Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Něco navíc v zeleném?
A proč ne...

Lopuch.cz
Jméno:
Heslo:
Podpora LCD:
 
Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
  
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: xwbmzjw
[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
bredy 19.7.2010 21:07  7341
RiderHele, ty zákony identity, to je nějaké nařízení Evropské unie?

Já nevím jestli chápeš o co jde. Nejde o žádný nový protokol, jde jen o jednodušší řešení OpenID. Jde jen o možnost delegovat ověření identity na prostředníka, kterému věří uživatel.

Běžný postup je ten, že uživatel zadá jméno a heslo. Jménem říká "kdo je" a heslem říká "tady máš důkaz". Pokud použiju přihlášení přes prostředníka, říkám "kdo jsem" a zároveň říkám službe, koho se má zeptat, aby došlo k ověření. Zároveň uživatel svěřuje proces ověření právě prostředníkovi. Je motivací uživatele vybrat si důvěryhodného prostředníka. Nedá se to ani nijak moc podvrhnout, třeba že si napíšu vlastního prostředníka, který ověření neprovede. Můj prostředník má totiž jednoznačné jméno, a to jméno domény, které jsem si musel zakoupit. Nemohu nikomu nastrčit falešného prostředníka, který ověření neprovede. Už proto, že webová služba se neptá zkrze uživatele, který může mít kompromitované spojení, ale přímo se dotáže toho prostředníka (resolving si udělá sám přes DNS, to už je dnes dostatečně autoritativní služba, nefiguruje tam žádná proxy). Zkrze uživatelské spojení se posílají pouze nějaké hashe, které uživateli i "člověku mezi" jsou k ničemu.

Nevím co se myslí těmy zákony identity. Nechci to studovat, je to dlouhý a nemám na to čas. Jestli existují nějaké zákony na sledování identit, či co... klidne mi to přibliž, jak to funguje.

Ale za sebe se snažím řešit dva protichůdné problémy. Jeden problém je, že určitá skupina uživatelů si ráda pěstuje svůj profil a na každém webu se vyskytuje pod stejným ID (a běda, pokud je to ID obsazené). Té se tohle náramě hodi. Druhá skupina chce spíš utajit to, že navštěvuje různé weby, nicméně nechce těm webům dávat svá hesla. Těm se také hodí mít centrální login. Ale tohle OpenID už nenabízí (nabízí to můj systém).

Není účelem služby lámat se do bankovních systémů, ani do vládních, či jiných služeb. Cílovka této technologie jsou diskuzáky, blogy, portály, sociální sítě, víceméně webově zaměřené.

huh
Až to dodělám, můžete přesvědčit místní správce, aby fungovali jako provideři. Pak můžeš svůj login do lopuchu použít na jiné weby, které budou technologii implementovat. A nebo naopak, můžeš zařídit, aby ses do lopuchu přihlašoval třeba e-mailem do seznamu, pokud se implementuje klientská část. Já ještě plánuju udělat proxy na OpenID, takže by nemělo být těžký se přihlásit i prostřednictvím OpenID tam, kde bude implementovan klient mého protokolu. Prostě budu mít veřejnou proxy, která bude požadavky převádět na OpenID požadavky.
huh huh 19.7.2010 15:00  7340
Mě by se líbilo ověřovat uživatele oproti lopuchu, nemusel bych je do tipovačky přidávat ručně :-)
rider Rider - Asociace chovatelů antropomorfních koní 19.7.2010 14:42  7339
Hm. Téhle odpovědi jsem se bál. Je to jako když někdo tvrdí, že vymyslel perpetuum mobile a pak se zeptá "co myslíš prvním zákonem termodynamiky?".

The Laws of Identity

Jinak si myslím, že pokud něco současné IT nepotřebuje, tak je to ještě další přihlašovací protokol. Není nijak těžké je vymyslet, je těžké je prosadit, protože jejich uživatelé (jak RP tak EU) v nich zpravidla nevidí hodnotu.

