Google RIP!

"исследовали известные реализации OpenID, и создали свою" - это форк?

Они называют это OpenID. Технически OpenID там даже не пахнет. Названия такому явлению, не обремененного нецензурщиной, я, признаюсь, не знаю.

// עם ד 'ש, את שמעון מתכנת

Не знаю что там сделал гугль, но то что "официальным" OpenID мог пользоваться только полный имбецил, которого совсем не волнуют вопросы его безопасности - факт.

> Не знаю что там сделал гугль, но то что "официальным" OpenID мог пользоваться только полный имбецил, которого совсем не волнуют вопросы его безопасности - факт.

А что там не так с безопасностью? Вроде всё нормально. Не пояснишь для Ъ о великий анонимный аналитик?

> А что там не так с безопасностью?

Для начала - как ты гарантируешь что "неправильный" сайт не перехватит твои l/p?

так. А разве l/p вводится не на сайте openid провайдера? или я что-то путаю?

> так. А разве l/p вводится не на сайте openid провайдера? или я что-то путаю?

В теории на нем. На практике - зачастую делается такой десигн что куй отличишь где ты его вводишь. Нет, конечно проанализировав - отличишь... Но как ты думаешь - многие этим будут заморачиваться?

>В теории на нем. На практике - зачастую делается такой десигн что куй отличишь где ты его вводишь. Нет, конечно проанализировав - отличишь... Но как ты думаешь - многие этим будут заморачиваться?

при чём тут дизайн? У тебя в строке адреса должен быть домен твоего OpenID-провайдера. И дизайн у провайдера свой. И вопросы он задаёт правильные.

> В теории на нем. На практике - зачастую делается такой десигн что куй отличишь где ты его вводишь. Нет, конечно проанализировав - отличишь... Но как ты думаешь - многие этим будут заморачиваться?

Это, конечно, проблема. Она существует и она очень серьёзна.

НО. 1. Она существует не только для openid, она существует для абсолютно любого распределённого механизна авторизации, основанного на посыле клиента к провайдеру сервиса аутентификации (e-gold, paypal, amazon, bankware, словом, абсолютно любой сервис такого рода). То есть это более общая проблема и конкретно к OpenId это прямого отношения не имеет, а значит

2. Она должна решаться не на уровне сервиса опенид, а на более высоком уровне. И она и решается. Другими методами. Например, антифишинговыми механизмами.

Хотя, безусловно, можно попытаться усовершенстовать именно openid, и сделать его лучше, тем не менее, конкретно сейчас openid в этом смысле ничуть ни лучше и ни хуже других сервисов аутентификации.

Кстати, вопрос по пути. А майкрософт пасспорт работает так же, или там как то по другому реализовано? Не тролинга ради но лишь единого лекбеза для. Никогда просто не встречался.

s/лекбеза/ликбеза/

> Она существует не только для openid, она существует для абсолютно любого распределённого механизна авторизации, основанного на посыле клиента к провайдеру сервиса аутентификации

А вот соглашусь - сама схема никуда не годится. Особо не разбирался но имхо общего решения увы нет...

API у них вообще жуткие как интернет експлорер.

>А вот соглашусь - сама схема никуда не годится. Особо не разбирался но имхо общего решения увы нет...

>Особо не разбирался

куда не годится, дурашка? какой перехват l\p? http://openid.net/specs/openid-authentication-1_1.html

Нда... теперь я начинанию понимать почему "украинский админ" становится таким же нарицательным словосочетанием как "британские ученые" и "гости с юга".

Если ты не видишь как минимум ТРЕХ способов перехватить твои l/p, то это твои и только ТВОИ проблемы.

Ну хорошо. Если вернуться к теме — опен-айди а-ля гюгль предлагает что-либо существенно безопаснее?

Re^2: [google][microsoft?] Несовместимый форк OpenID

> API у них вообще жуткие как гугельхром.
fixed

>Нда... теперь я начинанию понимать почему "украинский админ" становится таким же нарицательным словосочетанием как "британские ученые" и "гости с юга"

это ты что, обо мне? о_О

>Если ты не видишь как минимум ТРЕХ способов перехватить твои l/p, то это твои и только ТВОИ проблемы.

да ты называй, не стесняйся, все свои.

Бугагагагагец, а Microsoft как раз не стала выпендриваться и собирается использовать нормальный OpenID для авторизаций.

>Бугагагагагец, а Microsoft как раз не стала выпендриваться и собирается использовать нормальный OpenID для авторизаций.

По идее их должно мутить просто от слова Open.

ну что, озвучишь или засчитывать? а давай, ты создашь страничку с openid-аутентификацией и кинешь сюда ссылкой. потом скажешь мой пароль. хорошо?

> Бугагагагагец, а Microsoft как раз не стала выпендриваться и собирается использовать нормальный OpenID для авторизаций.

А как же пассспорт ихний?

Проблема в том, что тебя может перенаправить не на volh.myopenid.com а на volh.miopenid.com, который будет идентичен первому. Ты, как неопытный юзер, особо не задумываясь введёшь пароль и всё. Ну а борются с этим довольно успешно, скорее всего мой гугл хром покажет мне вместо vsb.miopenid.com большую красную страничку, предупреждающую о фишинге.

>перенаправить не на volh.myopenid.com а на volh.miopenid.com

И что это даст при (например) использовании volh.myopenid.com-ом ssl-аутентикации? (:да, это гипотетический случай параноидальных пользователей -- остальные и так всё сольют:)

> Ты, как неопытный юзер, особо не задумываясь

Ну вот дальше можно не задумываться и не читать. От этого не может быть защиты. Ну есть такие граждане, паспортные данные всем дают, кто просит; могут и пин-код от карточки сказать на аргумент «я хороший».

Если кто-то изобретет универсальный антифишинг, ему можно будет премию дать. И памятник при жизни. Потому что увы, люди до сих пор покупают NOKlA, Rebok, Adibas, «не задумываясь».

> Если кто-то изобретет универсальный антифишинг

Пацаны не в курсе про HTTPS и систему доверия сертификатов?

Не абсолютно универсально, конечно, но минимизирует очень серьезно. Получить сертификат от доверенного CA на фишинговое имя это куда сложнее и дороже, чем нарегить у автомата доменов.