Názory k článku
Ondřej Filip: nejpozději do tří let chceme mít sto tisíc uživatelů služby mojeID

Ehm, můžete být prosím konkrétní, jak NIC.CZ zneužívá (tzn. poškozuje ostatní soukromé subjekty) svůj "monopol"? Mimochodem, je velký rozdíl mezi soukromou firmou a sdružením právnických osob, to byste asi mohl vědět, že...
A k druhé větě, můžete být konkrétní, kolik desítek miliard Kč šlo do NIC.CZ ze státního rozpočtu, když už to srovnáváte s takovým tunelem jako je Blanka?

Ano a ja treba mam monopol na nalevani vina ve svem obyvaku... Kazdy provozovatel domeny na nejvyssi urovni ma takovy monopol (ono to jinak ani nejde), nicmene muzete si zaregistrovat domenu jinde. CZ.NIC samotny vam zadnou domenu neproda, musite si ji koupit jinde a sice od nekolika desitek registratoru, kteri si dost tvrde konkuruji. Ve sluzbach zakaznikum monopol neni.

Krome toho, uz dnes si muzete do CZ.NIC podat prihlasku, v prosinci prijit na valnou hromadu a tam vsem rici, co konkretne dela CZ.NIC spatne a pokusit se prosadit zmenu. Kdyz bude smysluplna, urcite vas podpori i dalsi clenove.

(a samozrejme, CZ.NICu stat zadny seznam nikdy nedal)

Zaver --> jsou to hruba stejne blaboly, jako v diskusich o politice na nejctenejsich zpravodajskych serverech.

A o cem tedy vlastne jde rec? :-) Vy si snad nemuzete zaregistrovat domenu treba v .com? (kde je mimochodem uplne stejny monopol a to plati v kazde jine domene)

Mily zlaty, CZ.NIC vybira poplatky pouze za registraci domen. Cenik je dostupny zde: http://www.nic.cz/page/349/cenik/

O zadnem seznamu tam nic neni, CZ.NIC krome interni evidence zadny seznam nevytvari (a interni evidenci si vytvari jakykoli poskytovatel jakekoli sluzby ci prodejce zbozi, dokonce je to jeho zakonna povinnost) a to je zadouci, protoze krome tvorby statistik (jez CZ.NIC nakonec vytvari taky a pokud v nich neco neni, urcite pripadnemu zajemci vyjde vstric a pozadovanou polozku do statistik zahrne) by neco takoveho bylo vyuzitelne tak leda pro spamovani.

No nic, argumentu se tu uz od vas asi nedockame, takze se budu ridit lidovou moudrosti "cim vice se budes s hovnem mazat, tim vice to bude smrdet" a dalsi smrad v teto diskusi uz produkovat opravdu nechci... :-)

Ty jsi asi upadl na hlavičku, viď? Nebo ti je dvanáct? Mimochodem CZ.NIC dostal pověření pro správu .cz domény od někoho jiného než od státu.

Bude vam muset stacit ICANN...

Ze ICANN poveril cz.nic je dukaz tunelu ? Jste kritikem jen kvuli prezdivce, nebo mate prezdivku kvuli kritice

Ad 1. Výše vidím jen bláboly od člověka, který nemá ani páru o co jde.
Ad 2. Jak už tu zaznělo, od ICANN. A to je organizace zatím stále ovládaná USA. Dočkáme se nějaké konspirační teorie? :-)

IMHO je to Hejl (nebo nějaká podobná, mentálně spřízněná unda), což už samo o sobě odpovídá na oba Vaše dotazy...
Further discussion is a waste of time.

MojeId jsem odmitl dat na nas server a to z techto duvodu:
1) neni mi jasne proc NIC jakozto neziskove sdruzeni ktere se ma starat o ceske domeny naprosto prekracuje ucel ke kteremu existuje a dela tyto sluzby
2) NIC za propagaci mojeID utraci obrovske penize, proc se tedy nezlevni registrace domen kdyz ma tolik volnych penez? proc musi delat nove podnikatelske aktivity???
3) premluvit uzivatele aby se registroval da velkou praci, nevim proc bychom meli tyto uzivatele posilat cizimu subjektu. Nevim take proc bychom meli poskytovat emaily a jine udaje cizimu subjektu
4) nenasel jsem jedinou vec kterou mi to prinese, jedina vetsi sluzba ktera to vyuziva je krachujici libimseti.cz. Mit jednu registraci na sluzby jedne firmy je logicke, mit jednu na konkurencni sluzby soutezicich firem je naprosty nesmysl. Neprinese mi to vic uzivatelu ani vetsi navstevnost...

Já ho mám a jsem spokojen. Z těch větších serverů to používá např. Lupa, Web4U, Zdroják...

No tak zrovna webu Internet Infa to není žádné překvapení :-)

promin ale pokud tu je kazdy tyden placeny PR tak Internet Info muselo kompenzovat nejakou protisluzbou. To neni zrovna dobry priklad jak se to pouziva :-)

Otázky 1 a 2 tu už zodpověděl ZP. Navíc Moje ID není podnikatelská aktivita, jak je v rozhovoru vidět. Mimochodem, já jsem proti zlevňování. Podle mě pomáhá nízká cena jen spekulantům.
No a že vy osobně Moje Id neuvedete je jenom vaše rozhodnutí. Mě třeba podpora od Ekonomie přijde jako super zpráva.

Souhlas – jakkoli se mi myšlenka OpenID líbí, začíná mi MojeID pomalu lézt krkem – je mi podezřelé, že mi ho neustále někdo cpe… Také přílišná centralizace ve mne nebudí důvěru. A už vůbec se mi nelíbí představa, že časem to dospěje do stadia, když tuhle „internetovou občanku“ budu muset ukazovat na každém kroku webem (což je, jako kdybych se musel legitimovat ve skutečném světě, kdykoli si jdu koupit třeba rohlík a jogurt do sámošky).

Chápu, že CZ.NIC má možná přebytek peněz a potřebuje je nějak utratit (snižování cen domén není řešení, protože ta cena funguje jako regulační poplatek proti spekulantům), ale řekl bych, že jsou lepší způsoby, jak je utratit, než cpát všem nějakou službu. Ať se za ty peníze třeba podporují nějaké studentské projekty nebo vývoj svobodného softwaru, z toho budou mít užitek všichni. Vím, že NIC dělá to svoje „Vyvíjej, Inovuj, Programuj“ – ale určitě by toho mohlo být víc. Za sebe tedy říkám: více příspěvků na vývoj softwaru a méně na pochybné a potenciálně nebezpečné projekty typu MojeID!

Pro běžného smrtelníka, kterého neovládla paronoia je služba MojeID skvělým řešením, jak jako uživatel přistupovat k různým službám s jedním nickem a heslem. Samořejmě, že rozšíření ještě není tak velké. Věřím ale, že se MojeID časem chytne. Za sebe musím ještě jednou zopakovat - dobrý počin!

Dobry den,
dekuji za Vas nazor. Chtel bych podotknout, ze fakt, ze mojeID je dneska postavene na OpenID, neni vytesan do kamene. Pro nas jsou podstatne prinosy pro uzivatele a provozovatele sluzeb. Pokud se bude jevit vyhodne pouzit jine technologicke reseni, jsme pripraveni jej zavest, stejne jako aktualne planujeme zmeny u autentizacnich metod. Nechci technicky polemizovat na tema OpenID vs OAuth, to udelal velmi pekne treba pan Maly v tomto clanku na Zdrojaku.

Pro nas je podstatne, ze jsme se zatim nesetkali s tim, ze by nejaky uzivatel ci provozovatel rekl, nemuzu pouzit/zavest mojeID, protoze je postaveno na OpenID a jedina spravna cesta je OAuth. Ale znovu opakuji, pokud se s takovymni nazory budeme ve vetsi mire setkavat, rozhodne na ne budeme reagovat.

Muzete prosim desifrovat, kdo je "novy fakticky prijemce"?

nerozumiem, prečo by mali užívatelia prispievať do diskusii pod svojím skutočným menom. Naopak, anonymita prispieva ku kvalite, pretože anonymný užívateľ sa nebojí povedať viac

Anonymní uživatel se zrovna tak nebojí lhát, pomlouvat nebo jen plkat. Pokud kdokoliv vystoupí s názorem pod svým jménem, zpravidla svůj příspěvek pečlivě zvážil a bude si za ním i stát.

pri pomlouvaní a lháni má rovnaké anonymné právo na reakciu aj ten, koho sa to pomlouvaní týka.

ak by mna niekto v diskusii pomlouval, tak mám ako dotknutý rovnaké právo a môžem ozrejmiť pravdu.

ja osobne viem rozlišovať v diskusiach príspevky, ktoré sú od kverulantov a tie kvalitné a hodnitné od normálnych diskutérov.

plk :-)

Přesně tak. Navíc CZ.NIC podléhá českému právu, což je dost nebezpečné – to už snad raději ten Facebook – to je sice taky ksindl, ale české právo a čeští politici na něj nemůžou (nicméně zase podléhá těm americkým, což je z bláta do louže).

A více co? Já nemám ani Facebook ani MojeID a jsem spokojený :-) Nepotřebuji svoje osobní údaje futrovat do nějaké centrální databáze (stačí, co o mně eviduje stát a před čím nejde utéct).

svatá pravda

Naprostý souhlas! Celý svět se od OpenID odklonil, protože nepřináší uživatelům žádný prospěch. Dneska vám do mojeID češi lezou jen proto, že si formou "propagace" kupujete loginy. Každý z nás (pohledem masy) má FB login / Twitter login a mojeID tady jaksi stojí úplně vedle.

Reálně je to nesmysl a jakmile to přestanete dotovat, tak to začne upadat v zapomění.

Petr

Pevně doufám, že se nedočkám okamžiku, kdy bude pro všechny autentizace potřebný FB login nebo Twitter login (ani jedno z toho nemám).

-Yenya

Souhlas s Miroslav Král, jako uživatel MojeID jsem spokojen a to je pro mě zásadní, a tyhle plky o tunelech si strčte ... za kloubouk.

Nejak mi unika, k cemu by to melo byt, kdyz pominu, ze to hranici s phishingem. Proc by mela mit "treti" strana na starost prihlasovani k nejake sluzbe. A jaky duvod ma provozovatel nejake sluzby si "toto" k sobe pustit, to mi nejde do hlavy. Nehlede na to, ze tim pada zakladni bezpecnostni poucka nepouzivat stejne heslo k vice sluzbam.

Já mám všude jiné heslo, hesla si pamatuje prohlížeč a já si pamatuji jen ta důležitá a hlavní heslo, které chrání ta ostatní. Hesla nesvěřuji žádnému subjektu*, prozrazení jednoho hesla nic neznamená a nepotřebuji aby tu existoval nějaké MojeID.

A pro přístup z více počítačů si hesla synchronizuji se serverem (třeba i vlastním), kde jsou zašifrovaná, takže správce toho serveru se k nim nedostane.

Funguje to dobře, je to pohodlné, bezpečné, decentralizované (odolné proti výpadkům) a není tu žádný nadřazený subjekt, který by měl přístup k obrovské databázi uživatelských účtů a měl nad nimi moc.

*) resp. každému jen to konkrétní heslo pro něj

> prozrazení jednoho hesla nic neznamená

Když provozovatel služby XYZ zneužije/prozradí moje heslo, o nic nejde, protože prozradil jen heslo k té své službě a jen tam jde zneužít (s tím se z principu nedá nic dělat, protože když někdo tu službu provozuje, přirozeně se k ní může přihlásit jako bych to byl já), ale jelikož stejné heslo nepoužívám nikde jinde, nelze ho ani nikde jinde zneužít a nevzniká žádná další škoda.

Ale když dojde ke zneužití na straně nějakého centralizovaného správce identit (MojeID, Facebook, atd.), je to opravdu velký problém, protože on se může jako já přihlásit k mnoha jiným službám, které neprovozuje.

> hesla synchronizuji se serverem, kde jsou zašifrovaná

Asi jsem to měl napsat srozumitelněji: hesla se zašifrují ještě na mém počítači a pak se odešlou na nějaký server (který slouží k té synchronizaci, není to server, jako ty ostatní, ke kterým se pomocí těch hesel přihlašuji) a z něj si (zašifrovaná) hesla můžu stáhnout jiným klientem (třeba v mobilu, notebooku atd.) a používat je pro přihlašování.

Smlouva, ze nekdo neco neudela, je nejvetsi kravina jakou sem ohledne zabezpeceni kdy cet. Vypada to, ze ste se zaradil na prvni misto v soutezi.

Zaplati mi NIC v pripade kompromitace 100G? Ne? Aha, oni mi neda nic, protoze me odkaze na podminky ve kterych je ze nikdo za nic neruci ... no to bych musel bejt magor.

A ano, mam nekolik smluv ohledne ruznych garanci vseho mozneho uzavrenych a vice co? Jsou prevazne khovnu, protoze pripadne kompenzace ani zdaleka nepokryji zpusobene skody.

Maly priklad ano? SLA s providerem, mate? kdyz vam net nepojede, tak vam v nejlepsim pripade vrati mesicni platbu (nebo ji nebude pozadovat), ale skody (ktere muzou byt klidne ve stamilionech) vam neuhradi => stejne se musite zaridit sam a tudiz vam je jakakoli garance stejne knicemu.

Dost možná přijdu o přístup do těch knihoven nebo placených databází – protože poruším jejich podmínky (jistě se jim nebude líbit, že se k těm placeným zdrojům hlásí pod mým účtem spousty lidí z celého světa – takže mi prostě zablokují nebo zruší účet).

Jenze ta knihovna se nebude dohadovat s poskytovatelem identit, ona jednoduse zablokuje ucet a budu to ja kdo bude muset resit kompromitaci.

Jen s tím „drobným“ rozdílem, že o ne/kompromitaci vlastního hesla si rozhoduješ sám, zatímco při zavedení „důvěryhodné“ třetí strany už tvoje virtuální identita není v tvé moci.

1) Nejde jen o nějaké „dodatečně si mezi sebou vyřešit“, ale o to, že se ten incident vůbec stal (a tady je ten rozdíl: v jednom případě si za to můžu sám a v druhém nemám situaci pod kontrolou)

2) Jak moc odpovědnosti na sebe vezmou SP a IdP a kolik jí hodí na uživatele je otázka – v případě, že SP spolupracuje s více IdP (nebo s obecně jakýmkoli IdP), může SP říct: „to je ale vaše chyba, že jste si vybrali nedůvěryhodného IdP :-P“ – oni za něj skutečně ručit nemůžou a je to volba uživatele*, komu svěřil svoje data a správu své identity.

3) MojeID nevybírá od uživatelů peníze a od poskytovatelů služeb vybírá buď nic nebo tisícovku – z toho sotva našetří na nějaké záruky a potenciální smluvní pokuty. Je to prostě potřeba brát jako bezplatnou službu bez záruky. (Např. CA se pohybují v řádově jiných relacích, mají za sebou větší kapitál, mají pojištění – a tak si někdy můžou dovolit zavázat se ke smluvním pokutám a poskytnout nějaké záruky pro případ zneužití)

*) stejně jako když si vybere třeba uhodnutelné heslo – SP není povinen kontrolovat jeho složitost a i když to dělat bude, heslo může být formálně složité, ale přesto snadno uhodnutelné (nebo ho uživatel někde prozradí či si ho napíše na papírek a nalepí na monitor)

Když se používá klasické přihlašování jménem a heslem, tak SP přístup k heslu má. Psal jsem to proto, že některé věci (volba IdP, volba kvality hesla) jsou věcí uživatele a on za ně nese odpovědnost. SP např. umožní přihlášení pomocí OpenID, ale že jsem si vybral nedůvěryhodného OpenID poskytovatele, je už moje blbost – SP za to nemůže. Stejně tak, když mi SP nezabrání v tom, že si zvolím hloupé heslo nebo ho prozradím – opět je to moje blbost – odpovědnost uživatele.

Jak jsem psal už výše – SP může „spolupracovat“ obecně s jakýmkoli IdP (podporujícím daný protokol) a tudíž si je nijak nevybírá a neručí za ně – IdP si vybírá uživatel a ten by si to měl rozmyslet.

Taky je možné, že SP bude podporovat jen některé IdP, ale ani to není zárukou nějaké důvěryhodnosti. A i v takovém případě SP myslí na svoje zájmy (vybere si např. IdP, který mu tam nebude posílat spammery), ale důvěryhodnost IdP si musí zase pohlídat uživatel.

Placate nesmysly, nevyresi. Knihovnu jednoduse vubec nezajima kde ke kompromitaci doslo - zablokuje dany acc a tim to pro ni konci. Je ji uprdele jestli bylo heslo vykradeno z vaseno PC nebo ze serveru poskytovatele prihlasovani.

Zhorseni velmi podstatne, protoze ted kdyz se proflakne jedno me heslo, prijdu o jeden acc a dohaduju se pripadne s jednim subjektem. Kdyz se proflakne toto, tak muzu potencielne prijit o stovky pristupu a dohadovat se se stovkami subjektu.

Ad „A když se prozradí to vaše šifrovací heslo, tak jste stejně v pytli.“

Jednak je potřeba nejen prozradit heslo, ale i ukrást zašifrovaná data z toho synchronizačního serveru. A jednak to prozrazení/ne­prozrazení hesla je plně v mé moci a můžu si na něj dohlídnout (ne jako když ho spravuje někdo třetí), záleží prostě jen na mně.

Ad „pod pokutou, která převyšuje vaše případné ztráty“

U bezplatné služby se ti k nějakým pokutám žádný provozovatel nezaváže ;-) Nebude riskovat, že třeba omylem ztratí data, nebo že se mu někdo nabourá na servery a on bude muset platit všem uživatelům vysoké odškodné. Tyhle služby prostě fungují na principu: „uživatel má nějaké povinnosti a poskytovatel žádné a za nic neručí“.

