Hlavní navigace

Medvědí služba OpenID

 Autor: 107809
Martin Malý

Před časem oznámilo sdružení CZ.NIC, že plánuje představit autentizační autoritu, která bude nabízet ověření kontaktních údajů uživatele a jeho unikátnost. Plán se na podzim roku 2010 stal skutečností a autentizační metoda s názvem MojeID spatřila světlo světa.

MojeID je technicky založená na protokolu OpenID, který je široce podporovaný a na jehož specifikaci se shodla většina velkých hráčů, od Microsoftu a Google až po organizace jako Verisign či banky. OpenID má, i přes verbální podporu, zásadní problém: je možná víc poskytovatelů identity než webů, kde je lze použít.

Krok CZ.NIC tak vzbudil, možná přehnaná, očekávání – mnozí, včetně autora článku, se domnívali, že podobná popularizace protokolu „nad OpenID“ pomůže většímu rozšíření samotného OpenID. Že tento krok podpoří tvůrce webů k tomu, aby implementovali MojeID – a s ním i OpenID, na kterém MojeID stojí. No, nestalo se tak.

OpenID? Schovaný…

Už při slavnostním spuštění někteří účastníci poukazovali na to, že je popularizován především nástroj MojeID a o OpenID není téměř ani slovo. Následný vývoj dal těmto hlasům zapravdu: Tiskové zprávy, v nichž jsou zmiňovány počty webů, kde je možno použít MojeID, už nezmiňují to, kolik z nich dovoluje použít obecné OpenID. Realita je taková, že téměř žádný.

Naprostá většina webů, která implementovala MojeID, tak učinila poměrně hrubým způsobem – totiž nabídla pouze možnost použít MojeID, a navíc „natvrdo“ vnucuje příponu „.mojeid.cz“, čímž znemožňuje použít jednu ze základních vlastností OpenID, totiž alias.

Alias

OpenID je navržen velmi flexibilně. Jako identifikátor můžete použít jakékoli URL, bez ohledu na to, kterého poskytovatele si vyberete. Příklad – autor má web maly.cz, a chtěl by používat „maly.cz“ jako OpenID identifikátor. Není to problém – stačí pouze vložit několik metainformací do této stránky, které říkají „Toto je alias identifikátor pro adent.myopenid­.com“. Ověření pak proběhne proti serveru myopenid.com.

Výhoda tohoto systému je, že uživatel může změnit poskytovatele OpenID identity (z MyOpenId třeba na Seznam.cz), aniž by měnil identifikátor. Autor např. může dál používat „maly.cz“, i když se z nějakého důvodu rozhodne odejít od myopenid.com.

Bohužel u MojeID narazí. Alias si sice může vytvořit – což se bude hodit v případě, že jste si vytvořili MojeID z údajů u domény, kde výsledkem je leckdy velmi kryptografický identifikátor (u autora např. vygeneruje „pipni.1038.mo­jeid.cz“) – ale i když nakrásně splní všechny potřebné předpoklady a vytvoří si alias, nezadá ho!

Zkuste si do těchto políček vložit alias – nezadáte! Automaticky předpokládají, že použijete „xxx.mojeid.cz“.

CZ.NIC doporučuje…

Základním principem otevřené technologie OpenID je to, že si může každý vybrat svého důvěryhodného poskytovatele. Obvyklý postup práce u podobných nadstaveb nad OpenID je přitom poněkud jiný. Weby jako RPX a další nabízí přihlášení „specializovanou OpenID identitou“, například MyOpenID nebo Google, a zároveň nabízí i „obecný OpenID“. Funguje to tak, že člověk, který má např. účet u Google nebo u MyOpenId, vyplní pouze své uživatelské jméno, zbytek adresy je doplněn („.myopenid.com“). Pokud má účet někde jinde, pokud má alias apod., kliká na „obecný OpenID“, kde může zadat kompletní identifikátor.

Proč tedy není stejný postup použit i u MojeID? Tedy nabídnout krom MojeID i záložní možnost „OpenID“ (samosebou s tím, že OpenID nenabízí ony nadstavbové možnosti, jako je ověření adresy). Na mnohých webech by to nevadilo, navíc implementace není nijak složitá – pokud implementujete mojeID, implementovali jste OpenID a „ještě něco navíc“ – tedy specifické identifikátory, přidané CZ.NIC. Technicky není důvod, proč omezit přihlášení pouze na MojeID (a už vůbec není důvod omezovat identifikátory pouze na ty, které končí „.mojeid.cz“).

Na první pohled to je problém na straně webů, které implementovaly MojeID, že neumožňují vložit nic jiného. Ovšem CZ.NIC v tom není tak nevinně, jak by se mohlo zdát. Klíčová je informace z implementačních doporučení (viz instalační balíček) – cituji:

„Pro zvýšení uživatelské příjemnosti je doporučeno usnadnit uživateli vkládání tak, že stačí vložit vždy jen část identifikátoru před .mojeid.cz. (tedy aby stačilo vložit jnovakova místo celého jména jnovakova.moje­id.cz).“

Doporučení se ale nezmiňuje o tom, že tímto způsobem ořeže implementátor funkcionalitu, kterou OpenID, a tedy i MojeID, nabízí. V doporučení není rovněž ani slovo o tom, že je možné nabídnout „plnohodnotné OpenID + MojeID“ – přičemž by odstavec textu stačil.

Špatný konec?

Na celé situaci bylo něco divného: Proč CZ.NIC, který vždy podporoval a podporuje otevřené standardy, se v tomto případě chová poněkud neobvykle a v oficiálních materiálech protežuje své proprietární řešení až tak, že doporučeními „vyblokoval“ nejen jakoukoli jinou alternativu, ale i samotný otevřený základ, tedy openID? Obchodně vzato je vše v pořádku: CZ.NIC použil otevřený protokol, postavil nad ním své řešení, to dnes propaguje, a možnost použít identifikátor i někde jinde je „bonus navíc“.

Dobrý konec!

Článek původně končil větami: Přesto se člověk nemůže ubránit dojmu, že zrovna u CZ.NIC podobný postoj k otevřeným technologiím není obvyklý. Doufejme, že CZ.NIC nakonec svůj postoj reviduje a dočkáme se i podpory otevřených standardů – půl stránky textu a jedno upozornění v Doporučeních bude jistě stačit.

Obrátili jsme se před vydáním tohoto článku na sdružení CZ.NIC a požádali jej o vyjádření k celé záležitosti. Reakce na sebe nenechala dlouho čekat, a byla velmi příznivá: CZ.NIC zvážilo naše námitky a rozhodlo se revidovat text svých implementačních doporučení. Nová doporučení by měla zmiňovat možnost implementace OpenID a další výhrady z předchozího tex­tu.

Vyjádření CZ.NIC zveřejňujeme v nezměněném znění.

Vyjádření CZ.NIC

Našim hlavním cílem je podporovat „naši“ službu, tedy mojeID, které oproti OpenID přináší pro uživatele v České republice řadu výhod – ověření držitele mojeID, garantovaná serióznost a nezávislost společnosti, která službu provozuje, nebo léty prověřená zkušenost se správou databází. Proto jsme v našich implementačních dokumentech dosud mluvili pouze o tom, jak nejlépe nasadit službu mojeID. Protože ale obecně podporujeme otevřená řešení, mezi než patří také OpenID, které je s mojeID neodmyslitelně spojené, rozhodli jsme se, že tento návod v blízké době doplníme v tom smyslu, že v něm ukážeme také na možnost zavedení otevřeného standardu OpenID, do kterého je možné se přihlásit s mojeID identitou. Samozřejmě ale i nadále se bude větší část našeho manuálu věnovat službě mojeID.

K OpenID jsme se nikdy nestavěli zády. Vždycky jsme tvrdili, a bude to platit i do budoucna, že je služba mojeID postavená na otevřeném protokolu OpenID.

Našli jste v článku chybu?

25. 1. 2011 15:37

No vidite a nestaci mu. Problem nedoruceni zbozi NENI pouze problem logisticke firmy. Stale je mezi nami spousta sikulu, kteri pachaji DoS neprebiranim zasilek na dobirku.

Co se chyby obchodnika pri pouzivani "na dobirku" - pokud si spravne pamatuju, tak v CR stale na dobirku chodi vetsina zasilek z eshopu. A byt obchodnikem, ktery ma volit mezi "kchul zpur dupr OpenId bez dobirky" a nebo "Starou a nudnou vlastni registraci a dobirku", tak mam jasno :-)

24. 1. 2011 20:46

dracul (neregistrovaný)

meli radsi udelat CA, tohle znasilnovani openid mi pride uchylny ... (a to jsem se ze zvedavosti u nich registroval)

Vitalia.cz: 7 druhů hotových těst na vánoční cukroví

7 druhů hotových těst na vánoční cukroví

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy