Sondage Linuxfr compatible OpenID ?

Posté par .
Tags : aucun
1
21
déc.
2007
  • Excellente idée :
    279
    (12.7 %)
  • Pourquoi pas :
    293
    (13.3 %)
  • OSEF :
    198
    (9.0 %)
  • Non :
    118
    (5.4 %)
  • OpenID c'est la fin de l'anonymat ! :
    171
    (7.8 %)
  • C'est quoi OpenID ? :
    1045
    (47.5 %)
  • Templeet surpporte OpenID ? :
    97
    (4.4 %)

Total : 2201 votes

La liste des options proposées est volontairement limitée : tout l'intérêt (ou son absence) de ce type de sondage réside dans le fait de forcer les participants à faire un choix. Les réponses multiples sont interdites pour les mêmes raisons. Il est donc inutile de se plaindre au sujet du faible nombre de réponses proposées, ou de l'impossibilité de choisir plusieurs réponses. 76,78% des sondés estiment que ces sondages sont ineptes.
  • # be oui, c'est quoi?

    Posté par . Évalué à 1.

    Parce là on en est à 38% et on ne sait toujours pas ce que c'est...
    la flemme de demander à google...
    • [^] # Re: be oui, c'est quoi?

      Posté par (page perso) . Évalué à 2.

      Un lecteur régulier de DLFP devrais savoir :
      Il y a déjà eu pas mal de dépèche et journaux à ce propos.
      La dernière en date :
      https://linuxfr.org/2007/12/07/23434.html

      Pour résumé c'est donc un système d'identification. On a un seul mot de passe à retenir pour tout les sites. Et c'est décentralisé, ouvert, standard, sûr[1], et tout ce qu'il faut.

      [1] Même si certains trolleurs diront que non
      • [^] # Re: be oui, c'est quoi?

        Posté par (page perso) . Évalué à 1.

        En fait, la question c'est: envers quels sites (utilisant déjà OpenID) LinuxFr fera confiance ? C'est là qu'il faudrait voter.
        • [^] # Re: be oui, c'est quoi?

          Posté par (page perso) . Évalué à 1.

          envers quels sites (utilisant déjà OpenID) LinuxFr fera confiance?


          Si j'ai bien compris OpenID, LinuxFr n'a pas à prendre ce genre de décision. LinuxFr interroge le serveur OpenID de l'utilisateur pour son authentification. Et l'utilisateur décide envers quel site il fait confiance, dont LinuxFr.
          • [^] # Re: be oui, c'est quoi?

            Posté par (page perso) . Évalué à 1.

            Ca c'est hors de question...
            Ca impliquerait de passer ses journées à ajouter à une blacklist les serveurs des spammeurs...
            • [^] # Re: be oui, c'est quoi?

              Posté par . Évalué à 2.

              beaucoup de gens oublient que cela n'enlève en rien l'obligation de s'inscrire sur linuxfr
              openid est là pour simplifier l'authenfication, pas l'inscription

              donc pour les robots spammeurs, cela ne change rien par rapport à aujourd'hui
              • [^] # Re: be oui, c'est quoi?

                Posté par (page perso) . Évalué à 3.

                Mais alors une question que je me pose et dont je n'ai pas trouvé la réponse dans la spécification OpenID (je ne l'ai toutefois pas lue en détail) : comment fait-on confiance aux OpenID Providers ?
            • [^] # Re: be oui, c'est quoi?

              Posté par (page perso) . Évalué à 3.

              Ca impliquerait de passer ses journées à ajouter à une blacklist les serveurs des spammeurs...


              Pourquoi ça marcherait bien pour LiveJournal et pas pour LinuxFr ?

              Comme dit plus haut, avec ou sans OpenID, l'utilisateur de LinuxFr doit de toute façon se créer un compte sur LinuxFr. La seule différence, c'est l'authentification: avec un mot de passe sans OpenID ou sans mot de passe avec OpenID. Mais dans les deux cas, LinuxFr possède toujours sa base de donnée d'utilisateurs de LinuxFr. LinuxFr peut donc supprimer des comptes ou réguler la création de comptes comme il le faisait avant.
              • [^] # Re: be oui, c'est quoi?

                Posté par (page perso) . Évalué à 2.

                Donc vous voulez OpenID mais creation de compte quand meme ?

                Pour moi le principe d'openID c'est que tu t'authentifies chez quelqu'un d'autre, et que tu demandes à ce quelqu'un d'autres les infos que tu veux (nom, ...) et que tu ne stockes que les trucs en plus.

                La creation de compte actuelle, il y a echange de mail (et les adresses des trucs ephemeres connus sont interdits). Ca permet d'avoir un minimum de confiance dans le fait qu'on pourra contacter l'utilisateur en cas de pb.

                Utiliser OpenID pour l'auth de comptes existants, pourquoi pas, ca ne pose en effet pas de problème particuliers...

                Utiliser OpenID pour permettre à des gens dont on ne sait rien de faire des commentaire par ce qu'un serveur qu'on ne connait pas nous dit qu'ils ont un compte la bas, non.
                • [^] # Re: be oui, c'est quoi?

                  Posté par . Évalué à 2.

                  La creation de compte actuelle, il y a echange de mail (et les adresses des trucs ephemeres connus sont interdits).


                  Oui oui c'est chiant ce genre de politique, l'avantage lorsqu'on a un nom de domaine, bah c'est qu'on peux ce créer des jolies adresses jetables soi même afin de contourner les adresse jetables blacklistés :)

                  Tiens est-ce que je me suis inscrit sur nuxfr avec une adresse jetable, tuh tuh tuh =)) (Pas tapper hein dites ? :p)
                  • [^] # Re: be oui, c'est quoi?

                    Posté par (page perso) . Évalué à 2.

                    Et puis il est aussi simple de blacklister des fournisseur openid que des service de mail jetable.

                    Et rien n'empèche un utilisateur de créé un compte avec une adresse mail poubelle qu'il ne consulte pas vraiment. (honte à moi, c'est ce que j'ai fait)

                    Bref, la vérification d'email n'est pas beaucoup plus fiable qu'un compte open-id
      • [^] # Re: be oui, c'est quoi?

        Posté par . Évalué à 2.

        Connaissais pas, merci.

        Je suis lecteur régulier, d'accord mais pas accro. Je laisse tout de même parfois passer l'une ou l'autre nouvelle. Je serai plus attentif à l'avenir. Cela dit, la majorité me rejoint.

        Et puis, ça m'a tout l'air d'être un gros bordel, non? Est-ce viable ou pour le moins utilisable? C'est une question honnête et garantie sans troll, parce que les commentaires ont l'air plutôt dispersés.
        • [^] # Re: be oui, c'est quoi?

          Posté par (page perso) . Évalué à 1.

          Est-ce viable ou pour le moins utilisable?


          Ca a l'air: la page Wikipédia indique qu'il y a 120 millions d'utilisateurs et que 4500 sites web l'utilisent pour l'authentification. Par exemple, LiveJournal.
          • [^] # Re: be oui, c'est quoi?

            Posté par . Évalué à 2.

            c'est quoi livejournal ?
            • [^] # Re: be oui, c'est quoi?

              Posté par . Évalué à 2.

              Un genre de fesse bouc non ?


              Sinon ayè ai crée mon OpenID chez openid.ne.jp (et aussi une autre sur un serveur allemand supportant l'IPv6, quitte a être dans les trucs inutiles), maintenant j'en fait quoi ? Non LiveJournal ne m'intéresse pas.
        • [^] # Re: be oui, c'est quoi?

          Posté par . Évalué à 2.

          Cela dit, la majorité me rejoint.
          On dirait l'analyse politique du courier des lecteurs d'un journal belge, qui dirait qu'une majorité faite avec des partis qui baissent ne respecte pas le choix de l'électeur... même si cette majorité est ... une majorité.

          Donc tu dis que la majorité te rejoint. Comptons ensemble.
          45,1% des voix pour l'instant.
          Comptons maintenant ceux qui savent ce que c'est (réponses oui, pourquoi pas, OSEF, non, la fin de l'anonymat, templeet) :
          12,6+15,4+9,2+6,3+6,8+4,6 = 54,9%.

          Avec une majorité comme celle-là, votre président serait une présidente.
          • [^] # Re: be oui, c'est quoi?

            Posté par . Évalué à 2.

            ok bonne analyse, rien à dire, je me suis laissé avoir;
            sauf pour le président, moi, j'ai plutôt un grand-duc... (pas le rapace!)
  • # Dans quel sens ?

