Web - diskusní klub na Lopuchu

Registrace nového uživatele

Návod

Kluby

Archív Lopuchu

Lopuch.cz

Modrá je dobrá
zelená je lepší

Lopuch.cz

	Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
	Archiv Domovská stránka aktualizována 28.7.2019 17:46

Nastavení klubu

Nastavení práv

Anketa

Help

[ 4074 ]

<Novější <<<Nejnovější Nejstarší>>> Starší>


	21.7.2010 06:18	7345
	Rider ověřAle tady na te technologii je naprosto jedno, jakým způsobem se provede ověření. Důležité je, že ověření se provádí pomocí technologie poskytovatele. O nic víc. OpenID má za úkol pouze definovat jednoznacne ID a z toho ID umět odvodit adresu poskytovatele a toho oslovit. Cokoliv technologicky či HW překomplikovaného za tím už dotyčný systém nezajímá. Dál nechápu, proč spojovat technologie pro přihlašování přes prostředníka do další technologie přihlašování. A zas tam bude nějaký jednotný protokol, zase tam bude někdo, kdo řekne "takhåe to bude". A kde beres jistotu, ze se neobjevi subjekt C, ktery prijde s jinym protokolem a subjekt D, ktery ty protokoly spoji do dalsiho jednotneho protokolu. Haluz... Vrátil bych se ale zpět na Web, protože o ten jde především. V současné době je nejoblíbenějším přihlašováním jméno a heslo, případně e-mail a heslo. Dalším na řadě jsou proprietální systémy velkých portálů, ať jde o microsoft passport, facebook login, asi tě nepřekvapí, že existuje i Seznam login (http://login.szn.cz) a že napsat klienta pro Seznam login není problém, jediný, kam se nedostaneš jsou zatím osobní údaje, ale na ověřování se to docela hodí (dostaneš, ale není to zdarma, ale pokud jsi partnerem Seznamu, máš přístup k celému jednotnému přihlašování). Ale Seznam podporuje i OpenID, takže není potřeba. No a posledním způsobem je OpenID. Dál nic, snad jen vystupování anonymě. Jako identifikaci s oblibou na anonymních forech pouzivam své openid, ale to je samozřejmě neověřené. To, že je něco někam vestavěné neznamená, že to automaticky úspěšné. Takových systémů už bylo. Já jsem se podíval na SAML a nevím, je to prošpikovaný komplikovaným ukecaným XML protokolem (XML je zhouba), a spoustou nějakých klíčů a hashů. Snad ve snaze o superbezpečnost??? V současném systému je stále nejsilnějším prostředkem ochrany heslo a to je tak bezpečné, jak dobrou má uživatel paměť, případně jak moc má počítač zabezpečený proti keyloggeru, a případně, jak zabezpečená služba je, kam se přihlašuje. U přihlášení přes prostředníka je situace lepší, protože zabezpečený musí být jen prostředník. A navíc umožňuje uživatel použít jiné způsoby zabezpečení (třeba certifikát, kartu) aniž by to cílová služba musela implementovat a vůbec měla potřebu o tom vědět. Tohle zvládne i debilní OpenID. Na co tedy SAML?

Rider - Asociace chovatelů antropomorfních koní 20.7.2010 22:08

7344

Aha. Takže ty ten hlavní proud sice neznáš a nemáš čas ho studovat, ale jsi přesvědčen, že jde špatným směrem. Zajímavé.

Jde o to, že Laws of identity vznikly např. jako reakce na zbastlené OpenID - nijak nepolemizuju, že je hrozné. Podle mého názoru je lepší a bezpečnější třeba logika information cards, která má ovšem nevýhodu v malé portabilitě.

SAML a technlogie na něj navázané jsou způsobem, jak všechny tyhle technologie (OpenID, InfoCard, NTLM, třeba i tu tvoji) nějak rozumně propojit. Protože pro mne je třeba výrazně snazší použít podporu SAML vestavěnou v .NET Frameworku, resp. WIF, než bastlit nějaký jiný systém, byť jednoduchý.


	20.7.2010 20:06	7343
	RiderTo je všechno hezký, ale já si právě myslím, že to je špatná cesta. Nemyslím si, že je vhodné se zapojovat do hlavního proudu, když ten proud ještě vlastně není vidět a když si myslím, že jde špatným směrem. V současné době je vidět akorát OpenID a jeho přeteoretizovaná snaha nabídnout komplexní řešení. A teď tu je další teoretik, kteří přichází z dalším teoretickým cvičením. A přitom si myslím, že RP a zejména EU přijmou jednoduché řešení snáze, než nějaké komplikované, superbezpečné a komplexní řešení. Konečně, výsledek OpenID je tristní. Dodnes si nemohu v Alze nakoupit bez nutnosti se registrovat. Máme víc providerů než subjektů. Velcí provideři nemají problém najít nějakou manhodinu na to, aby doimplementovali do svého autentifikačního systému OpenID. Nedělá to problém ani Seznamu, konečně, můžu se kdykoliv podívat do zdrojáků. Problém je se subjekty, kteří jsou buď odkázáni na hotové balíky, které jsou kolikrát komplikovatelně nasaditelné a jsou zbytečně velké. K čemu mi je klient OpenID který má 7MB když webovka má s bídou 1MB? Další možností je svěřit osud do rukou nadšenců a jejich udělátek, jejichž spolehlivost je přitom nejistá. Například já mám stažený jeden skript, který dělá OpenID u Seznamu a u MyOpenID ale třeba u Google vyžaduje menší úpravu a na mojeid.cz mě to vykopne s tím, že nepodporuju plně verzi 2.0. Zkus si přečíst specifikaci OpenID 2.0 a budeš naříkat. Vlastní implementace celkem padá... A přitom je celý systém velice primitivní, založený na jednoduché myšlence svědka, kterého lze ověřit a který přebírá autentizaci uživatel. A pokud mu věří uživatel, není problém, aby mu věřil i subjekt, protože díky ověření prostředníka ochrání uživatele mající jiné prostředníky před podvodníkem. Celý koncept OpenID (nevím zda se to týká i těch zákonů) má zároveň významnou skupinu uživatelů, kteří z nějakého důvodu nechtějí tento způsob identifikace používat. Důvodem je nikoliv nedůvěra v prostředníka, ale jednoznačná identifikace u subjektu, kterému nemohou nebo nechtějí poskytovat své osobní údaje. A tohle OpenID nevyřeší, ale snažím se to řešit já. Netvrdím, že je to geniální systém. Napíšu technologické demo, zveřejním ho v české a anglické verzi a pokusím se pro projekt získat podporu komunity. Zkusím přesvědčit i lidi ze Seznamu, zda by mi neudělali providera. Stáhnu si i ten 7MB balíček pro OpenID a zřídím OpenID proxy, takže můj systém bude umět i OpenID se stejně složitým kódem. Tím bych přesvědčil zejména EU k implementaci této technologie do svých systémů, protože budou mít jistotu, že když nic, tak aspoň uživatele s OpenID budou moci systém používat. Víc udělat nemohu a ani nechci. Buď se to uchytí, nebo ne.

Rider - Asociace chovatelů antropomorfních koní 20.7.2010 12:08

7342

Nevím co se myslí těmy zákony identity. Nechci to studovat, je to dlouhý a nemám na to čas.
Snažíš se se svým projektem zapojit do oboru, který je docela slušně rozjetý. Podobných systémů je spousta, že (patrně) znáš jenom OpenID ještě neznamená, že je jediný. The Laws of Identity je zásadní teoretický dokument, který se snaží definovat problémy, které současné veřejné identifikační a autentizační systémy mají a definuje sedm "zákonů", o kterých si autor (Kim Cameron) myslí, že by měl každý takový systém dodržovat, aby se jim vyhnul. Tenhle dokument jistě není svatý a lze s ním polemizovat. Ale odmítnout ho studovat s tím, že na něj nemáš čas? To je velmi zvláštní.

Budí to ve mně dojem, že pod dojmem OpenID (které je dost hrozné, pravda), jsi vymyslel nějaké řešení, o kterém si myslíš, že je geniální, ovšem aniž bys věděl něco o současné situaci v oboru. Skutečně nelze vyloučit možnost, že jsi z jedné vody načisto vymyslel geniální postup, aniž bys předtím věděl něco o oboru, do kterého jsi vlezl, ale nepokládám ji za příliš pravděpodobnou.

Mimochodem: zákony identity a systémy na nich založené řeší i problémy, které zmiňuješ. O důvod víc, proč se zajímat o to, co dělají jiní.

Druhý a možná ještě podstatnější důvod je, že není zase až tak obtížné vymyslet autentizační protkol (např.), ale je obtížné přimět RP (relying party) a EU (end user, subject), aby to používali, protože jim to něco nového přinese. Už jenom z tohoto důvodu mi přijde rozumné nezačínat s jiným systémem od nuly, ale třeba se zapojit do vývoje jiného systému, který má větší šanci na úspěch.


	19.7.2010 21:07	7341
	RiderHele, ty zákony identity, to je nějaké nařízení Evropské unie? Já nevím jestli chápeš o co jde. Nejde o žádný nový protokol, jde jen o jednodušší řešení OpenID. Jde jen o možnost delegovat ověření identity na prostředníka, kterému věří uživatel. Běžný postup je ten, že uživatel zadá jméno a heslo. Jménem říká "kdo je" a heslem říká "tady máš důkaz". Pokud použiju přihlášení přes prostředníka, říkám "kdo jsem" a zároveň říkám službe, koho se má zeptat, aby došlo k ověření. Zároveň uživatel svěřuje proces ověření právě prostředníkovi. Je motivací uživatele vybrat si důvěryhodného prostředníka. Nedá se to ani nijak moc podvrhnout, třeba že si napíšu vlastního prostředníka, který ověření neprovede. Můj prostředník má totiž jednoznačné jméno, a to jméno domény, které jsem si musel zakoupit. Nemohu nikomu nastrčit falešného prostředníka, který ověření neprovede. Už proto, že webová služba se neptá zkrze uživatele, který může mít kompromitované spojení, ale přímo se dotáže toho prostředníka (resolving si udělá sám přes DNS, to už je dnes dostatečně autoritativní služba, nefiguruje tam žádná proxy). Zkrze uživatelské spojení se posílají pouze nějaké hashe, které uživateli i "člověku mezi" jsou k ničemu. Nevím co se myslí těmy zákony identity. Nechci to studovat, je to dlouhý a nemám na to čas. Jestli existují nějaké zákony na sledování identit, či co... klidne mi to přibliž, jak to funguje. Ale za sebe se snažím řešit dva protichůdné problémy. Jeden problém je, že určitá skupina uživatelů si ráda pěstuje svůj profil a na každém webu se vyskytuje pod stejným ID (a běda, pokud je to ID obsazené). Té se tohle náramě hodi. Druhá skupina chce spíš utajit to, že navštěvuje různé weby, nicméně nechce těm webům dávat svá hesla. Těm se také hodí mít centrální login. Ale tohle OpenID už nenabízí (nabízí to můj systém). Není účelem služby lámat se do bankovních systémů, ani do vládních, či jiných služeb. Cílovka této technologie jsou diskuzáky, blogy, portály, sociální sítě, víceméně webově zaměřené. huh Až to dodělám, můžete přesvědčit místní správce, aby fungovali jako provideři. Pak můžeš svůj login do lopuchu použít na jiné weby, které budou technologii implementovat. A nebo naopak, můžeš zařídit, aby ses do lopuchu přihlašoval třeba e-mailem do seznamu, pokud se implementuje klientská část. Já ještě plánuju udělat proxy na OpenID, takže by nemělo být těžký se přihlásit i prostřednictvím OpenID tam, kde bude implementovan klient mého protokolu. Prostě budu mít veřejnou proxy, která bude požadavky převádět na OpenID požadavky.


	huh 19.7.2010 15:00	7340
	Mě by se líbilo ověřovat uživatele oproti lopuchu, nemusel bych je do tipovačky přidávat ručně :-)

Rider - Asociace chovatelů antropomorfních koní 19.7.2010 14:42

7339

Hm. Téhle odpovědi jsem se bál. Je to jako když někdo tvrdí, že vymyslel perpetuum mobile a pak se zeptá "co myslíš prvním zákonem termodynamiky?".

The Laws of Identity

Jinak si myslím, že pokud něco současné IT nepotřebuje, tak je to ještě další přihlašovací protokol. Není nijak těžké je vymyslet, je těžké je prosadit, protože jejich uživatelé (jak RP tak EU) v nich zpravidla nevidí hodnotu.

Jde taky o to, jestli ti jde jenom o identifikaci, nebo i autentizaci a další...


	19.7.2010 06:11	7338
	RiderSe SAML to nemá nic společného, alespoň co do složitosti. Ani vlastně nevím, k čemu SAML je (koukám na wikipedi, a vypadá to šíleně). Ale máš pravdu, že nic nevymýšlím, inspirací je jednoznačně OpenID. Jenže by to mělo být jednodušší jak na implementaci do webovky, tak na implementaci providera. Protože účelem není nic jiného, než umožit uživateli identifikovat se na službě přes prostředníka. Žádná další security tam není potřeba, protože zodpovědnost je rozložena mezi webovku, providera, a uživatele. Jediný, proti čemu je třeba se chránit je proti ManInMiddle (většinou u uživatele) a proti phishingu, ale to je věcí uživatele. Webovka musí věřit uživateli, že má důvěryhodného providera. Což je na stejné úrovni, jako když věří uživateli, že se jmenuje "franta" a má heslo "opice". Případně je tu ještě možnost filtrace providerů a blokování těch, které nejsou považovány za důvěryhodné. Co myslíš zákony identity?


	Rider - Asociace chovatelů antropomorfních koní 18.7.2010 23:56	7337
	BredyMám dojem, že tak trochu vymýšlíš vymyšlené, SAML tokeny a podobné věci. Jak jsi na tom s dodržováním zákonů identity?


	18.7.2010 22:35	7336
	themajklResolving se děje takto: 1) resolví přes DNS ale položku SRV _openlogin._tcp.domena.cz. Výsledkem je adresa a port, kam poslat HTTP požadavek (GET /) 2) Pokud to neprojde, rezolvi se openlogin.domena.cz a zkouší se poslat tam HTTP požadavek 3) Pokud to neprojde, zkusi se http://domena.cz/openlogin 4) Na URL se odešle požadavek ?mode=probe&user=id. Odpovědí může být vícero: url login serveru (http, nebo https), případně i jiné jméno uživatele (aliasing). Nebo je odpovědí status=ok, pokud je probe úspěšný. Na druhé straně nemusí sedět skript, může to být statický soubor (aliasing doménou mého webu) 5) Rezolvuje se opakovaně, dokud není obdrženo status=ok. 6) Na URL serveru, který vrátil status=ok se pošle ?mode=login a zbytek popíšu, když bude zájem. PS: Pokud uživatel neuvedl jméno, userid=prázdný řetězec. PSS: jméno openlogin je pracovní, zcela určitě se to bude jmenovat jinak. PSSS: upozorňuji, vypadá to jako mail, ale není to mail. Ale vracím se ke kořenum internetu, kde @ znamenalo (at), a čte se bredy@seznam.cz - bredy na stroji seznam.cz. Nevylučuje to možnost spojit ID s e-mailem, ale to je věc poskytovatele.


	themajkl All those moments will be lost in time - like tears in rain. 18.7.2010 22:17	7335
	Resolving poskytovatele na základě mailu se dělá přes MX DNS záznamy?


	18.7.2010 22:04	7334
	themajklOdpovídám, že ano, dokonce nebudeš mít potřebu mít různá ID, přesto jsi schopen se přihlásit tak, aby weby nevěděly že jsi to ty. V první řadě, už současní provideři nabízející OpenID umožňují vytvářet různé profily a každému webu podstrčit jiný profil. To je hezké, ale jedno je tam přeci jen společné, a to ID. Můj systém nabízí možnost přihlásit se bez ID, pouze s uvedením domény. Například, pokud bude seznam.cz poskytovatel, tak se na web mohu přihlásit jako bredy@seznam.cz a web získá informaci, že jsem ten samý bredy ze seznamu, jako na tom druhém webu. Pokud mi to ale vadí, přihlásím se jako @seznam.cz Web sice nebude vědět, kdo jsem, ale bude vědět, že se na to má zeptat seznamu. Pak ale na Seznamu musím provést plnohodnotné přihlášení jménem a heslem na Seznam. Následně web obdrží mnou nastavený profil, ale nedozví se to ID (dozví se pouze jakési profile ID, aby mohl profil spárovat s jeho vlastním informačním systémem... profile ID je ID odvozeno od nastaveného profilu, a těch mohu mít víc). Nevýhodou tohoto řešení je nutnost vyplňovat více políček, ale lze to zjednodušít pomocí trvalého přihlášení u providera (seznam to umí), a pomocí předvyplněných okének přes cookies. Ve hře je také možnost vytvářet aliasy k danému ID, ale to je věc čistě providera, stejně jako aliasy k e-mailům. Třetí možnost je vytvářet aliasy celých ID včetně domén, ale vzhledem k tomu, že resolvení těchto aliasů dělá web před kontaktem správného providera, slouží to spíš k tomu, abych si mohl vymyslet vlastní ID i s doménou a nemít ID závislý na výběru providera (umožňuje výměnu providera, bez změny ID ... umí i OpenID).


	themajkl All those moments will be lost in time - like tears in rain. 18.7.2010 21:37	7333
	A bude možné se na různé weby přihlašovat současně různými id?


	18.7.2010 21:35	7332
	pepakTo je na diskuzi. Pokud mám poskytovatele, kterému věřím, že je schopen dobře hlídat mé osobní údaje, pak sdělovat třetí straně můj e-mail a heslo může být mnohem nebezpečnější :-) Třeba například klidně jako providera budu používat Seznam, protože mu věřím (protože v něm i dělám). Zato nikdy bych jako providera nepoužil facebook (přestože má vlastní implementaci), nebo microsoft (passport) Nejdůležitější je právě svoboda výběru. A pokud mám k dispozici zdrojáky poskytovatele, které jsou primitivní a jednoduché na implemenaci, nic mi nebrání stát se svým vlastním poskytovatelem.


	pepak - Pepak.net 18.7.2010 21:07	7331
	Nicméně znovu zdůrazňuju, jsem přesvědčen o tom, že prostor pro takovou aplikaci tu je (protože spousta lidí preferuje pohodlí před bezpečím).

[ 4074 ]

<Novější <<<Nejnovější Nejstarší>>> Starší>


(c) 2001-2011 Lopuch.cz Kontakt