Jde taky o to, jestli ti jde jenom o identifikaci, nebo i autentizaci a další...

bredy 19.7.2010 06:11  7338
RiderSe SAML to nemá nic společného, alespoň co do složitosti. Ani vlastně nevím, k čemu SAML je (koukám na wikipedi, a vypadá to šíleně). Ale máš pravdu, že nic nevymýšlím, inspirací je jednoznačně OpenID. Jenže by to mělo být jednodušší jak na implementaci do webovky, tak na implementaci providera. Protože účelem není nic jiného, než umožit uživateli identifikovat se na službě přes prostředníka. Žádná další security tam není potřeba, protože zodpovědnost je rozložena mezi webovku, providera, a uživatele. Jediný, proti čemu je třeba se chránit je proti ManInMiddle (většinou u uživatele) a proti phishingu, ale to je věcí uživatele. Webovka musí věřit uživateli, že má důvěryhodného providera. Což je na stejné úrovni, jako když věří uživateli, že se jmenuje "franta" a má heslo "opice". Případně je tu ještě možnost filtrace providerů a blokování těch, které nejsou považovány za důvěryhodné.

Co myslíš zákony identity?
rider Rider - Asociace chovatelů antropomorfních koní 18.7.2010 23:56  7337
BredyMám dojem, že tak trochu vymýšlíš vymyšlené, SAML tokeny a podobné věci. Jak jsi na tom s dodržováním zákonů identity?
bredy 18.7.2010 22:35  7336
themajklResolving se děje takto:
1) resolví přes DNS ale položku SRV _openlogin._tcp.domena.cz. Výsledkem je adresa a port, kam poslat HTTP požadavek (GET /)
2) Pokud to neprojde, rezolvi se openlogin.domena.cz a zkouší se poslat tam HTTP požadavek
3) Pokud to neprojde, zkusi se http://domena.cz/openlogin
4) Na URL se odešle požadavek ?mode=probe&user=id. Odpovědí může být vícero: url login serveru (http, nebo https), případně i jiné jméno uživatele (aliasing). Nebo je odpovědí status=ok, pokud je probe úspěšný. Na druhé straně nemusí sedět skript, může to být statický soubor (aliasing doménou mého webu)
5) Rezolvuje se opakovaně, dokud není obdrženo status=ok.
6) Na URL serveru, který vrátil status=ok se pošle ?mode=login a zbytek popíšu, když bude zájem.
PS: Pokud uživatel neuvedl jméno, userid=prázdný řetězec.
PSS: jméno openlogin je pracovní, zcela určitě se to bude jmenovat jinak.
PSSS: upozorňuji, vypadá to jako mail, ale není to mail. Ale vracím se ke kořenum internetu, kde @ znamenalo (at), a čte se bredy@seznam.cz - bredy na stroji seznam.cz. Nevylučuje to možnost spojit ID s e-mailem, ale to je věc poskytovatele.
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.7.2010 22:17  7335
Resolving poskytovatele na základě mailu se dělá přes MX DNS záznamy?
bredy 18.7.2010 22:04  7334
themajklOdpovídám, že ano, dokonce nebudeš mít potřebu mít různá ID, přesto jsi schopen se přihlásit tak, aby weby nevěděly že jsi to ty.

V první řadě, už současní provideři nabízející OpenID umožňují vytvářet různé profily a každému webu podstrčit jiný profil. To je hezké, ale jedno je tam přeci jen společné, a to ID.

Můj systém nabízí možnost přihlásit se bez ID, pouze s uvedením domény. Například, pokud bude seznam.cz poskytovatel, tak se na web mohu přihlásit jako bredy@seznam.cz a web získá informaci, že jsem ten samý bredy ze seznamu, jako na tom druhém webu. Pokud mi to ale vadí, přihlásím se jako @seznam.cz Web sice nebude vědět, kdo jsem, ale bude vědět, že se na to má zeptat seznamu. Pak ale na Seznamu musím provést plnohodnotné přihlášení jménem a heslem na Seznam. Následně web obdrží mnou nastavený profil, ale nedozví se to ID (dozví se pouze jakési profile ID, aby mohl profil spárovat s jeho vlastním informačním systémem... profile ID je ID odvozeno od nastaveného profilu, a těch mohu mít víc).

Nevýhodou tohoto řešení je nutnost vyplňovat více políček, ale lze to zjednodušít pomocí trvalého přihlášení u providera (seznam to umí), a pomocí předvyplněných okének přes cookies.

Ve hře je také možnost vytvářet aliasy k danému ID, ale to je věc čistě providera, stejně jako aliasy k e-mailům.