    Posté par (page perso) . Évalué à 1.

    Je ne vois pas de problème à fournir une OpenID.
    J'en vois beaucoup plus à en utiliser pour l'authentification ici :)
    • [^] # Re: Dans quel sens ?

      Posté par . Évalué à 2.

      Quels problèmes à utiliser OpenID ici ?? (à part le côté programmation et intégration avec templeet)
  • # Les deux!

    Posté par . Évalué à 2.

    Un authentification OpenID, ça n'est sécurisé que si l'on possède son propre serveur... Il faut donc toujours proposer une authentification classique pour ceux qui n'ont pas de serveur dédié.
    • [^] # Re: Les deux!

      Posté par (page perso) . Évalué à 1.

      Enfin, la confiance que tu apportes a ton proviter OpenID est la même que la confiance que tu portes à LinuxFr ... Pour moi, les providers actuels me suffisent.

      Sans oublier qu'on peut changer de provider en cours de route ... par exemple en faisant une redirection depuis sa page perso (les balises meta, lire la doc OpenID)
      • [^] # Re: Les deux!

        Posté par . Évalué à 1.

        > Enfin, la confiance que tu apportes a ton provider OpenID est la même que la
        > confiance que tu portes à LinuxFr ... Pour moi, les providers actuels me
        > suffisent.

        Si linuxfr tombe entre des mauvaises mains :
        - si y a pas d'OpenID, alors il à accès à mon compte.
        - s'il y a de l'OpenID, alors il à accès à mon compte et au secret partagé entre le provider et linuxfr, il fait pas grand chose avec ça.

        Si mon provider OpenID tombe entre des mauvaises mains, alors j'ai mon compte linuxfr, livemachintruc et biduleinutile2.0 qui tombent de la même manière.
        • [^] # Re: Les deux!

          Posté par . Évalué à 2.

          > - si y a pas d'OpenID, alors il à accès à mon compte.
          Et mon mot de passe. Et par voie de conséquence, mes comptes sur une demi-douzaine d'autres sites où j'utilise le même mot de passe que linuxfr.
  • # Internet où minitel 2.0 ?

    Posté par . Évalué à 1.

    Telle est la question...

    personnellement je suis plutôt méfiant de ce genres de choses.

    c'est compliqué de retenir tes mots de passe? bouge pas on le fais à ta place...

    la fin de la liberté sur internet. bientôt des sites ou si tu n'est pas openID tu n'accèdes pas.
    • [^] # Re: Internet où minitel 2.0 ?

      Posté par (page perso) . Évalué à 1.

      c'est compliqué de retenir tes mots de passe? bouge pas on le fais à ta place...


      C'est qui ce on? OpenID, c'est décentralisé, tu utilises le serveur de ton choix pour l'authentification. Tu peux utiliser le tien si tu veux.

      OpenID, c'est le contraire de donner son mot de passe à tout le monde. Tu ne le donnes qu'à une seule entité, qui peut très bien être toi-même.

      la fin de la liberté sur internet. bientôt des sites ou si tu n'est pas openID tu n'accèdes pas.


      On parles uniquement des sites où il faut s'authentifier, genre ton webmail, le site de ta banque, ton moteur de blog. Moi ça me complique la vie de donner un mot de passe différent pour chacun de ces services. Et je suppose que beaucoup de gens utilisent le même mot de passe partout. Du coup, ton webmail connait le mot de passe que tu utilises pour ta banque, ce qui n'est pas top. Grâce à OpenID, la seule entité qui connait ton mot de passe est le serveur OpenID (enfin, façon de parler, je suppose que les bonnes implémentations ne stockent pas le mot de passe!).

      La différence, c'est que si tu n'as pas confiance, tu utilises ton propre serveur OpenID. Sans OpenID, tu es obligé de donner un mot de passe à tous les services que tu utilises.
  • # Pour plus de renseignements

    Posté par . Évalué à 2.

    Aller voir http://openid.net/
    Je trouve bizarre les réactions des gens qui n'ont pas l'air d'avoir compris ou même lu le principe d'OpenID, et qui trouvent ça "étrange" ou qui se mettent à avoir la parano. Et on peut toujours garder l'ancien système d'authentification en parallèle ! (comme le fait LiveJournal)

    Le seul "désavantage" que je vois, c'est que si on utilise le même ID sur plusieurs sites (on n'est pas obligé), une personne peut effectivement faire le rapprochement entre ces identités. Mais bon, je sais très bien qu'avec mon login sur linuxfr, on peut trouver mon nom, à peu près où j'habite, etc ...
    • [^] # Re: Pour plus de renseignements

      Posté par (page perso) . Évalué à 1.

      effectivement, cela permet de faire un rapprochement.

      mais perso, vu que j'utilise le même pseudo partoit (en fait, pour moi c'est d'avantage un nom qu'un pseudo) ... on peut très bien tracer avec google tous les sites sur lequels je vais.
    • [^] # Re: Pour plus de renseignements

      Posté par . Évalué à 1.

      Ça fait plusieurs fois que je regarde open-id, et je ne comprends toujours pas à quoi ça sert. Du moins je n'y vois pas d'avantage flagrant.

      Se logguer partout en n'ayant entré qu'une seule fois son mot de passe sur son provider open-id ? Mon navigateur retient les mots de passe (généralement aléatoires) des formulaires de login de tous les sites où je suis enregistrés, j'ai juste à cliquer sur le bouton OK, donc ça n'apporte rien.

      S'enregistrer partout facilement ? Personnellement je suis réticent à avoir une identité unique partout (j'ai un pseudo différent par forum), et franchement c'est pas la mort de passer 3 minutes pour remplir les champs d'inscription. C'est peut-être pas le cas pour ceux qui passent leur journée à commenter sur pleins de nouveaux blogs différents (où ils ne laisseront jamais de 2ème commentaire); dans ce cas je verrai peut-être une non-identité open-id fourre-tout/jetable à la bugmenot.
      Ou alors je suis un vieux croûton bloqué dans le web 1.0
      • [^] # Re: Pour plus de renseignements

        Posté par . Évalué à 1.

        dans ce cas je verrai peut-être une non-identité open-id fourre-tout/jetable à la bugmenot.
        Ah, ben en voila un : http://www.jkg.in/openid/
        • [^] # Re: Pour plus de renseignements

          Posté par . Évalué à 1.

          C'est plus dangereux que ça : d'après leur page, il n'y a pas d'authentification, donc il suffit d'utiliser la même URL que toi et je me connecte avec ta non-identité.

          En fait j'ai voté pour "c'est la mort de l'anonymat", mais il doit y avoir moyen de se créer autant d'identités virtuelles qu'on veut, sans liens les unes avec les autres, mais "sécurisées" (autant que les mots de passe et les serveurs OpenID le sont, bien sûr).

          Ce que je trouve extrèmement dangereux, c'est les trucs à base d'empreintes digitales ou autres biométries. Avec ça, mes pitoyables tentatives de trolls me suivraient toute ma vie. Argh !
      • [^] # Re: Pour plus de renseignements

        Posté par . Évalué à 2.

        _Ton_ navigateur retient tes mots de passe, mais quand tu n'es pas chez toi, tu fais comment ? Au taf, tu enregistres tes mots de passe sur une machine que tu n'administres pas ? Je vois une utilité à OpenID quand tu es assez mobile. Même si ça n'empêche pas les keylogger de t'avoir, mais bon, je ne suis pas parano à ce point.

        Quant aux postages "partout", je vois plutôt l'avantage de ne pas avoir à s'enregistrer lorsqu'on fait un post occasionnel, mais je le vois dans une autre optique que toi : pas dans le but de spammer, mais quand un sujet t'intéresse, mais que tu ne veux pas t'amuser à avoir une inscription de plus (+ confirmation par email, etc ...). Je ne suis pas pour la mode de ceux qui postent à tout va, et c'est vrai qu'OpenID ne fera rien pour arranger ça, mais les posteurs fous n'hésitent déjà pas à s'inscrire, alors que les posteurs occasionnels qui auraient des choses intéressantes à dire ne le font pas souvent.
        • [^] # Re: Pour plus de renseignements

          Posté par . Évalué à 1.

          > _Ton_ navigateur retient tes mots de passe, mais quand tu n'es pas chez toi, tu fais comment ?

          Au choix :
          - bidule crypté dans ton téléphone portable qui fait le café.
          - pour les geeks : ordinateur portable :)
          - feuille de papier avec les mots de passe ou de quoi t'en souvenir.
          - te rappeler des mots de passes les plus utiles, ce que je fait.

          Et puis sinon, pour la mobilité, y a quand même un gros problème qu'OpenID ne résout pas, c'est lorsque j'utilise des PC en lequel j'ai pas confiance.
          Dans un cyber café il peut très bien y avoir des keyloggers ou d'autres cochonneries sur les PCs, surtout avec les superbes lois qu'on nous à dict^Wvotées.

          Peut être que je devrai pas être aussi méfiant envers des mecs qui passent leurs temps sur WoW lorsque les clients n'ont pas besoin d'eux...
          • [^] # Re: Pour plus de renseignements

            Posté par . Évalué à 2.

            Et bien l'avantage sur les keylogger avec OpenID (qui est évidemment un problème car si on chope ton mdp OpenID, on accède à tous tes comptes identifiés par lui ... mais c'est souvent pareil avec un mot de passe classique qu'on réutilise partout), c'est que pour l'authentification tu n'es pas limité à un mot de passe : tu peux mettres de que _tu_ veux, car c'est ton fournisseur OpenID (donc potentiellement toi) qui décide de la méthode d'identification. Je n'ai pas beaucoup d'idées en tête, mais on peut peut-être rendre plus difficile le keyloggage en liant clics sur certains boutons, entrées multiples, etc ... Bon ok ça ressemble aux trucs débiles des banques, et ce n'est que de la sécurité par l'obscurité. Mais au moins c'est l'avantage avec OpenID : tu choisis la méthode que tu veux, et ce ne sera pas une méthode "standard" d'un site, donc moins facilement attaquable, puisque différente pour chaque personne.
      • [^] # Re: Pour plus de renseignements

        Posté par . Évalué à 2.

        > Mon navigateur retient les mots de passe (généralement aléatoires)
        Et le jour où:
        - tu changes de navigateur
        - les devs de ton navigateur décident que "pour des raisons de sécurité, les mots de passe ne sont conservés que deux semaines"
        - tu perds ton .mozilla (ou .kde, ou .opera ou je sais pas quoi) suite à une fausse manip
        tu l'as un peu dans l'os...

        Sans compter les problèmes que ça pose si tu accèdes à internet à partir de deux postes différents, où tu dois synchroniser ta base de mots de passe

        > Personnellement je suis réticent à avoir une identité unique partout
        Je vais répéter, encore une fois (ça commence à lasser, mais je n'abandonnerai pas): LE grand avantage de OpenID, s'il ne fallait en retenir qu'un seul, c'est sa très grande flexibilité (pour l'utilisateur. Pour le programmeur, c'est vachement moins marrant, il faut l'admettre, mais là n'est pas la question ;)). Tu peux très bien avoit n identités "visiblement" (de l'extérieur) différentes mais qui en fait (pour le fournisseur d'identité) sont les mêmes, de la même manière que foo@gmail.com, foo+bar@gmail.com et foo+spam@gmail.com sont la même adresse (et tu peux imaginer des alias plus sophistiqués que ça !). Donc tu peux très bien te logguer une seule fois auprès de ton fournisseur pour n identités (une pour linuxfr, une pour lj, une par forum,...)
  • # oué

    Posté par (page perso) . Évalué à 1.

    super idée, mais mon compte linuxfr est beaucoup plus vieux que mon compte openid
    et je veux pas perdre mon karma ;-)
    alors je propose l'inverse, openid compatible linuxfr.org

    en vous remerciant
  • # Décentralisation !

    Posté par (page perso) . Évalué à 1.

    En fait, il s'agit simplement de séparer le système d'authentification du site. Vu comme ça, ça parait logique, du genre bonne-idée-qu'on-aurait-du-avoir-avant.

    Comme ça, madame michu qui développe son petit site ouéb avec les doigts n'a pas à passer 2 heures sur le système d'authentification sécurisé.

    J'ai bien compris ?
    • [^] # Re: Décentralisation !

      Posté par . Évalué à 2.

      Oui c'est ça. Sauf qu'il faut quand même coder l'interfaçage avec OpenID. Mais il doit bien y avoir quelqu'un qui a déjà fait ça pour chaque langage/framework. Ça simplifie un peu la partie authentification.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.