A placenou službu tohoto typu by zase využívalo minimum lidí.

Ad „Kdybych se tak chtěl hlásit do banky…“

Příklad s bankou je dost zcestný, protože banka se při ověřování uživatelů nebude spoléhat na nějaký jiný subjekt a bude si je ověřovat hezky sama. Protože potenciální škody žádná smluvní pokuta nepokryje (a kdyby ano, tak ten, kdo by se k ní zavázal, je sebevrah).

Ad „…důvěryhodné certifikační autority.“

Které CA jsou dnes důvěryhodné? :-)

Neznam ovsem zadnou banku ktera by neco takoveho provozovala - jako ze by ste napr mohl pouzit certifikat CA a podani platebniho prikazu.

To je naopak naprosto nepodstatne, nemluve o tom, ze duveryhodnost CA lze velmi casto velmi snadno napadnout. (v principu by stacil jediny pripad, kdy CA vyda certifikat nekomu jinemu, a klidne se na tom u soudu oroci kazdy pravnik, ze mohla uplne vpohode stejne vydat certifikat na vase jmeno komukoli.)

Soud vam takovou argumentaci vpohode prijme - pokud ukazete cloveka, ktery dostal rekneme na stejne urade OP na cizi jmeno, a budete tvrdit, ze OP na vase jmeno byla taktez vydana nekomu cizimu a zaroven nebude existovat zadny jiny dukaz nez pouziti vasi OP tak mu ani nic jineho nezbude.

Toto neni analogie, naucte se rozdily, jsou celkem zasadni - analogie = reknu ze pepa taky da pivo cloveku kterej se predstavi jako franta a muze to byt tonda.

Pro mne jako IT směrem založeného uživatele by mojeid, potažmo openid bylo ideální ve světě, kde by všichni poskytovatelé toto umožňovali...
Je to ale stejné jako v korporaci, skoro vždy převažují prostředí, které neumožňují ověřování vůči AD.

S tim se da souhlasit. Ale jak je uvedeno v clanku, tak cznic se snazi jit prave timto smerem. Tedy rozsirit rady tech, kteri maji mojeID nasazene.Tedy pokud Vam na nejake sluzbe mojeid schazi , oslovte poskytovatele.

Dobrý den, říkal jsem to hned servírce vedle v hospode, ale zdá se, že systém prozatím nezná, večer ještě promluvím s majitelem... rozhodně v tom vidím přínos, pokud dojde k masové implementaci!

+++1

Jen aby ty počty uživatelů nebyly nadsazené. Já mojeID mám, ale nikdy jsem ho nepoužil. Jen jsem si chtěl zabrat pěkné id, kdyby náhodou nějaké pako napadlo, že se k nějakým důležitým službám nepůjde přihlásit jinak.
Osobně se mi příčí mít něco, kde prozrazením jednoho přístupu lze ukradnout identitu napříč celým internetem. Mám v Keepass stovky hesel a vůbec nijak mě to neobtěžuje. Pokud by někdo získal heslo k jedné mé službě, pravděpodobně by se nic moc nestalo a jednoduše bych to napravil, u moje/openid by to byla celkem katastrofa. Až někdo hackne mojeid, bude to zajímavé.

Predevsim i pokud budete pouzivat na vsech webech stejne heslo, neni uplne trivialni ulohou zjistit, kde vsude jste registrovan. V tomto pripade to ovsem trivialni ulohou je, protoze ty data tam primo jsou, dokonce vcetne informaci kdy kam, na jak dlouho ... => pokud vas pristup zjistim, muzu zjistit ze do banky chodite 1x za pul roku, takze kdyz si tam par penez prevedu,t ak to zjistite az za pul roku ;D.

A vubec, cookies mazu vsechny po zavreni prohlizece, nevim proc bych nekomu mel davat taovyto smirovaci nastroj. O to smirovani jde totiz primarne - aby se vedelo co ctete, co kam pisete a pekne se to centralizovalo, vyhodnocovalo ... to uz si muzete dat domu webkameru do kazdy mistnosti, vyjde to skoro nastejno.

Kdyz uz se diskutuje o MojeiD na Lupe, tak bych mel dotaz: Na PC mi prihlaseni pres MojeID na Lupu funguje. Kdyz se o to ale pokusim z Androidu, tak dostanu chybu po zadani loginu, ze stranka neni dostupna. Ma nekdo podobny problem?