Názory k článku
OpenID míří na české weby

pochybuji, že by MS tuto technologii přijal, navíc když už má několik vlastních (omezených opět jen na svůj píseček jako LiveID) a podobně to bude se seznamem, očekávám, že vše bude provázáno s emailem u seznamu, takže takové polovičaté

Já myslím že to funguje celkem OK, už na to nějakej ten měsíc taky koukám (dokonce mi to i běží na serveru - poněkud nedodělané). Že bych to konečně doplácal do funkčního stavu? Microsoft ten se na to asi nevrhne, no a co znamená Microsoft na Internetu?? Skoro nic :-)

:)
Zase se si vzpomněl na tu mnohokrát řečenou parodii na seznamáckou reklamu na email:

"Email od seznamu - koule u nohy - na celý život."

Zkrátka, neexistuje důvod, proč by si ho takto ještě více nepodpořili, například reklamou na obrazovce kde povolujete server kterému chcete povolit své udaje, atd...
Ale zase - poskytují to gratis, tak proč ne ;o)

Nevím co furt máte se e-mailem od Seznamu. Jestli to ze nekdo ma identitu na seznamu ve tvaru jiri.vopicka@seznam.cz chápe jako nutnost používat e-mail, tak je z prominutím hlupák.

Co se tím vůbec zabýváte? To že si založíte na Seznamu identitu není pro Vás závazek přestěhovat Váš mail na seznam, dokonce jej ani nemusíte využívat! E-mailový účet je stejně jen nějaký řádek v databázi, pokud na něm nemáte uložený žádný e-maily, nezabírá ani těch minimálních 10MB co je nastaveno ve výchozím stavu.

Pokud bude openId fungovat, pak mějte identitu na seznamu, ale přihlašujte se třeba na Centrum pod Seznamáckou identitou. A vo to go!

Osobně nic, jen narážím na tupost některých lidí, co chápou@§seznam.cz = jediný email.

Zajímavý fakt - dokud jsme měli naše firemní emaily ve tvaru primeni@firma.cz stávalo se, že si zákazníci vs. obchoďáci volali zda email došel, přestože byl do telefonu nebo na vizitce (!) správně napsaný. Lidi tam hold ze zvyku psali @seznam.cz.

Pak jsme jednou udělali naše emaily na seznamu (to co bylo pred @firma.cz jsme dali před @seznam.cz) a přeposílali si je do oficiálních mailů. (pro jistotu). A hle - pak už si obchoďáci na obědech nestěžovali, že by jim to zákazníci neposlali...

Hold někdy mají ti zákazníci tu kouli u nohy opravdu. :)

Nicméně Seznam v posledních letech na mailu zapracoval, a už je dost dobrej - teda ve světě cz free. Zato Centrum šel od desíti k pěti, a tím novym zabugovanym zmetkem má u mě utrum.
A ohledně online heldesku Seznamu by se mnozí taky mohli učit. Centrum pro jistotu na helpdesk maily neodpovídá vůbec.

Přihlašování přes MS LiveID si také můžete integrovat do svého webu, stejně jako OpenID. Viz http://dev.live.com/liveid/ kde jsou SDK.

Naco riesit nieco, co uz je vyriesene?

Ty bezpečnostní otázky jsou ovšem zásadní. A princip je jasnej - takže bych naopak u IT lidí očekával, že tenhle paskvil budou ignorovat.
Je to něco podobného, jako bylo kdysi u Pentia III - pevně dané a jedinečné ID procesoru, schopné uživatele jednoznačně identifikovat. To samé platí o různých čipech apod. U aplikací, do kterých si lze zašifrovat všechna hesla, a následně se jednou do ní přihlásit a ta se již automaticky postará o vyplňování (poloautomaticky) na služby, to je záležitost klienta, a je to mnohem bezpečnější, hlavně u IT lidí, než data kdekoliv u nějaký firmy. Možnost zneužití je obrovská.

kdo Vam vydava ssl certifikaty? Vy sam? to by prece byla parodie na bezpecnost. podobny certifikat muze vystavit kdokoli, treba phisher.
nebo nejaka renomovana organizace, napr. Verisign? a verite ji, ze nezneuzije Vas certifikat? pokud ano, je to prece podle Vasi logiky parodie na bezpecnost. :-) pokud ne, tak proc ji za to platite?
nebo nepouzivate sifrovanou komunikaci?

ps: ano, Verisign je OpenID provider.

Používám SSL jako uživatel, ale žádný vlastní SSL certifikát nevlastním, a ani jsem tudíž za něj nikomu nezaplatil :-)

Doporučuju odlišovat firmy od fyzických osob. A ano, věřím, že na druhé straně, pokud je certifikát od zaběhlé firmy, je ten správnej server. Ovšem je velkej rozdíl identifikovat se sám za sebe jednotně na všech serverech a rozdíl v certifikátu, kterej jen identifikuje firmu a její servery. To totiž nejsou vůbec žádná osobní data, do kterejch nějakejm diskuzím, blogům, a jiným prkotinám, kde vůbec neni nutný ba bezpečný se identifikovat pod pravou identitou, prostě nic není.

Ale nic vám nebrání si OpenID honem pořídit. Já k tomu (vůbec tomuhle principu identifikovat se někde, kde to vůbec není potřeba) mám nedůvěru, a proto si ho pořizovat nebudu. A píšu proč. Toť vše.

OpenID a certifikáty jsou přece něco úplně jiného, s úplně jinými bezpečnostními riziky. Těžko to můžete srovnávat:

- U certifikátů hrozí víceméně jenom to, že někdo získá soukromou část certifikátu autority a pak si začne vystavovat vlastní certifikáty, které nebude moci nikdo odlišit od certifikátů oficiálních. Tady nastupuje důvěra v autoritu, že má svoje systémy zabezpečené tak dobře (technicky i organizačně - hrozbou jsou zejména zaměstnanci, méně už hackeři apod.), aby k tomu nemohlo dojít - a pokud k tomu dojde, že to bude ihned odhaleno a kompromitovaný certifikát okamžitě revokován.

- U OpenID je těch útoků celá řada, nejen na bezpečnost, ale i na soukromí (možnost sledovat pohyb uživatele po webech, které podporují OpenID). Poměrně výrazný potenciální problém je třeba právě ta největší výhoda OpenID - unifikované přihlašování. Na straně serveru je to hezky ošetřené, na straně klienta může být nějaký keylogger velkým problémem, protože dokáže snadno zachytit všechna data potřebná k přihlášení (to u aplikací pro správu hesel není - tak útočník potřebuje nejen to heslo, ale taky samotnou databázi, případně i použité keyfiles).

Připojuji:

http://news.zdnet.co.uk/security/0,1000000189,39461045,00.htm

http://www.theregister.co.uk/2008/08/13/openid_phish_risk/

Verisign snad certifikuje pouze veřejnou část klíče. Není důvod, proč by potřebovali i soukromou část, takže ta zůstává po celou dobu na mém serveru. Či jaké zneužití myslíte?

Certifikát je veřejný klíč plus podpis toho veřejného klíče vytvořený certifikační autoritou. Takže na certifikátu není co zneužívat. Navíc certifikační autorita (která si zaslouží takové označení) nikdy nebude mít k dispozici váš soukromý klíč. Takže jediné, co může certifikační udělat (jako svůj největší průšvih) je to, že podepíše s vašimi osobními údaji veřejný klíč někoho jiného. Tím se sice stane ona CA nedůvěryhodnou, ale nestane se nedůvěryhodným váš původní pár soukromého a veřejného klíče – až se takový podvod provalí, je možné u kteréhokoli použití certifikátu s vašimi údaji kdykoli zpětně zjistit, zda byl použit váš pravý pár klíčů, nebo zda byl použit ten falešný. Prakticky: když budete mít vystaven certifikát na jméno Pepa Novák, pak někdo ukradne CA její privátní klíč a vystaví si také certifikát na jméno Pepa Novák, pořád to budou dva různé certifikáty a různou dvojicí klíčů, a až se tenhle problém provalí, bude možné rozlišit, co jste podepsal vy svým klíčem a co podepsal ten útočník.

Celý princip certifikačních autorit je postaven na tom, že certifikační autority jsou (i zpětně) kontrolovatelné. To u OpenID neplatí, tam jste opravdu vydáni na milost a nemilost OpenID providera a pokud ten začne zlobit (nebo jej někdo zkompromituje), nemáte žádný způsob, jak prokázat, co bylo vytvořeno vaší pravou identitou a co nějakou falešnou.

Ehm, četl jsi článek? Já jen, že jeho jméno je tam jen na jednom místě a podle mě stačí sjet očima o milimetr dál a číst dál :-)

"Ondřej Švihálek, ředitel pro komunitní služby Centrum Holdings"

Slepota světu vládne :-)

Tak nevím, přihodil jsem to na zkoušku na svůj pornoweb a z cca 55K UIP to během prvních cca 52hodin použil jeden člověk ;o) oproti pětistům normálních komentářů (mám to jen na komentáře).

Tak nevím, buď se to lidi používat na pornowebech, nebo celý jako celek ;o)

"Tak nevím, buď se to lidi používat na pornowebech, nebo celý jako celek ;o)"

Cože?

Lidi se to bojí používat. Mají tam své celé jméno (kdoví co ještě :), adresu... ). Raději budou komentovat pod "samec4", než pod svým jménem.

Takže se není čemu divit. Nejsme ještě natolik otevřená společnost, aby pak někdo "nevyhrabal", kde kdo co psal a neotřískal mu to o hlavu. A že se na Internetu hledá snadno a některé diskuse jsou archivované doslova navěky se snad bavit nemusíme :).

Ano, potvrzuji. Takže tam nehraje roli jen obava o heslo (bezpečnost) ale hlavně obava o možnosti dohledání všeho co jsem pod tímhle openID publikoval - (sociální bezpečnost?).

požádejte google experta radka hulána, ten má s dohledáváním značné zkušenosti. OpenID bych pochopil na oborových serverech ale pro "public" mi to uniká.

Naprosto si třeba nedokážu představit mít prozrazenou identitu na serverech o bydlení nebo financních.

kazdopadne by melo mozna smysl tuto skutecnou identitu namapovat. tj stavajiciho uzivatele pouze povolit autorizaci pres OpenID. nikoliv psat prispevky pod openID

tak já bych to na pornowebu asi taky nepoužíval... :-) Máš mezi zaregistrovanými uživateli i nějaká jména, která vypadají reálně, nebo je to jeden John Smith vedle druhého? :-)

Jinak OpenID bude jistě narážet na počáteční problémy s nedůvěřivostí. Vemte jenom kolik lidí má peníze pod polštářem, protože nedůvěřují bankám, kolik lidí nepoužívá internetové bankovnictví, protože je to pro ně nebezpečné, atd...
Svěřit někomu vlastní přístup ke všem systémům na webu, to chce mít trochu žaludek. Já osobně jsem na to trochu paranoidní a dál se budu standardu, co web, to jiné heslo. Sice jich mám přes 300 a nezapamatovatelná, ale zadávám je přes copy&paste z eWalletu.

Je pravda, že jako podpisy tam jsou nejčastěji jen křestní jména, žádné dohledatelné věci. ;o)

Ja tiež radšej používam KeePass z niekoľkými desiatkami hesiel.

Já mám koupené dvě licence RoboFormu. Připadá mi hodně univerzální.

A co treba http://en.wikipedia.org/wiki/Windows_CardSpace ?

zde je problém v nedůvěryhodném (pro leckoho) partnerovi