Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 100
Рискую... Но всё же... Я правильно понимаю, что конфиденциальные данные попадают в OpenID? Т.е. пароли к дневникам и соответственно ко всему остальному???
Вопрос одновременно содержал и критику всего этого сервиса, сэр. Зачем мне отдавать в ведение дяде всю информацию о себе? Чтобы он собирал и продавал статистику и всё личное обо мне, моих интересах, друзьях... И т.д. Анализировал. Отдавал конкурентам и врагам... Нет. Я говорю нет. Вообще сам хочу такую сеть сделать =) Чтобы иметь обо всех компромат.
это папанойя
Бог ты мой! Вас же никто не заставляет пользовать OpenID, верно? Более того, никто не запрещает вам завести свой сервер, который будет проводить аутентификацию по OpenID, не выдавая личной информации.
С другой стороны, следующим шагом следует отказаться от звонков по мобильнику, которые может проанализировать мобильный оператор, покупок в магазине, который может собрать все Ваши чеки и т.д. Запереться на скалистом острове в Северном море и надеяться, что этот остров не сфотографирует Гугл со спутника.
С другой стороны, следующим шагом следует отказаться от звонков по мобильнику, которые может проанализировать мобильный оператор, покупок в магазине, который может собрать все Ваши чеки и т.д. Запереться на скалистом острове в Северном море и надеяться, что этот остров не сфотографирует Гугл со спутника.
Вы перешли на личности. К сожалению, я ещё здесь новичок. Но отвечу. Я не совсем понял. И спросил - теряю ли личную информацию? Мне ответили. Если теряю - это означает, что со всех моих блогов в этот OpenID будет сливаться вся инфа обо мне. А что я получаю взамен??? Вот и написал, что "это того не стоит". А насчет остального, скажу вот что: я прекрасно понимаю на что иду пользуясь товарами и услугами, которые мне необходимы. И пользоваться ими лучше, чем не пользоваться и сидеть-медитировать в пещере.
Боюсь, Вы неверно поняли саму технологию.
OpenID это не сервер и не единая система учета пользователей. Это просто протокол, по которому пользователь одной системы может использовать возможности другой.
Для примера, если у вас УЖЕ есть аккаунт в ЖЖ (в котором Вы сами заполняли свои данные), то используя этот аккаунт Вы можете, например, оставлять комментарии на Хабре. Хабр при этом получит Ваше имя с фамилией и допустим пол.
Конечно, при желании владелец сервера может пойти и слить содержимое вашего дневника. Но только те записи, которые Вы сами выложили в открытый доступ.
Если же Вы не доверяете ЖЖ, то поднимайте свой сервер, настраивайте там класс, умеющий проводить аутентификацию по OpenID и выдавайте только ту информацию, которую сочтете нужной. Правда никто не гарантирует, что OpenID от Вашего сервера будут принимать другие сервера.. если только Ваш сайт не tema.ru
OpenID это не сервер и не единая система учета пользователей. Это просто протокол, по которому пользователь одной системы может использовать возможности другой.
Для примера, если у вас УЖЕ есть аккаунт в ЖЖ (в котором Вы сами заполняли свои данные), то используя этот аккаунт Вы можете, например, оставлять комментарии на Хабре. Хабр при этом получит Ваше имя с фамилией и допустим пол.
Конечно, при желании владелец сервера может пойти и слить содержимое вашего дневника. Но только те записи, которые Вы сами выложили в открытый доступ.
Если же Вы не доверяете ЖЖ, то поднимайте свой сервер, настраивайте там класс, умеющий проводить аутентификацию по OpenID и выдавайте только ту информацию, которую сочтете нужной. Правда никто не гарантирует, что OpenID от Вашего сервера будут принимать другие сервера.. если только Ваш сайт не tema.ru
вы не правы
А как они могут попасть?
OpenID клиен будет знать, что вы действительно авторизованы на OpenID сервере, а OpenID сервер будет знать, на каких сайтах вы авторизуетесь - и все
OpenID клиен будет знать, что вы действительно авторизованы на OpenID сервере, а OpenID сервер будет знать, на каких сайтах вы авторизуетесь - и все
Пароли никуда не передаются, в этом суть технологии. Сервера обмениваются "секретом", сервер провайдера вешает идентификаци в куки - но пароль за его границы не выходит. Зато выходят такие немаловажные данные как email...
хм, а откуда у вас такие сведения про «выход» емейла?
В Simple OpenID PHP Class вот таким простым макаром $openid->SetRequiredFields(array('email','fullname','dob','gender','postcode','country','language','timezone')); от провайдера берутся поля профиля
Заявлено следующее
OpenID allowes you to retreive a profile
Заявлено следующее
OpenID allowes you to retreive a profile
хм, ну так это провайдер такой, что отдает все эти поля. Можно выбрать того, кто этого не делает, а таких сейчас большинство.
Адекватный OpenID провайдер предупредит пользователя, какие данные запрошены в качестве обязательных. А пользователь сам уж решает предоставлять стороннему сайту свой email или послать такой сайт подальше, отказавшись от авторизации.
Пароли -нет, передаются только те данные которые разрешены политикой того сервера, на котором у вас OpenID
Лениво читать, чего там внизу. Первые комментарии не блещут пониманием вопроса.
Неправильно понимаешь. Пароли никуда никакие не передаются. В рекомендованной схеме ты вводишь _одну_ строку со своей хомстраницей, где есть указание твоего OpenId провайдера.
То есть, никаких паролей вводить не надо.
Насчёт компромата. Ты можешь поднять у себя на сервере свой собственный провайдер и никому ничего не отдавать. Плюс ЖЖ и так всё собирает и совершенно безвозмездно сдаёт любому желающему - достаточно зайти в профиль и посмотреть, чего там за интересы и и друзья =)
Неправильно понимаешь. Пароли никуда никакие не передаются. В рекомендованной схеме ты вводишь _одну_ строку со своей хомстраницей, где есть указание твоего OpenId провайдера.
То есть, никаких паролей вводить не надо.
Насчёт компромата. Ты можешь поднять у себя на сервере свой собственный провайдер и никому ничего не отдавать. Плюс ЖЖ и так всё собирает и совершенно безвозмездно сдаёт любому желающему - достаточно зайти в профиль и посмотреть, чего там за интересы и и друзья =)
Спасибо за статью, искал так пассивно что-то по этой тематике, буду знать.
Про мой любимый Perl не вспомнили ;(
Я с большой опаской отношусь к данному проекту. Возможно так же, как когда-то далекие мои предки боялись "приближающегося поезда".
В описание сайта встречается
> This is not a trust system.
> Again, this is not a trust system.
Думаю, на начальном этапе это стоящая вещь для таких проектов как лайвжурнал, вордпресс и т.п. (возможно "моего" стартапа). А для конечного пользователя это уже на вкус и цвет, как говорится.
На поездах все же ездият. Кто знает. А действия google вполне для них естественны. Я не говорю о том, что гугл все скупает. Я имею ввиду объединение сервисов, о их желании "найти мои ключи в комнате" (см. предыдущие топики). Думаю, это еще один шаг к их цели.
Я встречался ранее с ОпенID. После хабра я, думаю, почитаю предложение сервиса повнимательнее.
В описание сайта встречается
> This is not a trust system.
> Again, this is not a trust system.
Думаю, на начальном этапе это стоящая вещь для таких проектов как лайвжурнал, вордпресс и т.п. (возможно "моего" стартапа). А для конечного пользователя это уже на вкус и цвет, как говорится.
На поездах все же ездият. Кто знает. А действия google вполне для них естественны. Я не говорю о том, что гугл все скупает. Я имею ввиду объединение сервисов, о их желании "найти мои ключи в комнате" (см. предыдущие топики). Думаю, это еще один шаг к их цели.
Я встречался ранее с ОпенID. После хабра я, думаю, почитаю предложение сервиса повнимательнее.
Интересно, а есть библиотеки для создания OpenID сервера, чтобы мои пользователи могли авторизовываться на других сайтах?
А как дела со спамом обстоят? Ведь поднять у себя OpenID сервер задачка для старшеклассника и потом делай с ним что хочешь, пиши где хочешь...
Вот это реальная проблема, а не бла-бла-бла про конфиденциальную информацию (ИМХО, бред). Думаю даже, что появится сервис, который будет аппровить все запросы авторизации для пользователей с любым именем, для "облегчения трудов народных спамеров".
Этим вопросом как раз задавался кое-то из лидеров проекта OpenID и в результате воплотил свои идеи в Yadis( http://yadis.org/wiki/What_is_Yadis)
* Single sign-on across web sites
* Profile exchange and form filling
* Blog anti-spam
* Single sign-on across web sites
* Profile exchange and form filling
* Blog anti-spam
А никто не мешает у себя в форме, где используется OpenID вести фильтрацию по черному/белому списку.
Было бы все так просто. Поднять openid можно вообще по любому url'у. Как только кол-во сайтов использующих openid перейдет какую-то цифру проблема спама всплывет, причем так что мало не покажется.