Třetí možnost je vytvářet aliasy celých ID včetně domén, ale vzhledem k tomu, že resolvení těchto aliasů dělá web před kontaktem správného providera, slouží to spíš k tomu, abych si mohl vymyslet vlastní ID i s doménou a nemít ID závislý na výběru providera (umožňuje výměnu providera, bez změny ID ... umí i OpenID).
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.7.2010 21:37  7333
A bude možné se na různé weby přihlašovat současně různými id?
bredy 18.7.2010 21:35  7332
pepakTo je na diskuzi. Pokud mám poskytovatele, kterému věřím, že je schopen dobře hlídat mé osobní údaje, pak sdělovat třetí straně můj e-mail a heslo může být mnohem nebezpečnější :-)

Třeba například klidně jako providera budu používat Seznam, protože mu věřím (protože v něm i dělám). Zato nikdy bych jako providera nepoužil facebook (přestože má vlastní implementaci), nebo microsoft (passport)

Nejdůležitější je právě svoboda výběru. A pokud mám k dispozici zdrojáky poskytovatele, které jsou primitivní a jednoduché na implemenaci, nic mi nebrání stát se svým vlastním poskytovatelem.
pepak pepak - Pepak.net 18.7.2010 21:07  7331
Nicméně znovu zdůrazňuju, jsem přesvědčen o tom, že prostor pro takovou aplikaci tu je (protože spousta lidí preferuje pohodlí před bezpečím).
pepak pepak - Pepak.net 18.7.2010 21:05  7330
No já si v první řadě myslím, že produkt, jehož smyslem je vytvořit jedno společné přihlášení na mnoho služeb, je bezpečnostně chybný už od samotného počátku. Konkrétní implementace může být lepší nebo horší, ale sotva mohou vyřešit základní problém, že jedno společné přihlášení na víc míst je obrovská bezpečnostní díra.
bredy 18.7.2010 20:39  7329
pepakTo že identifikátor vypadá jako e-mail neznamená, že to e-mail musí být. Dneska existuje spoustu služeb, které jako přihlášení na tvrdo vyžadují e-mail. Pro potvrzení Ti pak zasílají kontrolní e-mail, aby si ověřili, že je to platná identifikace. Třeba igoogle, nebo facebook, tam všude máš e-mail jako ID.

Když si přečteš dokumentaci k OpenID, zjistíš, že celý koncept vymýšlel nějaký produkťák s analytikem, ale nikoliv někdo, kdo má praktické zkušenosti. Možná je to tak vymyšlené, protože nějaký teoretik, který stojí za projektem to prostě tak chtěl mít. Je tam velký důraz na zabezpečení přenášených dat, IDčka se šifrují a vyžaduje se, aby klient (zde relay site) uměl dešifrovat, přitom si všimneš, že jde jen o přihlášení, kde výsledkem je vygenerování nějakého unikátního ID, které následně slouží jako session identifikátor. Super bezpečná služba na zabezpečení průměrně bezpečné site.

Zdroják zatím postovat nebudu, registruji doménu, kde bude k dispozici jak demo, tak zdrojáky pro relay i providera (ten kdo chce jen login a ten kdo chce poskytovat ID).
pepak pepak - Pepak.net 18.7.2010 17:32  7328
Bredy: Jsem si dost jistý, že prostor pro takovou službu existuje, ale současně považuji všechny tyto služby za velký problém. Když sem dáš zdroják, tak se ti na něj kouknu, ale už dost pochybuju, že s identifikátorem typu "e-mail" dostaneš aspoň částečně přijatelnou úroveň bezpečnosti.
bredy 17.7.2010 22:19  7327
Jsem znechucen OpenID technologíí, zejména tím, jak obtížně se někam implementuje, jak je obtížné býti providerem a nebo používat OpenId na svých stránkách.

Myslíte si, že by člověk měl pořád šanci přijít s vlastním systémem a vejít do povědomí internetové komunity? Mám "v šuplíku" návrh (včetně fungujícího prototypu) podobného systému jako OpenID. Opět decentralizovaný systém ověřování identity s tím rozdílem, že celé je to napsané ve dvouch PHP souborech o cca 200 řádcích celkem. A přitom tvrdím, že z bezpečnostního hlediska je to stejně bezpečné, jako OpenID, navzdory tomu, že to nepoužívá žádné šifrování. Protože si buď vystačím s HTTPS a identifikátory se předávají zahashované, takže bezpečnost je odvislá od použité hashovací funkce.

Ještě technický detail, oproti OpenID má můj identifikátor podobu e-mailu: bredy@novacisko.cz. Nemám překomplikovanou discover část (používám standardni DNS_SRV nebo odvozenou adresu od domény) a nepředávám uživatelská data v požadavku GET (jako u OpenID 1.1), a je to děsně primitivní.

Našel by se tu někdo, kdo by se chtěl vývoje účastnit?
[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt