Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Něco navíc v zeleném?
A proč ne...

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
  
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: ipuxhyh
[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
bredy 20.7.2010 20:06  7343
RiderTo je všechno hezký, ale já si právě myslím, že to je špatná cesta. Nemyslím si, že je vhodné se zapojovat do hlavního proudu, když ten proud ještě vlastně není vidět a když si myslím, že jde špatným směrem. V současné době je vidět akorát OpenID a jeho přeteoretizovaná snaha nabídnout komplexní řešení. A teď tu je další teoretik, kteří přichází z dalším teoretickým cvičením.

A přitom si myslím, že RP a zejména EU přijmou jednoduché řešení snáze, než nějaké komplikované, superbezpečné a komplexní řešení. Konečně, výsledek OpenID je tristní. Dodnes si nemohu v Alze nakoupit bez nutnosti se registrovat. Máme víc providerů než subjektů. Velcí provideři nemají problém najít nějakou manhodinu na to, aby doimplementovali do svého autentifikačního systému OpenID. Nedělá to problém ani Seznamu, konečně, můžu se kdykoliv podívat do zdrojáků. Problém je se subjekty, kteří jsou buď odkázáni na hotové balíky, které jsou kolikrát komplikovatelně nasaditelné a jsou zbytečně velké. K čemu mi je klient OpenID který má 7MB když webovka má s bídou 1MB? Další možností je svěřit osud do rukou nadšenců a jejich udělátek, jejichž spolehlivost je přitom nejistá. Například já mám stažený jeden skript, který dělá OpenID u Seznamu a u MyOpenID ale třeba u Google vyžaduje menší úpravu a na mojeid.cz mě to vykopne s tím, že nepodporuju plně verzi 2.0. Zkus si přečíst specifikaci OpenID 2.0 a budeš naříkat. Vlastní implementace celkem padá...

A přitom je celý systém velice primitivní, založený na jednoduché myšlence svědka, kterého lze ověřit a který přebírá autentizaci uživatel. A pokud mu věří uživatel, není problém, aby mu věřil i subjekt, protože díky ověření prostředníka ochrání uživatele mající jiné prostředníky před podvodníkem.

Celý koncept OpenID (nevím zda se to týká i těch zákonů) má zároveň významnou skupinu uživatelů, kteří z nějakého důvodu nechtějí tento způsob identifikace používat. Důvodem je nikoliv nedůvěra v prostředníka, ale jednoznačná identifikace u subjektu, kterému nemohou nebo nechtějí poskytovat své osobní údaje. A tohle OpenID nevyřeší, ale snažím se to řešit já.

Netvrdím, že je to geniální systém. Napíšu technologické demo, zveřejním ho v české a anglické verzi a pokusím se pro projekt získat podporu komunity. Zkusím přesvědčit i lidi ze Seznamu, zda by mi neudělali providera. Stáhnu si i ten 7MB balíček pro OpenID a zřídím OpenID proxy, takže můj systém bude umět i OpenID se stejně složitým kódem. Tím bych přesvědčil zejména EU k implementaci této technologie do svých systémů, protože budou mít jistotu, že když nic, tak aspoň uživatele s OpenID budou moci systém používat.

Víc udělat nemohu a ani nechci. Buď se to uchytí, nebo ne.
rider Rider - Asociace chovatelů antropomorfních koní 20.7.2010 12:08  7342
Nevím co se myslí těmy zákony identity. Nechci to studovat, je to dlouhý a nemám na to čas.
Snažíš se se svým projektem zapojit do oboru, který je docela slušně rozjetý. Podobných systémů je spousta, že (patrně) znáš jenom OpenID ještě neznamená, že je jediný. The Laws of Identity je zásadní teoretický dokument, který se snaží definovat problémy, které současné veřejné identifikační a autentizační systémy mají a definuje sedm "zákonů", o kterých si autor (Kim Cameron) myslí, že by měl každý takový systém dodržovat, aby se jim vyhnul. Tenhle dokument jistě není svatý a lze s ním polemizovat. Ale odmítnout ho studovat s tím, že na něj nemáš čas? To je velmi zvláštní.

Budí to ve mně dojem, že pod dojmem OpenID (které je dost hrozné, pravda), jsi vymyslel nějaké řešení, o kterém si myslíš, že je geniální, ovšem aniž bys věděl něco o současné situaci v oboru. Skutečně nelze vyloučit možnost, že jsi z jedné vody načisto vymyslel geniální postup, aniž bys předtím věděl něco o oboru, do kterého jsi vlezl, ale nepokládám ji za příliš pravděpodobnou.

Mimochodem: zákony identity a systémy na nich založené řeší i problémy, které zmiňuješ. O důvod víc, proč se zajímat o to, co dělají jiní.

Druhý a možná ještě podstatnější důvod je, že není zase až tak obtížné vymyslet autentizační protkol (např.), ale je obtížné přimět RP (relying party) a EU (end user, subject), aby to používali, protože jim to něco nového přinese. Už jenom z tohoto důvodu mi přijde rozumné nezačínat s jiným systémem od nuly, ale třeba se zapojit do vývoje jiného systému, který má větší šanci na úspěch.

bredy 19.7.2010 21:07  7341
RiderHele, ty zákony identity, to je nějaké nařízení Evropské unie?

Já nevím jestli chápeš o co jde. Nejde o žádný nový protokol, jde jen o jednodušší řešení OpenID. Jde jen o možnost delegovat ověření identity na prostředníka, kterému věří uživatel.

Běžný postup je ten, že uživatel zadá jméno a heslo. Jménem říká "kdo je" a heslem říká "tady máš důkaz". Pokud použiju přihlášení přes prostředníka, říkám "kdo jsem" a zároveň říkám službe, koho se má zeptat, aby došlo k ověření. Zároveň uživatel svěřuje proces ověření právě prostředníkovi. Je motivací uživatele vybrat si důvěryhodného prostředníka. Nedá se to ani nijak moc podvrhnout, třeba že si napíšu vlastního prostředníka, který ověření neprovede. Můj prostředník má totiž jednoznačné jméno, a to jméno domény, které jsem si musel zakoupit. Nemohu nikomu nastrčit falešného prostředníka, který ověření neprovede. Už proto, že webová služba se neptá zkrze uživatele, který může mít kompromitované spojení, ale přímo se dotáže toho prostředníka (resolving si udělá sám přes DNS, to už je dnes dostatečně autoritativní služba, nefiguruje tam žádná proxy). Zkrze uživatelské spojení se posílají pouze nějaké hashe, které uživateli i "člověku mezi" jsou k ničemu.

Nevím co se myslí těmy zákony identity. Nechci to studovat, je to dlouhý a nemám na to čas. Jestli existují nějaké zákony na sledování identit, či co... klidne mi to přibliž, jak to funguje.

Ale za sebe se snažím řešit dva protichůdné problémy. Jeden problém je, že určitá skupina uživatelů si ráda pěstuje svůj profil a na každém webu se vyskytuje pod stejným ID (a běda, pokud je to ID obsazené). Té se tohle náramě hodi. Druhá skupina chce spíš utajit to, že navštěvuje různé weby, nicméně nechce těm webům dávat svá hesla. Těm se také hodí mít centrální login. Ale tohle OpenID už nenabízí (nabízí to můj systém).

Není účelem služby lámat se do bankovních systémů, ani do vládních, či jiných služeb. Cílovka této technologie jsou diskuzáky, blogy, portály, sociální sítě, víceméně webově zaměřené.

huh
Až to dodělám, můžete přesvědčit místní správce, aby fungovali jako provideři. Pak můžeš svůj login do lopuchu použít na jiné weby, které budou technologii implementovat. A nebo naopak, můžeš zařídit, aby ses do lopuchu přihlašoval třeba e-mailem do seznamu, pokud se implementuje klientská část. Já ještě plánuju udělat proxy na OpenID, takže by nemělo být těžký se přihlásit i prostřednictvím OpenID tam, kde bude implementovan klient mého protokolu. Prostě budu mít veřejnou proxy, která bude požadavky převádět na OpenID požadavky.
huh huh 19.7.2010 15:00  7340
Mě by se líbilo ověřovat uživatele oproti lopuchu, nemusel bych je do tipovačky přidávat ručně :-)
rider Rider - Asociace chovatelů antropomorfních koní 19.7.2010 14:42  7339
Hm. Téhle odpovědi jsem se bál. Je to jako když někdo tvrdí, že vymyslel perpetuum mobile a pak se zeptá "co myslíš prvním zákonem termodynamiky?".

The Laws of Identity

Jinak si myslím, že pokud něco současné IT nepotřebuje, tak je to ještě další přihlašovací protokol. Není nijak těžké je vymyslet, je těžké je prosadit, protože jejich uživatelé (jak RP tak EU) v nich zpravidla nevidí hodnotu.

Jde taky o to, jestli ti jde jenom o identifikaci, nebo i autentizaci a další...

bredy 19.7.2010 06:11  7338
RiderSe SAML to nemá nic společného, alespoň co do složitosti. Ani vlastně nevím, k čemu SAML je (koukám na wikipedi, a vypadá to šíleně). Ale máš pravdu, že nic nevymýšlím, inspirací je jednoznačně OpenID. Jenže by to mělo být jednodušší jak na implementaci do webovky, tak na implementaci providera. Protože účelem není nic jiného, než umožit uživateli identifikovat se na službě přes prostředníka. Žádná další security tam není potřeba, protože zodpovědnost je rozložena mezi webovku, providera, a uživatele. Jediný, proti čemu je třeba se chránit je proti ManInMiddle (většinou u uživatele) a proti phishingu, ale to je věcí uživatele. Webovka musí věřit uživateli, že má důvěryhodného providera. Což je na stejné úrovni, jako když věří uživateli, že se jmenuje "franta" a má heslo "opice". Případně je tu ještě možnost filtrace providerů a blokování těch, které nejsou považovány za důvěryhodné.

Co myslíš zákony identity?
rider Rider - Asociace chovatelů antropomorfních koní 18.7.2010 23:56  7337
BredyMám dojem, že tak trochu vymýšlíš vymyšlené, SAML tokeny a podobné věci. Jak jsi na tom s dodržováním zákonů identity?
bredy 18.7.2010 22:35  7336
themajklResolving se děje takto:
1) resolví přes DNS ale položku SRV _openlogin._tcp.domena.cz. Výsledkem je adresa a port, kam poslat HTTP požadavek (GET /)
2) Pokud to neprojde, rezolvi se openlogin.domena.cz a zkouší se poslat tam HTTP požadavek
3) Pokud to neprojde, zkusi se http://domena.cz/openlogin
4) Na URL se odešle požadavek ?mode=probe&user=id. Odpovědí může být vícero: url login serveru (http, nebo https), případně i jiné jméno uživatele (aliasing). Nebo je odpovědí status=ok, pokud je probe úspěšný. Na druhé straně nemusí sedět skript, může to být statický soubor (aliasing doménou mého webu)
5) Rezolvuje se opakovaně, dokud není obdrženo status=ok.
6) Na URL serveru, který vrátil status=ok se pošle ?mode=login a zbytek popíšu, když bude zájem.
PS: Pokud uživatel neuvedl jméno, userid=prázdný řetězec.
PSS: jméno openlogin je pracovní, zcela určitě se to bude jmenovat jinak.
PSSS: upozorňuji, vypadá to jako mail, ale není to mail. Ale vracím se ke kořenum internetu, kde @ znamenalo (at), a čte se bredy@seznam.cz - bredy na stroji seznam.cz. Nevylučuje to možnost spojit ID s e-mailem, ale to je věc poskytovatele.
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.7.2010 22:17  7335
Resolving poskytovatele na základě mailu se dělá přes MX DNS záznamy?
bredy 18.7.2010 22:04  7334
themajklOdpovídám, že ano, dokonce nebudeš mít potřebu mít různá ID, přesto jsi schopen se přihlásit tak, aby weby nevěděly že jsi to ty.

V první řadě, už současní provideři nabízející OpenID umožňují vytvářet různé profily a každému webu podstrčit jiný profil. To je hezké, ale jedno je tam přeci jen společné, a to ID.

Můj systém nabízí možnost přihlásit se bez ID, pouze s uvedením domény. Například, pokud bude seznam.cz poskytovatel, tak se na web mohu přihlásit jako bredy@seznam.cz a web získá informaci, že jsem ten samý bredy ze seznamu, jako na tom druhém webu. Pokud mi to ale vadí, přihlásím se jako @seznam.cz Web sice nebude vědět, kdo jsem, ale bude vědět, že se na to má zeptat seznamu. Pak ale na Seznamu musím provést plnohodnotné přihlášení jménem a heslem na Seznam. Následně web obdrží mnou nastavený profil, ale nedozví se to ID (dozví se pouze jakési profile ID, aby mohl profil spárovat s jeho vlastním informačním systémem... profile ID je ID odvozeno od nastaveného profilu, a těch mohu mít víc).

Nevýhodou tohoto řešení je nutnost vyplňovat více políček, ale lze to zjednodušít pomocí trvalého přihlášení u providera (seznam to umí), a pomocí předvyplněných okének přes cookies.

Ve hře je také možnost vytvářet aliasy k danému ID, ale to je věc čistě providera, stejně jako aliasy k e-mailům.

Třetí možnost je vytvářet aliasy celých ID včetně domén, ale vzhledem k tomu, že resolvení těchto aliasů dělá web před kontaktem správného providera, slouží to spíš k tomu, abych si mohl vymyslet vlastní ID i s doménou a nemít ID závislý na výběru providera (umožňuje výměnu providera, bez změny ID ... umí i OpenID).
themajkl themajkl All those moments will be lost in time - like tears in rain. 18.7.2010 21:37  7333
A bude možné se na různé weby přihlašovat současně různými id?
bredy 18.7.2010 21:35  7332
pepakTo je na diskuzi. Pokud mám poskytovatele, kterému věřím, že je schopen dobře hlídat mé osobní údaje, pak sdělovat třetí straně můj e-mail a heslo může být mnohem nebezpečnější :-)

Třeba například klidně jako providera budu používat Seznam, protože mu věřím (protože v něm i dělám). Zato nikdy bych jako providera nepoužil facebook (přestože má vlastní implementaci), nebo microsoft (passport)

Nejdůležitější je právě svoboda výběru. A pokud mám k dispozici zdrojáky poskytovatele, které jsou primitivní a jednoduché na implemenaci, nic mi nebrání stát se svým vlastním poskytovatelem.
pepak pepak - Pepak.net 18.7.2010 21:07  7331
Nicméně znovu zdůrazňuju, jsem přesvědčen o tom, že prostor pro takovou aplikaci tu je (protože spousta lidí preferuje pohodlí před bezpečím).
pepak pepak - Pepak.net 18.7.2010 21:05  7330
No já si v první řadě myslím, že produkt, jehož smyslem je vytvořit jedno společné přihlášení na mnoho služeb, je bezpečnostně chybný už od samotného počátku. Konkrétní implementace může být lepší nebo horší, ale sotva mohou vyřešit základní problém, že jedno společné přihlášení na víc míst je obrovská bezpečnostní díra.
bredy 18.7.2010 20:39  7329
pepakTo že identifikátor vypadá jako e-mail neznamená, že to e-mail musí být. Dneska existuje spoustu služeb, které jako přihlášení na tvrdo vyžadují e-mail. Pro potvrzení Ti pak zasílají kontrolní e-mail, aby si ověřili, že je to platná identifikace. Třeba igoogle, nebo facebook, tam všude máš e-mail jako ID.

Když si přečteš dokumentaci k OpenID, zjistíš, že celý koncept vymýšlel nějaký produkťák s analytikem, ale nikoliv někdo, kdo má praktické zkušenosti. Možná je to tak vymyšlené, protože nějaký teoretik, který stojí za projektem to prostě tak chtěl mít. Je tam velký důraz na zabezpečení přenášených dat, IDčka se šifrují a vyžaduje se, aby klient (zde relay site) uměl dešifrovat, přitom si všimneš, že jde jen o přihlášení, kde výsledkem je vygenerování nějakého unikátního ID, které následně slouží jako session identifikátor. Super bezpečná služba na zabezpečení průměrně bezpečné site.

Zdroják zatím postovat nebudu, registruji doménu, kde bude k dispozici jak demo, tak zdrojáky pro relay i providera (ten kdo chce jen login a ten kdo chce poskytovat ID).

[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt