Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Což takhle
dát si Lopuch?

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
  
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: gcfiwzn
[ 4075 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
bredy 19.7.2010 06:11  7338
RiderSe SAML to nemá nic společného, alespoň co do složitosti. Ani vlastně nevím, k čemu SAML je (koukám na wikipedi, a vypadá to šíleně). Ale máš pravdu, že nic nevymýšlím, inspirací je jednoznačně OpenID. Jenže by to mělo být jednodušší jak na implementaci do webovky, tak na implementaci providera. Protože účelem není nic jiného, než umožit uživateli identifikovat se na službě přes prostředníka. Žádná další security tam není potřeba, protože zodpovědnost je rozložena mezi webovku, providera, a uživatele. Jediný, proti čemu je třeba se chránit je proti ManInMiddle (většinou u uživatele) a proti phishingu, ale to je věcí uživatele. Webovka musí věřit uživateli, že má důvěryhodného providera. Což je na stejné úrovni, jako když věří uživateli, že se jmenuje "franta" a má heslo "opice". Případně je tu ještě možnost filtrace providerů a blokování těch, které nejsou považovány za důvěryhodné.

Co myslíš zákony identity?
rider Rider - Asociace chovatelů antropomorfních koní 18.7.2010 23:56  7337
BredyMám dojem, že tak trochu vymýšlíš vymyšlené, SAML tokeny a podobné věci. Jak jsi na tom s dodržováním zákonů identity?
bredy 18.7.2010 22:35  7336
themajklResolving se děje takto:
1) resolví přes DNS ale položku SRV _openlogin._tcp.domena.cz. Výsledkem je adresa a port, kam poslat HTTP požadavek (GET /)
2) Pokud to neprojde, rezolvi se openlogin.domena.cz a zkouší se poslat tam HTTP požadavek
3) Pokud to neprojde, zkusi se http://domena.cz/openlogin
4) Na URL se odešle požadavek ?mode=probe&user=id. Odpovědí může být vícero: url login serveru (http, nebo https), případně i jiné jméno uživatele (aliasing). Nebo je odpovědí status=ok, pokud je probe úspěšný. Na druhé straně nemusí sedět skript, může to být statický soubor (aliasing doménou mého webu)
5) Rezolvuje se opakovaně, dokud není obdrženo status=ok.
6) Na URL serveru, který vrátil status=ok se pošle ?mode=login a zbytek popíšu, když bude zájem.
PS: Pokud uživatel neuvedl jméno, userid=prázdný řetězec.
PSS: jméno openlogin je pracovní, zcela určitě se to bude jmenovat jinak.
PSSS: upozorňuji, vypadá to jako mail, ale není to mail. Ale vracím se ke kořenum internetu, kde @ znamenalo (at), a čte se bredy@seznam.cz - bredy na stroji seznam.cz. Nevylučuje to možnost spojit ID s e-mailem, ale to je věc poskytovatele.
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.7.2010 22:17  7335
Resolving poskytovatele na základě mailu se dělá přes MX DNS záznamy?
bredy 18.7.2010 22:04  7334
themajklOdpovídám, že ano, dokonce nebudeš mít potřebu mít různá ID, přesto jsi schopen se přihlásit tak, aby weby nevěděly že jsi to ty.

V první řadě, už současní provideři nabízející OpenID umožňují vytvářet různé profily a každému webu podstrčit jiný profil. To je hezké, ale jedno je tam přeci jen společné, a to ID.

Můj systém nabízí možnost přihlásit se bez ID, pouze s uvedením domény. Například, pokud bude seznam.cz poskytovatel, tak se na web mohu přihlásit jako bredy@seznam.cz a web získá informaci, že jsem ten samý bredy ze seznamu, jako na tom druhém webu. Pokud mi to ale vadí, přihlásím se jako @seznam.cz Web sice nebude vědět, kdo jsem, ale bude vědět, že se na to má zeptat seznamu. Pak ale na Seznamu musím provést plnohodnotné přihlášení jménem a heslem na Seznam. Následně web obdrží mnou nastavený profil, ale nedozví se to ID (dozví se pouze jakési profile ID, aby mohl profil spárovat s jeho vlastním informačním systémem... profile ID je ID odvozeno od nastaveného profilu, a těch mohu mít víc).

Nevýhodou tohoto řešení je nutnost vyplňovat více políček, ale lze to zjednodušít pomocí trvalého přihlášení u providera (seznam to umí), a pomocí předvyplněných okének přes cookies.

Ve hře je také možnost vytvářet aliasy k danému ID, ale to je věc čistě providera, stejně jako aliasy k e-mailům.