Ага. Поднять скрипт, отвечающий по openid, можно будет на любом бесплатном хостинге, поддерживающем тот же php. После чего можно будет спокойно спамить. Уверен, что эта изначальная непродуманность убьет технологию, как сейчас убивается электронная почта. Открыть возможность комментирования через openid авторизацию - все равно, что не закрывать ее для анонимусов вообще. В итоге - возврат к капчам и прочим костылям.
Если мало не покажется, включайте белый список, пуская только людей из проверенных временем доменов.
Ну и вся соль технологии теряется, к сожалению. Спамеры скоты всю кровь из людей выпить готовы.
Хм.. ну, вообще я думаю, что 99% пользователей будет из достаточно небольшого количества доменов.
Потом в принципе черный список доменов будет спасать очень уверенно. Если в е-мейле подделывать обратный адрес умеют даже грудные дети, то в случае OpenID этот фокус не пройдет.
Ну и наконец, можно делать своего рода "серый" список. То есть проверенные домены пускать сразу, а неизвестные оставлять для проверки администратору/модератору. Это создаст некоторые неудобства пользователю, конечно, но отсечет спамеров с высокой долей вероятности. Во всяком случае автоматических спамеров должно остановить.
Потом в принципе черный список доменов будет спасать очень уверенно. Если в е-мейле подделывать обратный адрес умеют даже грудные дети, то в случае OpenID этот фокус не пройдет.
Ну и наконец, можно делать своего рода "серый" список. То есть проверенные домены пускать сразу, а неизвестные оставлять для проверки администратору/модератору. Это создаст некоторые неудобства пользователю, конечно, но отсечет спамеров с высокой долей вероятности. Во всяком случае автоматических спамеров должно остановить.
Хотелось бы верить!
Ну не захватили же спамеры пока ЖЖ. :) Хотя периодически и возникают роботы. Их банят и система продолжает работать дальше.
Во всяком случае механизм отсева существенно эффективнее, чем для е-мейла и открытых гостевых книг. А процесс рассылки существенно сложнее.
Поэтому "порог вхождения" для спамеров станет выше. Что лишит их теперешних преимуществ в цене. Хочется верить, что лишит.
Во всяком случае механизм отсева существенно эффективнее, чем для е-мейла и открытых гостевых книг. А процесс рассылки существенно сложнее.
Поэтому "порог вхождения" для спамеров станет выше. Что лишит их теперешних преимуществ в цене. Хочется верить, что лишит.
Дополнительной фильтрации нет. Это просто фишка для быстрой авторизации.
Вопрос в том, напишите ли вы механизм регистрации для своего стартапа, который будет более защищен от авторегистраций, чем тот же ЖЖ? :)
Естественно, в систему управления АЭС по OpenID лучше не пускать :) Для подавляющего же большинства проектов это будет вполне приемлимое решение.
Вопрос в том, напишите ли вы механизм регистрации для своего стартапа, который будет более защищен от авторегистраций, чем тот же ЖЖ? :)
Естественно, в систему управления АЭС по OpenID лучше не пускать :) Для подавляющего же большинства проектов это будет вполне приемлимое решение.
Проясните такой момент:
>> на этот раз вы авторизованы на ЖЖ под своей
>> «вордпресосвской» учетной записью.
Под каким логином там будет оставлена запись в ЖЖ?
>> на этот раз вы авторизованы на ЖЖ под своей
>> «вордпресосвской» учетной записью.
Под каким логином там будет оставлена запись в ЖЖ?
что то типа username.wordpress.com
скорее не запись, а коммментарий с ссылкой на идентификатор
Вот я себе для примера оставил комментарий с myopenid-шного аккаунта
http://dsheiko.livejournal.com/37893.htm…
http://dsheiko.livejournal.com/37893.htm…
ага, а со временем (когда спамеры зашевелятся), заведется списочек валидных openid-серверов который будет курировать гугл ...
А ещё вопрос. Нормально ли с OpenID использовать автологин? Например, на одном сайте, куда я всегда захожу с OpenID меня всё время просят пройти авторизацию через сервер. Даже если я там указываю, чтоб не спрашивать пароль для этого сайта.
Сдается мне, это дело рук гражданина по имени Brad Fitzpatrik. Мы с ним встречались в Москве этим летом, он рассказывал об этом проекте, но не вдавался в технические подробности и не раскрывал названия =)
а есть ли плагины для входа как юзер LJ, Openid для WordPress?
Начиная с версии 1.6 http://codex.wordpress.org/Version_1.6
Чтобы понять что такое OpenId удобно сравнить его с валидацией емайла при регистрации на форуме. Только здесь валидируется не емайл, а урл.
С точки зрения достоверности, безопасности и прочих трастов - аналогия полная. Вы просто доказываете сайту что можете читать емайл (владеете урлом) не передавая свой пароль сайту.
Отличия - в большей приватности. По отвалидированному урлу нельзя слать спам. Какую информацию там публиковать - исключительно ваша прерогатива.
Второе отличие - скорость и удобство. Вместо танцев с бубном: открыть почту в новом бровсере, залогиниться, дождаться письма, кликнуть на линк валидации - за вас все делает протокол Open ID. Все происходит примерно так: по клику Логин на вражеском сайте происходит несколько редиректов и вы оказываетесь на странице своего сервера OpenID. Он спросит вас ваш пароль (или возьмет его из куков), уточнит действительно ли вы хотите авторизоваться на этом вражеском сайте и если все ок заредиректит вас обратно на вражеский сайт с одноразовым секретным кодом в урле. Все.
Что там будут делать с вашим OpenId - заботы вражеского сайта. Цель тут одна - доказать что OpenId ваш, не выдавая паролей. Так же как и в случае валидации емайла.
С точки зрения достоверности, безопасности и прочих трастов - аналогия полная. Вы просто доказываете сайту что можете читать емайл (владеете урлом) не передавая свой пароль сайту.
Отличия - в большей приватности. По отвалидированному урлу нельзя слать спам. Какую информацию там публиковать - исключительно ваша прерогатива.
Второе отличие - скорость и удобство. Вместо танцев с бубном: открыть почту в новом бровсере, залогиниться, дождаться письма, кликнуть на линк валидации - за вас все делает протокол Open ID. Все происходит примерно так: по клику Логин на вражеском сайте происходит несколько редиректов и вы оказываетесь на странице своего сервера OpenID. Он спросит вас ваш пароль (или возьмет его из куков), уточнит действительно ли вы хотите авторизоваться на этом вражеском сайте и если все ок заредиректит вас обратно на вражеский сайт с одноразовым секретным кодом в урле. Все.
Что там будут делать с вашим OpenId - заботы вражеского сайта. Цель тут одна - доказать что OpenId ваш, не выдавая паролей. Так же как и в случае валидации емайла.
Список всех провайдеров OpenID http://openid.net/wiki/index.php/Public_…
Вывод1: Глобализация становится еще более "глобализированной". Ждать катастрофы.
Вывод2: С этой технологией контролировать действия человека становится намного легче (наверное, военные спонсировали изобретение этой технологии:)).
Вывод3: Но как удобно-то!
Вывод4: Буду использовать:)
Вывод2: С этой технологией контролировать действия человека становится намного легче (наверное, военные спонсировали изобретение этой технологии:)).
Вывод3: Но как удобно-то!
Вывод4: Буду использовать:)
Simple OpenID PHP Class - по-моему не работает с livejournal (раньше во всяком случае не работал)
Мда, но я похоже нашел ошибку. В спецификации http://openid.net/specs/openid-authentic… сказано что для режима check_authentication требуется POST HTTP-метод.
Остается просто добавить в начало функции CURL_Request() (class.openid.php) следующую проверку
if(isset($params["openid.mode"])) $method = "POST";
Сейчас у меня ответ VALID. Отписал автору про траблу
Остается просто добавить в начало функции CURL_Request() (class.openid.php) следующую проверку
if(isset($params["openid.mode"])) $method = "POST";
Сейчас у меня ответ VALID. Отписал автору про траблу
Все идет, господа, к единой системе авторизации. В свое время Microsoft пыталась всем впарить свой .NET Passport (кстати очень удобная штука, но платформо-зависимая), но тогда, по всей видимости, время не пришло для подобной идеи.
Лидеры движения OpenID упоминают (http://openid.net/pres/2007_Web2Expo_Imp…) глобальные проекты в следующем ключе
Liberty Alliance Project (http://www.projectliberty.org) – хорошо для предприятий
TypeKey (http://www.sixapart.com/typekey/) – централизованная
Microsoft Passport Network – централизованная
Liberty Alliance Project (http://www.projectliberty.org) – хорошо для предприятий
TypeKey (http://www.sixapart.com/typekey/) – централизованная
Microsoft Passport Network – централизованная
Еще насчет будущего OpenID ролик http://www.archive.org/details/thefuture…
Мда прикольно подано:
1) Web authentication completely sucks
2) MS Password и TypeKey неплохие технологи, но.... фото "веселых ребят" под стендом The "Wow" starts now - комментарий: "Would you trust these men with your identity?!!!" - отличный ход! But what if they turn evil?
и т.д. включая ответы на критику What's wrong with it?!
Мда прикольно подано:
1) Web authentication completely sucks
2) MS Password и TypeKey неплохие технологи, но.... фото "веселых ребят" под стендом The "Wow" starts now - комментарий: "Would you trust these men with your identity?!!!" - отличный ход! But what if they turn evil?
и т.д. включая ответы на критику What's wrong with it?!
А неатуальный свой комментарий удалить нельзя? Ладно развернутый вариант, оно того стоит:
Еще насчет будущего OpenID ролик http://www.archive.org/details/thefuture…
1) Web authentication completely sucks :)
2) MS Password и TypeKey неплохие технологи, но.... фото "веселых ребят" под стендом The "Wow" starts now (http://www.somejunkwelike.com/wordpress/… - неплохая шутка) - комментарий: "Would you trust these men with your identity?!!!" - отличный ход! But what if they turn evil?
3) Показан интересный сервис http://idproxy.net/. Проекты с The Long Tail, типа Yahoo могут быть вовлечены в мир OpenID сторонними разработчиками. IdProxy.net позволяет вам преобразовать ваш Yahoo аккаунт в OpenID и использовать где ни поподя
4) Необходимость OpenID - См. TechCrunch ссылается на стартапы Веб 2.0 каждый день (между прочим как ХабраХабр и Интересные штучки), но его читатели не собираются регистрироваться на каждом новом проекте. Почему им не входить на эти стартапы уже будучи авторизованными с TechCrunc?!
5) Про модерацию. Предлагается:
* Публикация списков OpenIDs, которым вы доверяете комментирование в вашем блоге без модерации
* Синдикация этих whitelists от друзей
Что-то похожее реализовано на Jyte
и т.д. Ролик стоящий
Еще насчет будущего OpenID ролик http://www.archive.org/details/thefuture…
1) Web authentication completely sucks :)
2) MS Password и TypeKey неплохие технологи, но.... фото "веселых ребят" под стендом The "Wow" starts now (http://www.somejunkwelike.com/wordpress/… - неплохая шутка) - комментарий: "Would you trust these men with your identity?!!!" - отличный ход! But what if they turn evil?
3) Показан интересный сервис http://idproxy.net/. Проекты с The Long Tail, типа Yahoo могут быть вовлечены в мир OpenID сторонними разработчиками. IdProxy.net позволяет вам преобразовать ваш Yahoo аккаунт в OpenID и использовать где ни поподя
4) Необходимость OpenID - См. TechCrunch ссылается на стартапы Веб 2.0 каждый день (между прочим как ХабраХабр и Интересные штучки), но его читатели не собираются регистрироваться на каждом новом проекте. Почему им не входить на эти стартапы уже будучи авторизованными с TechCrunc?!
5) Про модерацию. Предлагается:
* Публикация списков OpenIDs, которым вы доверяете комментирование в вашем блоге без модерации
* Синдикация этих whitelists от друзей
Что-то похожее реализовано на Jyte
и т.д. Ролик стоящий
Ко всему прочему также хотелось бы добавить. Есть любопытный сервис Sxipper (http://setup.sxipper.com/tryitout). Они предоставляют плагин для Firefox. Пройдя регистрацию в нем вы получаете учетную запись OpenID и при авторизации на прочих проектах типа Livejournal вы сразу же получаете подтверждение подлинности.
И при использовании OpenID ничего не устанавливается, только браузер нужен :) У One-Face аудитория на два-три порядка меньше, чем у OpenID
В странное русло зашла дискуссия. Причем тут One-Face? OpenID - это фактически стандарт. Все больше крупных (реально крупных AOL, Yahoo, Blogger, Wordpress, Vox, Ma.gnolia, ЖЖ, 40млн. клиентов Orange ) проектов опираются на него. Обратите внимание какие люди http://openid.net/foundation/ двигают его. Разве это можно сравнивать с локальным проектом One-Face.ru с сотней мелких сайтов?
Здесь каталог сайтов с OpenID http://openiddirectory.com/
Российский каталог OpenID сайтов loginza.ru/openid-catalog
Лично мне непонятно, почему все молчат про Yadis (только ссылка оригинальном посте и ещ в одном, но без продолжения). Ведь куда приятнее идентифицироваться на «вражеском сайте» как vasya.ru, а не как vasya.something.ru. Благо, что достигается это с помощью элементарных операций, в отличие от поднятия собственного OpenID-сервера.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Делаем стартап гостеприимным» или «Как использовать OpenID на своем сайте»