Názory k článku Uspěje OpenID v českém kabátu?
-
Když to má seznam.cz, tak proč znovu vymýšlet kolo? Asi se nic.cz jen nudí, přitom bychom spíše potřebovali něco dokonalejšího než datové schránky. Např. něco jako je EDI v otevřeném formátu (ISDOC vychází z mezinárodního standardu UBL 2.0 (Universal Business Language)) + otevřený komunikační kanál (Jabber/GTalk) + otevřený systém podpisů GnuPG. Vše zdarma a vše by spoustě lidem ušetřilo práci. V povedené implementaci také miliardy státní správě. -
Proc si to myslite? Clenstvi prece nezaklada zadny narok na pristup k provoznim informacim.
Ja mam naopak velmi usilovny pocit, ze tim, ze je v CZ.NICu tolik clenu s protichudnymi zajmy, tak se vzajemne pohlidaji :-)
Z hlediska infrastruktury je jen velmi obtizne najit v CR nejaky nevladni subjekt, ktery ma neutralnejsi pozici. -
Petr Panne (neregistrovaný)Tak jsem trochu paranoidní - proto si to myslím :-) Na druhou stranu se mi celkem často moje paranoidní úvahy časem v praxi potvrdí...
Souhlasím, že NIC je na naše poměry velmi velmi neutrální, nicméně třeba mezi členy CZ.NIC zavládne většinová shoda, že ta data by se jim prostě hodila. Neb jak se říká: "Cokoliv zneužito být může, zneužito nakonec jednou bude."
Jinak jak jsem koukal na jiné diskusní příspěvky, tak mě zaujal nápad, který nadhodil diskutující LEXX - tedy není cílem implementace tohoto typu OpenID příprava na realizaci univerzálního mikroplatebního systému? :-)) -
Mezi cleny jiste muze zavladnout vetisnova shoda nad leccims. Nicmene uz sam jejich pocet a heterogenita (+zpusob hlasovani) je pomerne slusnou zarukou, ze pripadne zneuziti je velmi obtizne (pokud ne nemozne).
Co se tyce mikroplatebniho systemu, tak velmi pochybuji, ze by se chtel CZ.NIC do takove veci pustit. Prece jen je to spise technologicka firma. -
Karel (neregistrovaný)Zůstává ale otázka, proč se vůbec cz.nic do takové blbosti pouští, pokud za tím není nějaký skrytý obchodovatelný záměr.
Jen tak z "dobré vůle" a navíc něco tak relativně zbytečného? Motivace je tu záhadou a proto vyvolává pochybnosti.
Kdyby šlo o státní subjekt, bál bych se, že jde o první přípravný krok snahy, přidělit pevnou identifikaci ze zákona povinně všem. Podobně jako místo volitených mailů jsme od "ouřadu" najednou povinně vyfasovali ty zas** datové s*ránky. -
oto (neregistrovaný)Kdy už konečně někoho napadne používat klientské SSL certifikáty?
1. uživatel si vygeneruje certifikát (stačí self-signed, stačí jeden pro všechny služby)
2. při registraci na nějaké službě nahraje jeho public key
3. přihlášení ke službě pak provede prohlížeč automaticky
4. certifikát je chráněn v prohlížeči přes Master password, který zadáte buď jednou při startu nebo při každém použití certifikátu, podle toho jak moc jste paranoidní
Podpora v prohlížečích dávno je. Je to jednoduché, decentralizované a bezpečné. Ale bohužel na tom žádná třetí firma nevydělá, tak se to nerozšířilo. Jediné použítí, které jsem viděl, je klientský portál VZP. -
oto (neregistrovaný)Wizard pro generování klíčů lze v prohlížeči ze strany webaplikace vyvolat.
A úplní BFU (takoví, kteří neví, kde mají na disku soubory) by stejně přihlašování certifikáty používat neměli, dokud jsou tyto v souboru na disku.
To teprve až bude privátní klíč na nějaké eObčance a každý počítač mít čtečku ... -
anonymníProtoze certifikat muzes mit pro kazdy web jiny a tudiz se neda spolehlive logovat kde si browsil, zato kdyz budes pouzivat openid tak, jak je zamysleno = nebudes si delat 100 uctu, tak bude provozovatel sluzby naprosto presne vedet kdy kde si byl.
