OID.
Podle toho, co píšete umožní uživateli na mém webu používat své logovací údaje zadané už jinde, ale stejně bude muset projít mou registrací, abych i já měl požadované údaje. Takže (z pohledu uživatele) zbývá jediná "výhoda" - jednotné logování. Nutnost registrace kde všude stejně bude nutná. A když budou náhodou tyto mé logovací údaje kompromitovány, tak jsou v háji všechny služby, kam jen OID sahá. Je to tak, nebo jsem mimo?
Dalším problémem z pohledu uživatele vidím právě v možnosti krásného sledování mého pohybu po netu - možná jsem paranoik, ale rozhodně toto sledování nehodlám aktivně podporovat (nechodím sice na net přes TOR apod., ale na druhou stranu si třeba ručně hlídám, kterým webům povolím cookies).
A zpět k pohledu provozovatele - nasazení jak OID, tak jeho alternativ je z principu věci jen komplikace navíc (předpokládám projekt, kde je nutno spravovat identity tak jako tak).
To je můj pohled. Klidně mi vysvětlete, kde mám co špatně. Opravdu, rád bych pochopil, v čem je to výhodné.

Jako provozovatel webu považuji službu zde popsanou (zejména FC a GFC) za hloupost - účty na svém webu si hodlám spravovat sám - potřebuji znát určité konkrétní data svých uživatelů (např. ověřitelné funkční kontaktní údaje apod.) a ne jen nějaký status poskytovaný třetí stranou. Pokud jsem schopen si jako provozovatel webu od této třetí strany vyžádat požadované konkrétní informace, pak je situace lepší, ale obávám se, že implementace takovéto funkcionality bude skutečně náročná.
Pokud jde o pohled uživatele - představa, že kompromitací jedněch přihlašovacích údajů přijdu o vše je úděsná představa - takže rozhodně NE.