Třetí možnost je vytvářet aliasy celých ID včetně domén, ale vzhledem k tomu, že resolvení těchto aliasů dělá web před kontaktem správného providera, slouží to spíš k tomu, abych si mohl vymyslet vlastní ID i s doménou a nemít ID závislý na výběru providera (umožňuje výměnu providera, bez změny ID ... umí i OpenID).
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.7.2010 21:37  7333
A bude možné se na různé weby přihlašovat současně různými id?
bredy 18.7.2010 21:35  7332
pepakTo je na diskuzi. Pokud mám poskytovatele, kterému věřím, že je schopen dobře hlídat mé osobní údaje, pak sdělovat třetí straně můj e-mail a heslo může být mnohem nebezpečnější :-)

Třeba například klidně jako providera budu používat Seznam, protože mu věřím (protože v něm i dělám). Zato nikdy bych jako providera nepoužil facebook (přestože má vlastní implementaci), nebo microsoft (passport)

Nejdůležitější je právě svoboda výběru. A pokud mám k dispozici zdrojáky poskytovatele, které jsou primitivní a jednoduché na implemenaci, nic mi nebrání stát se svým vlastním poskytovatelem.
pepak pepak - Pepak.net 18.7.2010 21:07  7331
Nicméně znovu zdůrazňuju, jsem přesvědčen o tom, že prostor pro takovou aplikaci tu je (protože spousta lidí preferuje pohodlí před bezpečím).
pepak pepak - Pepak.net 18.7.2010 21:05  7330
No já si v první řadě myslím, že produkt, jehož smyslem je vytvořit jedno společné přihlášení na mnoho služeb, je bezpečnostně chybný už od samotného počátku. Konkrétní implementace může být lepší nebo horší, ale sotva mohou vyřešit základní problém, že jedno společné přihlášení na víc míst je obrovská bezpečnostní díra.
bredy 18.7.2010 20:39  7329
pepakTo že identifikátor vypadá jako e-mail neznamená, že to e-mail musí být. Dneska existuje spoustu služeb, které jako přihlášení na tvrdo vyžadují e-mail. Pro potvrzení Ti pak zasílají kontrolní e-mail, aby si ověřili, že je to platná identifikace. Třeba igoogle, nebo facebook, tam všude máš e-mail jako ID.

Když si přečteš dokumentaci k OpenID, zjistíš, že celý koncept vymýšlel nějaký produkťák s analytikem, ale nikoliv někdo, kdo má praktické zkušenosti. Možná je to tak vymyšlené, protože nějaký teoretik, který stojí za projektem to prostě tak chtěl mít. Je tam velký důraz na zabezpečení přenášených dat, IDčka se šifrují a vyžaduje se, aby klient (zde relay site) uměl dešifrovat, přitom si všimneš, že jde jen o přihlášení, kde výsledkem je vygenerování nějakého unikátního ID, které následně slouží jako session identifikátor. Super bezpečná služba na zabezpečení průměrně bezpečné site.

Zdroják zatím postovat nebudu, registruji doménu, kde bude k dispozici jak demo, tak zdrojáky pro relay i providera (ten kdo chce jen login a ten kdo chce poskytovat ID).
pepak pepak - Pepak.net 18.7.2010 17:32  7328
Bredy: Jsem si dost jistý, že prostor pro takovou službu existuje, ale současně považuji všechny tyto služby za velký problém. Když sem dáš zdroják, tak se ti na něj kouknu, ale už dost pochybuju, že s identifikátorem typu "e-mail" dostaneš aspoň částečně přijatelnou úroveň bezpečnosti.
bredy 17.7.2010 22:19  7327
Jsem znechucen OpenID technologíí, zejména tím, jak obtížně se někam implementuje, jak je obtížné býti providerem a nebo používat OpenId na svých stránkách.

Myslíte si, že by člověk měl pořád šanci přijít s vlastním systémem a vejít do povědomí internetové komunity? Mám "v šuplíku" návrh (včetně fungujícího prototypu) podobného systému jako OpenID. Opět decentralizovaný systém ověřování identity s tím rozdílem, že celé je to napsané ve dvouch PHP souborech o cca 200 řádcích celkem. A přitom tvrdím, že z bezpečnostního hlediska je to stejně bezpečné, jako OpenID, navzdory tomu, že to nepoužívá žádné šifrování. Protože si buď vystačím s HTTPS a identifikátory se předávají zahashované, takže bezpečnost je odvislá od použité hashovací funkce.

Ještě technický detail, oproti OpenID má můj identifikátor podobu e-mailu: bredy@novacisko.cz. Nemám překomplikovanou discover část (používám standardni DNS_SRV nebo odvozenou adresu od domény) a nepředávám uživatelská data v požadavku GET (jako u OpenID 1.1), a je to děsně primitivní.

Našel by se tu někdo, kdo by se chtěl vývoje účastnit?
vakovlk Vakovlk MBTI je exemplární - pavěda 16.7.2010 23:54  7326
Proč někdo dělá (interní) odkazy jen přes JavaScript? Nemůžu přijít na nějakej rozumnej důvod a vždycky mě to hrozně vytočí, kdy si naklikám víc věcí do tabů na pozadí a pak je v nich jenom např. javascript: otevri('piktur.jpg') nebo javascript:PgOpen('stranka1')... A samozřejmě předem nezkoumám, jak ty linky jsou vytvořený.
knedle knedle online - Krabice živých 16.7.2010 14:47  7325
V okamžiku kdy se znažím oblbnout vyhledávače už nedělám SEO...
to je hezka veta !
bighead BIGHead Pořádáte akci, vyzkoušejte - naše moderátory 16.7.2010 14:33  7324
Johny_G:
souhlasím, ale v podstatě o tom to SEO hlavně je, ne? Postavit texty na stránkách tak, aby obsahovali relevatní klíčová slova. V okamžiku kdy se znažím oblbnout vyhledávače už nedělám SEO...

[ 4075 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt