Registrace nového uživatele     Návod     Kluby     Archív  Lopuchu     Lopuch.cz  

Když diskuse,
tak s Lopuchem

Lopuch.cz

Jméno:
Heslo:
Podpora LCD:
 
Klub Web [ŽP: neomezená] (kategorie Programování) moderuje Kdokoliv.
Archiv
Domovská stránka aktualizována 28.7.2019 17:46
  
  Nastavení klubu     Nastavení práv     Homepage     Anketa     Přítomní     Oblíbené     Lopuch     Kategorie  
autor: 
text: 
vyplnit a 
Help
 Titulek, text příspěvku  
Opište pozpátku následující text bez prostředního znaku: anbqhlx
[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  
pepak pepak - Pepak.net 6.8.2010 06:53  7374
Nevíte o nějakém místě, kde by bylo zdokumentované chování prohlížečů pro odkazy typu <a href="file:///server/share/cesta/nazev.ext">? Tzn. odkazuji se na vzdálený server ne přes protokol HTTP, ale souborovými službami. Co zkouším, tak mi to na Internet Exploreru a Opeře chodí, naproti tomu Firefox jen tiše skončí (neudělá nic, ani nezahlásí žádnou chybu). Potřeboval bych vědět, jestli to je obecné chování (tzn. že se to děje všude, nezbláznil se jen můj Firefox).
bredy 2.8.2010 08:36  7373
oprava vyžaduje spolupráci s adminy lopuchu.
bredy 2.8.2010 08:36  7372
knedleještě tam dam zdrojáky v PHP. Teď jsem měl bohužel rodinné problémy, máme rekonstrukci baráku, takže času moc není, ale slibuju. Jinak samotné ověření na straně serveru je jednoduché, a pro lopuchy by dokonce stačilo, aby to vydávalo kladné potvrzení, pokud je uživatel prostě přihlášen na lopuch. Vyžaduje to ale přístup do domény Lopuch.cz a to vyžaduje zásah spolupráci lopuchu.
knedle knedle online - Krabice živých 2.8.2010 08:20  7371
Bredyeasylogin - dokazes to prokopnout se na lopuch? vyuzil bych (stejne jako huh) pro lopusacke substranky (u me krabka)
el_diablo El_Diablo Veškerá nepodstatná elektronická zařízen - mimo provoz, včetně kontroly pravopisu. 31.7.2010 16:01  7370
Sedm vyvolených dostalo klíče, kterými lze nahodit internet. Mezi nimi i Čech
bredy 26.7.2010 20:54  7369
RiderMě te zajímá technická část projektu, kdy mi jde jen o prostor na serverech a o CNAME v DNS (pro seznamácke domény).
rider Rider - Asociace chovatelů antropomorfních koní 26.7.2010 20:44  7368
Což o to, produkťáka... Ale RP a hlavně uživatele...
bredy 26.7.2010 20:09  7367
RiderLojza si nemusí dělat účet u IdP. Má už účet na Seznamu, to mu stačí :-) U Seznamu má účet polovina národa. Mě bude stačit přesvědčit našeho produkťáka, aby mi tu službu povolili v rámci volného času naprogramovat. Tedy, ještě to nemám schválený, uvidíme.

www.easylogin.net - není to hotový, ale přihlašování funguje. Zbývá mi napsat ještě popisy a zveřejnit zdrojáky. Pokud to budete testovat, tak se po úpravě profilu nezapomeňte odhlásit, protože v rámci session ověřuje heslo jen jednou a pak už vydává ověření bez hesla. V sekci úprava profilu je odhlašovací odkaz.
rider Rider - Asociace chovatelů antropomorfních koní 26.7.2010 18:19  7366
Hlavní smysl běžné autentifikace je ověření, že ten Lojza co přišel dneska je ten samý Lojza, který tu byl minulý týden. Ty ve skutečnosti nepotřebuješ vedět kdo to je. Jen potřebuješ autentifikovat konkrétního uživatele. Lojza svěřil své přihlašování nějakému IdP, kterému věří a přenáší tedy zodpovědnost za svou bezpečnost na někoho třetího, který jej umí zabezpečit lépe, než nějaký, skoro nedůvěryhodný SP uživatelským jménem a heslem.

Ano, máš pravdu, že pro identifikaci a autentizaci mi stačí tohle. Jenomže Lojza si účet u IdP neudělá, protože nemá proč. Proč by zatahoval do věci další subjekt, který tam není potřeba? O tom je ten třetí zákon.

Prostředníka má smysl do toho zatahovat v okamžiku, kdy mi dá nějaké ověřené claimy, čímž zabrání např. vtipálkovi vyplnit registrační formulář e-shopu nesprávnými údaji, protože jeho adresa bude claimem, který IdP ověří.

Ale nehádej se tady se mnou a nepřesvědčuj mne. Naprogramuj to a přesvědč uživatele, aby to používali. Já ti jenom říkám, proč to nebude fungovat.

bredy 26.7.2010 16:16  7365
RiderZbytečně nafukuješ problém:

Nemohu si ale být jist, jaké claimy mi budou schopni dát a jak budou zajištěné.

Tohle ale v zásadě nepotřebuješ. Hlavní smysl běžné autentifikace je ověření, že ten Lojza co přišel dneska je ten samý Lojza, který tu byl minulý týden. Ty ve skutečnosti nepotřebuješ vedět kdo to je. Jen potřebuješ autentifikovat konkrétního uživatele. Lojza svěřil své přihlašování nějakému IdP, kterému věří a přenáší tedy zodpovědnost za svou bezpečnost na někoho třetího, který jej umí zabezpečit lépe, než nějaký, skoro nedůvěryhodný SP uživatelským jménem a heslem.

Ta je ovšem bohatě vyvážená komplikovanějším procesem přihlášení a registrace a nutností aby se uživatel *někde* nějak registroval a ideově souhlasil s tím, že tenhle účet třetí strany použije

Z mého pohledu je komplikovanější registrovat se v každém e-shopu, který navštívím jednou, maximálně dvakrát. Nehledě na to, že poskytuju osobní údaje, aniž bych měl jistotu, že ty osobní údaje nezneužije někdo třetí. Teď mi nejde o vlastní SP, ale vlivem okolností (jedná se o e-shop) použiji slabé heslo, které někdo uhodně a získá tak přístup k informacím, které by neměl vědět.

Druhá možnost je, že potřebuji mít uživatele nějak "předověřené", potřebuju, aby mi IdP dal nějaké konkrétní claimy a nějak se za ně zaručil

Nepotřebuješ. Smyslem autentifikace je ověřit uživatele podle jeho ID. Nepotřebuješ znát jeho adresu a bydliště. Nezajímá tě, zda ty informace jsou důkladně ověřené. Ty víš, že lojza přišel z počitače jidra.oprsalek.cz, ze tam má nějakého IdP a jaké má to IdP zabezpečení tě nezajímá. Pokud si Jindra a Lojza lezou do zelí tě jako SP nezajímá. Ty poskytuješ služby uživatelům na IdP jidra.oprsalek.cz.

Modelový příklad: provozuju e-shop a hodilo by se mi vědět, že uživatelem zadané jméno a adresa je skutečné, takže budu mít větší jistotu, že to není vtipálek

Proč chceš od systému něco, co ti na současném systému nic nezaručí? Jak zabráníš vtipálkovi vyplnit registrační formulář v e-shopu neplatnými údaji? Srovnávej srovnatelné. Přihlašování přes prostředníka řeší jiný problém, než ověření reálných osobních údajů uživatele. Ani to kolikrát není žádoucí!

Proto je ostatně SAML tak složitý - předpokládá se, že požadovaného efektu dosáhnu nikoliv programováním, ale parametrizací, nějakým hotovým řešením

Samozřejmě, autokololetadloponorka bude vždycky velice drahá a náročná na provoz a na řízení.

bude Aukro skutečně chtít být IdP?
Ale IdP a SP si nemusí lést konkurenčně do zelí. Třeba Aukro má plné právo nebýt IdP. Ale také to může být zajímavý způsob, jak při přihlašování k jinému aukčnímu serveru umístit do dialogu přihlašování display reklamu na aukce Aukra. Mimochodem, do minulého pátku jsem netušil, jak tahle display reklama řepí třeba na Seznamu.

Samozřejmě, že jak IdP tak SP mohou své protějšký omezit, IdP pomocí returnUrl a SP pomocí domény.
huh huh 26.7.2010 16:15  7364
Ty žiješ v moc enterprise světe :-) Já myslím, že praxe ukazuje, že vedle enterprise řešení má často šanci se uchytit i něco malého šikovného, viz třeba xml-rpc vs. soap, relax ng vs. xml schemata atd.

Já nepotřebuju integrovat moduly IS, ale jako obyčejná brambora bych klidně uvítal něco, abych třeba pro přihlášení přiblblé mailové konference se nemusel registrovat a vymýšlet heslo.

Tj. chci třetí stranu, která si (třeba zasláním dopisu) ověří, že adresa je skutečně funkční.

To je sice hezký, já bych chtěl třeba zlatý hodinky :-), ale Bredyho systém nemusí řešit všechny problémy světa.
rider Rider - Asociace chovatelů antropomorfních koní 26.7.2010 15:57  7363
Facebook login je případ specifický ve dvou ohledech:

1. Drtivá většina webů, které používají Facebook login ho nepoužívá pro klasickou autentizaci, ale protože jsou s Facebookem relativně těsně propojeny a integrovány, bez něj by neměly moc smysl. Typický příklad: NetworkedBlogs

2. Řada webů (třeba i ty pornosity) ho používá kvůli dolování dat, dostanou se tak k relativně cenným údajům.

Facebook login, stejně jako Microsoft Passport zase trpí na centralizaci. Oba jsou proprietální systémy, které stojí a padají na ochotě těch subjektů je podporovat.

Jenomže to je v zásadě jakýkoliv systém s prostředníkem - třetí stranou. Možná ne proprietární, ale rozhodně závislý na ochotě IdP jimi být a zůstat. Jako relying party mám tedy na výběr ze dvou možností a obě jsou špatné.

Buďto budu akceptovat zcela jakéhokoliv IdP, čímž si zajistím nezávislost na konkrétním subjektu. Nemohu si ale být jist, jaké claimy mi budou schopni dát a jak budou zajištěné. Jedinou výhodou pak představuje, že si uživatel nemusí pamatovat další heslo. Ta je ovšem bohatě vyvážená komplikovanějším procesem přihlášení a registrace a nutností aby se uživatel *někde* nějak registroval a ideově souhlasil s tím, že tenhle účet třetí strany použije (idea, že si rozjede vlastního IdP je spíš teoretická). V takovém případě tedy třetí strana nemá fakticky smysl a porušuje třetí zákon.

Druhá možnost je, že potřebuji mít uživatele nějak "předověřené", potřebuju, aby mi IdP dal nějaké konkrétní claimy a nějak se za ně zaručil. V tom případě nicméně potřebuju jednoho nebo více konkrétních IdP, na nichž se tím stávám fakticky závislým (i když používám otevřenou technologii). Tady má ověřování třetí stranou smysl, ale přesto naráží na řadu netechnických problémů: Např. kde takového IdP vzít a nekrást? Zadarmo to asi dělat nebude a je ekonomicky rozumné mu za to platit? Pokud to bude IdP mít jako "přidruženou výrobu", hrozí konflikt zájmů. Pokud to bude dělat jako obživu, asi brzo zhyne.

Modelový příklad: provozuju e-shop a hodilo by se mi vědět, že uživatelem zadané jméno a adresa je skutečné, takže budu mít větší jistotu, že to není vtipálek, kterému pošlu dobírku, která se vrátí jako nedoručitelná a budu s tím mít akorát vydání. Tj. chci třetí stranu, která si (třeba zasláním dopisu) ověří, že adresa je skutečně funkční. Hodilo by se mi, kdybych mohl jako IdP použít třeba Aukro, které u svých uživatelů adresu korespondenčně ověřuje. Jenomže: bude Aukro skutečně chtít být IdP? Když tím bude pomáhat své konkurenci? Budu já chtít, aby Aukro vědělo, kdo jsou moji zákazníci? Budou se moji zákazníci chtít přihlašovat účtem třetí strany? Vyplatí se nějaké nezávislé třetí straně provozovat takovou službu?

Význam technologií, jako je SAML, je spíše v jiných oborech, v uzavřených nebo polouzavřených systémech. Např. abych já, jako ISV mohl dodat aplikaci, která snadno půjde zapojit do infrastruktury odběratele. Nebo pokud chci dělat nějakou federated identity, třeba umožnit do extranetu přístup partnerům a podobné věci. Proto je ostatně SAML tak složitý - předpokládá se, že požadovaného efektu dosáhnu nikoliv programováním, ale parametrizací, nějakým hotovým řešením. Že to bude problém "IT Pro" ne "Developer". Od toho tady jsou programy jako ADFS (Active Directory Federation Services od Microsoftu), již zmiňovaný Shibboleth (což je open source v rámci projektu Internet2), Athens (používaná v UK) nebo Tivoli (od IBM).

bredy 26.7.2010 10:04  7362
RiderŘekl bych, že jsi podlehl přání otce myšlenky. Zajímavý je, že podle tebe nemají takové systémy šanci na úspěch, ale že dost lidí bez problémů používá Facebook login (a viděl jsem to i na pornositech), to ti asi uniklo. Bohužel, Facebook login, stejně jako Microsoft Passport zase trpí na centralizaci. Oba jsou proprietální systémy, které stojí a padají na ochotě těch subjektů je podporovat.
rider Rider - Asociace chovatelů antropomorfních koní 26.7.2010 02:39  7361
Můj systém tento zákon neporušuje, protože systém je založen na přihlášené přes prostředníka.
Ano. A to je důvod, proč se nerozšíří a nebude úspěšný. A také proč se nerozšířil a není úspěšný a masově používaný žádný systém přihlašování přes prostředníka. I to OpenID je mezi slepými jednooký králem, dohromady to nikdo nepoužívá.
bredy 23.7.2010 22:27  7360
Zákony identityNašel jsem někde český překlad těch zákonů, což zlepší porozumění, a vychází mi toto: (zdroj: http://is.muni.cz/th/173294/fi_b/bc.pdf)

1. Systémy pro práci s identitami smějí předat informace o uživateli pouze s jeho souhlasem. Uživatel tedy musí vědět, jaké informace o něm systém uchovává, komu a v jakém rozsahu je předává. Zároveň s jejich předáním musí explicitně souhlasit, jinak k předání informací o uživateli nesmí dojít.

Splněno. Uživatel má plnou kontrolu nad svým profilem. IdP může pomoci uživateli vybrat, které informace poskytne SP.

2. Systém, který uchovává a spravuje co nejméně identifikačních údajů, je z dlouhodobého hlediska nejstabilnější. Se zvětšujícím se množstvím spravovaných informací rostou náklady na jejich zabezpečení a každý systém by tak měl pracovat pouze s informacemi, které nutně potřebuje.

Jestli to dobře chápu, jde o to, aby uživatel měl představu o tom, které informace bude služba ke své činnosti potřebovat. Pravda, že tento bod zatím nesplňuji, protože SP nemá momentálně způsob jak IdP sdělit rozsah požadovaných informací, tedy uživatel musí předpokládat, že SP bude vyžadovat všechny informace a tedy je na něm rozhodnout, které poskytne. Zároveň IdP nemá řečeno, které informace jsou povinné. Teoreticky tedy uživatel nemusí poskytnout žádné informace výjma ProfileID, který slouží ke spárování uživatelského profilu IdP s identitou na straně SP.

3. Systém musí být navržen tak, aby přístup k informacím měli povoleny pouze takové subjekty, kterých se dané informace bezprostředně týkají.

Můj systém tento zákon neporušuje, protože systém je založen na přihlášené přes prostředníka. Není tam jediný subjekt, který by do systému neměl mít přístup. Nic o vedlejším kanále. Nic o tom, že by si SP a IdP neměly vyměňovat informace sloužící k ověření vlastní seance.

4. Systém musí umět podporovat tzv. ”všesměrové“ identity pro veřejné subjekty a ”jednosměrné“ identity pro soukromé subjekty. Za všesměrové identity považujeme takové subjekty, které veřejně informují o své identitě, např. certifikáty X.509 (obsahují veřejně dostupné informace, jejichž pravost potvrzuje certifikační autorita). Naproti tomu jednosměrné identity jsou subjekty, které prozrazují svoji identitu pouze subjektům, které si sami zvolí a tím chrání své soukromí.

Pokud to dobře chápu, z hlediska uživatele musí systém podporovat jak uživatele, kteří se rádi svou identitou chlubí a rádi mají někde potvrzeno, že jsou to oni, tak uživatele, kteří se chtějí jen přihlásit ke službě, ale nechtěji být zpětně identifikováni. Můj systém umožní slepé přihlášení, kde uživatel neposkytne své id SP ale pouze IdP, a IdP za něj vyrobí jednoznačnou identifikaci v rámci konkrétního SP. z té identifikace nelze zpětně dohledat, o koho se jedná.

5. Systém pro práci s identitami musí zajistit možnost spolupráce různých technologií od rozdílných poskytovatelů identit (tedy musí být decentralizovaný).

Splněno 100%.

6. Součástí identifikačního metasystému musí být uživatel. Interakce uživatele s tímto systémem musí být realizována pomocí jednotného a zabezpečeného rozhraní.

Pokud hovoříme o ochraně proti phishingu, jednotné rozhraní je v zásadě proti tomuto požadavku. Ideální je, pokud jednotné rozhraní používá konkrétní uživatel. To mu v tomto případě poskytuje právě jeho zvolený IdP. 100% splněno.

7. Systém musí uživateli poskytnout jednoduchý a konzistentní výběr identity závislý na kontextu probíhající komunikace. Rozhodnutí o výběru identity musí být vždy provedeno uživatelem.

Uživatel si může zvolit svého IdP a v rámci IdP pak nějakou vlastní identifikaci. V rámci probíhající komunikace si může uživatel vybrat profil, který ke komunikaci vybere. 100% splněno.

Co jsem nesplnil?

[ 4074 ] <Novější  <<<Nejnovější  Nejstarší>>>  Starší>  

(c) 2001-2011 Lopuch.cz   
Kontakt