Zkratka tohle muze pouzivat leda magor a exibicionista dohromady. -
Já bych to třeba nevyužil. Přestože SSL certifikáty mám rád a používám je třeba pro VPNky.
Certifikát bych musel mít na všech zařízeních, ze kterých používám Internet (iPhone, iPad, MacBook, Mac Mini, notebook s Ubuntu, virtuál s CentOS, PC s Windows XP a servery klientů - Windows 2003 a 2008 Server).
Všechno aktivně používám. To už je hodně míst, kde leží privátní část certifikátu, kterou může někdo ukrást a pak se dostat všude.
Raději používám software, kde mám hesla uložena (přes 1000 hesel, kombinace cca 20 znaků generovaných náhodně generátorem, pro každý systém jiné heslo).
Na MacBooku je program integrovaný do prohlížečů Safari a Firefox, takže vyplní uložené heslo na pravé tlačítko.
Na strojích, kam se připojuji přes RDP, VNC, ICA,... zadávám heslo pomocí copy&paste.
Občas ho bohužel musím naťukat ručně, což je většinou na iPhone doprovázeno povzdechem "proč musím být tak paranoidní", protože musím zadat heslo pro odemčení telefonu, heslo pro spuštění aplikace, heslo pro zobrazení hesla, které potřebuji....
Každopádně mi tenhle systém vyhovuje víc, než certifikáty... zvlášť když z praxe vím, jak nakládají s certifikáty běžní uživatelé (klidně pošlou privátní část mail i s heslem, pokud ho certifikát má).... Takže při jakémkoliv "OpenID" řešení má pak útočník přístup naprosto do všech systémů....
BTW: to, že jsem paranoidní neznamená, že po mně nejdou :-) -
oto (neregistrovaný)To už je hodně míst, kde leží privátní část certifikátu, kterou může někdo ukrást a pak se dostat všude. Ten privátní klíč nemusí být všude. Vždy bude záložní alternativa přihlásit se bez něj, jen heslem (stejně tomu je u OpenID). Bezpečnost to neohrozí, protože takto, jen přes heslo, se obvykle přihlašovat nebudete, takže příležitosti k odposlechnutí je málo. A při případném odcizení můžete certifikát revokovat (pravda, pak nemůže být self-signed).
-
Jo, asi bych si dovedl představit, že certifikát budu mít jenom na primárním stroji, na kterém probíhá řekněme 60% veškerého přihlašování, a na všech ostatních se budu hlásit heslem...
Ale tahle to mám v podstatě už teď. Pouze s tím rozdílem, že se nepřihlásím automaticky, ale musím dát pravé tlačítko.... Což mi připomíná, že si na to pravé tlačítko můžu vybrat mezi více účty (například já, jako "jsaur", nejsem administrátorem ani ve vlastních systémech a potřebuji-li přidat třeba nového uživatele, musím se přihlásit jako "admin"), takže bych i těch certifikátů asi potřeboval několik... -
oto (neregistrovaný)Jo, když jsou v prohlížeči zašifrovaně uložená jména a hesla, tak je to z uživatelského hlediska podobné. Ale pořád vás otravuje ta úvodní přihlašovací stránka a těžko se tato uložená hesla přenesete na jiný počítač či dokonce do jiného prohlížeče.
Víc certifikátů mít samozřejmě lze a prohlížeč vám buď dá vybrat, nebo nějaký vybere tzv. "automaticky" (nevím přesně jak, asi zkusí postupně všechny a vezme první co funguje). -
V prohlížeči uložená hesla přenést lze. Například v lednu 2011 končící xmarks umí dokonce automatickou synchronizaci mezi počítači s různým OS. Otázkou samozřejmě je, jak moc je to bezpečné. Pro nás paranoiky samozřejmě nepředstavitelné, že by byla hesla uložena někde na Internetu, aby se mohla synchronizovat :-) Ale spousta lidí to využívá.
Pokud se hesla uloží do nějaké systémové "klíčenky" (MAC OS a Linux), pak to bude asi složitější, ale taky to určitě půjde.
Program 1Password je sice jenom pro MAC OS, ale zase hesla synchronizují mezi MacBookem, iPhone a iPadem po lokální WiFi téměř automaticky (na iPhone a iPadu stačí je nutno aplikaci spustit)
KeePass lze pustit téměř na čemkoliv (akorát AppStore jej už několikrát odmítl, takže na iPhone bez JB to nepůjde). Přenos mezi počítači znamená přenos databáze v jednom šifrovaném souboru.
eWallet jsem měl koupený ještě, když jsem používal Windows na počítači i v mobilu. Jak je na tom dnes už nemůžu říct, ale už tenkrát (asi dva až tři roky zpátky) to fungovalo spolehlivě, včetně synchronizace, zálohování, nebo přenosu na jiná zařízení....
Ale aby to nevypadalo, že tady tvrdošíjně obhajuji hesla na úkor certifikátů... :-) neříkám, že to není cesta, já jenom říkám, že osobně bych možnost přihlášení SSL certifikátem asi moc nevyužil :-) Teda, pokud bych si mohl dobrovolně vybrat... Kdybych to někde dostal "befelem", tak bych si taky zvykl :-) -
Mr. Cidermaster (neregistrovaný)> Program 1Password je sice jenom pro MAC OS
Není, já jej používám na Mac OS X, iOS a Windows (XP, Vista, 7)
A vše se automaticky synchronizuje přes Dropbox.
Pokud nevěříte, zde máte odkaz:
http://agilewebsolutions.com/onepassword/win
Také, když používáte synchronizaci přes Dropbox, tak máte hesla přístupná odkudkoliv, kde je browser. Stačí otevřít 1Password.html soubor. -
Filip Jirsák (neregistrovaný)Server posílá seznam autorit, které lze použít pro přihlášení, podle toho může prohlížeč vybrat certifikát automaticky. Zkoušet všechny nemůže, protože pokud se při navazování SSL spojení něco nepovede, spojení se ihned přeruší – v dnešních prohlížečích skončíte s bílou stránkou, což není moc uživatelsky přívětivé.
Ostatně prohlížeče podporují ty rozumné způsoby přihlášení jen velmi málo, takže nakonec uživatelsky nejkomfortnější je ten nejhloupější způsob přihlášení – HTML formulář. I přes HTTP se lze přihlásit bezpečně přes HTTP Auth Digest, přes HTTPS již zmíněný klientský certifikát. Jenže v prvním případě se přihlašujete divným nesrozumitelným dialogem, ve druhém vám třeba Firefox při nabídce certifikátů nedá vybrat podle jména, ale podle otisku nebo podle čeho (nějaké hexadecimální číslo). A v obou případech chybí snad ve všech prohlížečích možnost odhlášení (přitom u těchto dvou metod jde odhlášení opět udělat bezpečně, ne jako u HTML formulářů). Takže kdyby se chtělo, jde to snadno, vlastně by stačilo jen zkulturnit webové prohlížeče. Ale o bezpečné přihlašování evidentně nemá skoro nikdo zájem… -
oto (neregistrovaný)Ale o bezpečné přihlašování evidentně nemá skoro nikdo zájem…
Tak je to bohužel se spoustou dalších technologií (nejen certifikáty vs. hesla, ale Jabber vs. ICQ, SIP vs. Skype, ...). Dokud nenastane nějaký pořádný průser, který donutí uživatele se zajímat, co to vlastně používají ... -
dr.vota (neregistrovaný)U placené verze, která bude stát tisícovku ročně, bude muset firma s CZ.NIC podepsat smlouvu, ale za to bude mít přístup ke všem údajům, které uživatel při registraci vyplnil. I v tomto případě má ale uživatel možnost rozhodnout, k jakým údajům bude mít konkrétní firma přístup, tentokrát se tak ovšem děje systémem opt-out.
To nemůžou myslet vážně. Jako že dodatečně odvolám souhlas, který firma hned automaticky dostane a ta data si hned automaticky stáhne? -
Vždy budete mít možnost označit údaje, které chcete/nechcete poskytnout každému konkrétnímu webu. Smlouva mezi poskytovatelem a CZ.NIC řeší především legislativní stránku věci (mj. ochranu osobních údajů uživatelů). Proto poskytovatelé bez smlouvy mají uživatelská data implicitně opt-in a vice versa. Václav Martin, CZ.NIC.
-
sartori (neregistrovaný)Jak to tedy probiha? Pro mne osobne je jedina schudna cesta kdyz mi o kazdem pokusu nezname firmy o stazeni prijde notifikace a ja rozhodnu. Pokud investice pouhych 1000Kc firme zaruci moje udaje s tim, ze se pozdeji muzu odebrat souhlas, je to pouha fraska a ne ochrana soukromi.
-
V článku to není napsané úplně přesně. Vždy platí, že se předávají pouze ta osobní data, se kterými uživatel vysloví souhlas. To hlavní, co je poskytovatel služby za 1000 kč dostane, je předání příznaku validace, tzn. že proběhnul vyšší stupeň ověření identity uživatele. Běžný poskytovatel služby k této informaci nebude mít přístup. Kromě toho bude mít uživatel u tohoto poskytovatele služeb při dotazování na předání osobních údajů přednastavenu (pouze přednastavenu) větší skupinu údajů. Jestli tato data předá je ale jen na něm.
-
Lexx (neregistrovaný)Toto řešení OpenID je ideálním předstupněm k vybírání mikroplateb za obsah. Jednoduchá identifikace, jednotné zúčtování za všechny weby, které toto OpenID implementují.
Z hlediska bezpečnosti a anonymity na netu je to ale naprostá cesta do pekel. Už dnes mám ve svém okolí hodně lidí, kteří rezignovali na diskuse na velkých českých zpravodajských webech, protože se jim příčí dát k dispozici svoji podrobnou identifikaci (někde je možnost diskutovat pod přezdívkou a skutečné jméno zná jen provozovatel webu, někde se dokonce přímo zobrazuje). Nyní se nabízí služba, která má sjednotit identifikaci pro prakticky neomezený počet webů.
Děkuji nechci. Nebo vy byste šli diskutovat o něčem kontroverzním (třeba sem - http://eretz.cz/forum/index.php ) s tím, že provozovatel zná Vaši identitu? -
Filip Jirsák (neregistrovaný)To, že bude možné spojit internetovou a fyzickou identitu, konečně umožní provozovat normální diskuse, i když půjde o hodně navštěvovaný server apod. Doufám, že se to bude co nejrychleji rozšiřovat, a zastánci „bezpečnosti a anonymity na netu“ si pak někde v koutku budou nerušeně diskutovat se spamboty a botnety, a ostatní nebude tahle havěť otravovat.
-
BobTheBuilder (neregistrovaný)No nevím, lidovky.cz mají povinnou registraci ověřenou papírovým dopisem se zobrazováním jména - a když se podíváte do diskusí, tak trotlů je tam pořád dost, nebo dokonce naopak, jejich procento stouplo.
Co ale zmizelo, jsou příspěvky, které jsou blízké informacím "zevnitř" - protože si každý rozmyslí, jestli něco takového jen naznačí. Tím vůbec nemyslím něco, co by se jen zdaleka blížilo rozporu se zákonem. -
Filip Jirsák (neregistrovaný)Není přece povinností provozovatele ty údaje zveřejňovat. Klidně může u formuláře pro komentář mít zaškrtávátko „přispět anonymně“, a údaje tak budou dostupné jen provozovateli. Před provozovatelem není běžný přispěvatel anonymní ani dnes, takže to rozhodně není změna k horšímu. Pokud by měl někdo opravdu citlivé informace a nechtěl by prozradit svou identitu ani provozovateli, stejně takovou věc nebude psát někam do diskusního fóra.
Záleží na provozovateli, jak pak bude dál s tou identitou pracovat. Může ručně kontrolovat anonymizované příspěvky, blokovat nebo skrývat uživatele s jejich velkým počtem, skrývat příspěvky uživatelů se špatným hodnocením… -
anonymníTak schvalne, jak se jmenuju ? Bezny uzivatel je pro provozovatele webu tak maximalne nejaka IP, ktera mozna nekomu patri, ale za kterou je taky mozna 200 lidi. Jakmile nekdo posila nejaky dopis na konkretni nacionale ...
(asi takhle, muzu si nechat poslat dopis na souseda a sebrat mu ho ze schranky ...) -
M. (neregistrovaný)V podstatě stejný projekt máme realizován již 2 roky, bohužel my na rozdíl od nich na to musíme peníze tou službou vydělat a prostě ty peníze na to nedokážeme na spuštění sehnat. To se to provozují věci za cizí peníze :-(
To, že se stále najde dost paranoiků a fanatiků, kteří mají stále nutnost vykřikovat ty bláboly o bezpečnosti, zneužití dat, ztráty anonymity a podobně je jasné, běžný člověk toto neřeší a klidně to využije.
Ve skutečnosti jsou osobní data v tomto případě v mnohem větším bezpečí než když je lidé rozdávají na požádání na každém internetovém serveru, kde jsou pak často neaktuální, nepamatují si přihlašovací údaje a pod.
Co se mně na službě zamlouvá nejvíce je právě možnost používat ověřené účty na základě ověření dokladu a to je největším přínosem této služby, ostatně my jsme naši službu postavili právě výhradně na nutnosti kontroly osobních údajů, které se mělo řešit zasláním doporučeného dopisu do vlastních rukou abychom dokázali ověřit, že dotyčný a jeho poštovní adresa existuje. Bohužel jsme nesehnali prostředky na zasílání těch doporučených dopisů. Služba by se totiž nejvíce uplatila u provozovatelů internetových obchodů, kteří tak získají jistotu, že kupující je skutečně tím za koho se vydává a hlavně při nákupu a záměrném nevyzvednutí zboží je jednoznačně identifikován a je z něj možné právně vymáhat náklady, které obchodu svým nekalým jednáním způsobil, což do teď nebylo možné.
Jestli si někdo myslíte, že je to nesmysl a že by o to neměl nikdo zájem, tak věřte, že máme skoro 60tis zájemců z řad uživatelů, kteří byli ochotni tuto službu používat a několik stovek internetových obchodů, kteří by takovéto přihlašování implementovali a dali zákazníkům i určité výhody pokud se tímto způsobem přihlásí. -
M. (neregistrovaný)Co na tom nesedí, spočítejte si náklady na vystavení identifikačních karet a jejich zaslání uživatelům, jsme na zhruba 40 Kč za jednoho uživatele , vynásobme 60 000 a jsme pomalu na 2.5mil a ty prostě nemáme. Nepsal sem že ti uživatelé jsou ochotni za ty přihlašovací karty zaplatit, ale zdarma je chtějí a tady je problém jak to ufinancovat, nějaká jednání jsme podnikli a vypadalo to i nadějně, že někdy v dubnu příštího roku by bylo reálné snad i vše spustit, ale teď vidím, že to již nemá žádný smysl, tomu se konkurovat nedá s takovýmto finančním a techickým zázemím.
-
M. (neregistrovaný)Je to tak, těch 40 Kč je opravdu naprosté minimum se kterým se počítalo. Bohužel žijeme v ČR a tady je postavené vše na hlavu, hlavně logika mnoha lidí, takže obchodníci nechtěli platit za ty zákazníky, ale byli ochotni jim nabídnou nějaké výhody, nejčastěji pár procent slevu na nákup nebo častěji slevu na poštovném. Postrádá to sice logiku, protože takto vynaloží v podstatě více, ale oni to vnímají jinak, oni když to dají jako nějakou slevu tak jim to nepřipadá jako že je to něco stálo na rozdíl od fyzického zaslání peněz.
-
Spise bych uvazoval o necem jako mel Thawte pro vydavani osobnich certifikatu, Web of Trust. Tam je potom overeni relativne zadarmo nebo ho zajistuje dany notar za odmenu mezi overovanym a notarem. Ale myslim si, ze vetsina uzivatelu o nejaka jednotna a overena data nestoji. Ja mam treba pro vetsinu shopu odlisna data, abych poznal kdo si je nechal ukrast nebo je prodal, zakladam si treba extra emaily a podobne. Jakmile prijde neco co nechci, jde dany email na /dev/null a hotovo.
MojeID urcite nekde uzitecne bude, ale treba tam, kde budu chtit mit registraci a nesdelovat email. Treba zrovna na lupe, chci tu mit identitu a email tu zadam pro dve veci: 1) je nutne nejak alespon castecne overit, ze dany uzivatel existuje kvuli spambotum, 2) kdyz zapomenu heslo, potrebuji nejak vygenerovat nove. Pokud tyto dva problemy nekdo zajisti externe, neni nejmensi problem mit tady identitu, kterou nikdo nebude moct spamovat a ktera bude naporad moje.
Nebo pekne reseni nabizi Verisign, tam je OpenID k dispozici s HW kalkulackou. Kdybych ji mel porizovat pro kazdou sluzbu a spravovat na strane serveru klice, tak by to bylo drahe a slozite. Takto se koupi jedna za par dolaru (o rad levnejsi nez by vysla vlastni, kterou bych si spravoval sam) a implementace je take zalezitost jedne knihovny a hotovo. A mam tam kde potrebuji zabezpecene prihlaseni s heslem + HW kalkulackou. A to vsechno v dobe overovaciho provozu zadarmo a do budoucna se uvidi. -
anonymníProblem je, ze (napriklad) si da lupa do pozadavku na openid zaslani mailu a telefonu. No a pokud to neodsouhlasite, tak se neregnete. Tudiz zadna identita. Jednodussi je proste prasknout do DB 435. alias, nechat si poslat registracni mail a pak alias nasmerovat do /dev/null.
Vygenerovana hesla si za me pamatuje prohlizec, ja si pamatuju jen master. -
anonymníTo, že se stále najde dost paranoiků a fanatiků, kteří mají stále nutnost vykřikovat ty bláboly o bezpečnosti, zneužití dat, ztráty anonymity a podobně je jasné, běžný člověk toto neřeší a klidně to využije.
ale vzdyt soudruhu krachujes :-)? vetsi kontradikci a strelbu do vlastnich nohou automatickou zbrani jsem dneska jeste neslysel -
ondra.novacisko.cz (neregistrovaný)Problém ne-anonymity OpenID jsem řešil ve vlastním projektu nazvaném EasyLogin. Kromě jiného má hlavní výhodu tu, že jej lze nativně implementovat v PHP a to na obě strany (jak na IdP tak na SP).
http://www.easylogin.net
(anonymita se řeší tím, že službě práskneme jen svého identity providera, ale identitu sdělujeme až svému identity providerovi) -
Začátek asi nebude jednoduchý a chtělo by to mít nějaký ten milion pro získání pár desítek tisíc ověřených identit.
Pokud vše bude fungovat, tak např. vysoké školy mohou ve svých epřihláškách vyžadovat tuto ověřenou identitu. Spoustu věcí by se tím zjednodušilo.
V některých aplikacích to, že v systému nemusíte řešit duplicitní a virtuální osoby je obrovská výhoda. -
mj41 (neregistrovaný)Proto, aby se tahle eobčanka ujala dříve než si nějakou za stovky milionu pořídí/nařídí stát :-).
Ale obecně proto, že pracovat s reálnými uživateli a aktuálními údaji jinak než přístupem na jedno primární místo nelze.
Prostě Franta musí mít možnost zajít ve svém městě někam, kde mu pomůžou a za pár korun aktualizují ty jeho data. Když mu tam někdo vleze a udělá neplechu (při aktualizaci mu přijde SMS), tak mu dají nové heslo. Certifikáty jsou bohužel pořád drahé a nejspíše i složité pro normálního uživatele. -
Kolda (neregistrovaný)Doufám, že MojeID uspěje, myslím, že má velký potenciál. Své poznatky jsem sepsal na svém blogu: http://www.jiri-kolarik.cz/clanek/jak-na-mojeid-predstaveni/
ČLÁNKY DO MAILU