Chteufleur a écrit 4 commentaires

  • [^] # Re: Le Persona de Jabber ?

    Posté par  . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 1.

    Ici rien empêchement à un fournisseur d’identité (pour prendre la terminologie SAML, mais c'est valable aussi en OIDC, OAuth2,…) d'utiliser cette méthode d’authentification XMPP.

    Oui, tu as raison. Il y a un commentaire plus bas qui en parle.
    De plus, en utilisant XMPP dans OIDC comme protocole, ça permet de pallier au problème que décrit Jehan dans son commentaire :

    2/ Pour que l'id soit final, il faut forcément s'identifier sur Persona dans la même session de navigateur, puisque le système se base sur les redirections http entre le site sur lequel on veut s'identifier et Persona. Cela signifie donc que si la machine elle même est compromise, vous donnez l'accès à un attaquant à l'ensemble de vos comptes utilisables par Persona. Pire vous lui donnez aussi le mdp Persona pour se reconnecter plus tard. C'est d'ailleurs la même faiblesse pour tous les autres systèmes basés sur le web (OpenID, mais aussi les systèmes proprios par compte Facebook, Google, etc.).

  • [^] # Re: Email ?

    Posté par  . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 3.

    Si j'ai bien compris, l'utilisateur rentre son identifiant XMPP, et le client XMPP lui demande de confirmer (?)
    Je dois pas avoir saisi le réel intérêt.

    Le site en question affiche l’identifiant de la confirmation qui a été envoyé au client XMPP. Ensuite la personne donne l’autorisation ou non à cette requête.
    Un intérêt est de ne pas fournir son mot de passe pour autoriser l’accès, ce qui offre une plus grande sécurité.

    Est-ce que le même mécanisme pourrait être utilisé avec une adresse mail ? On rentre le mail, on attend le lien sur lequel cliquer et on est connecté ?

    Comme dit dans un commentaire plus haut, Persona utilise l’email. Donc, oui c’est possible.
    Cependant, je trouve que le mail n’est pas adapté (avis personnel). Et puis si on est obligé de se connecter à son adresse mail, sur la même machine, pour accéder à son site; l’intérêt diminue grandement (à mon sens). Jehan l’explique très bien, un peut plus haut.

    J’espère que c’est plus clair.

  • [^] # Re: Quelques années plus tard…

    Posté par  . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 2.

    Si vous êtes partants, Chteufleur, Goffi et d'autres intéressés par cette fonctionnalité précise de XMPP, je suis partant pour réécrire la XEP-0070 en co-auteur avec vous et la rendre plus moderne.

    Ça me convient, à moyen terme aussi.

    D’ailleurs, ça m’intéresse d’échanger sur le sujet.

  • [^] # Re: Petites questions

    Posté par  . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 3.

    On peut lui faire utiliser un serveur xmpp de notre choix (comme un qu'on installe pas nous) ou bien ?

    Pour l’instant c’est un composant. Donc uniquement avec un serveur XMPP que l’on contrôle.
    Mais, je me suis fait la réflexion hier soir, que ça serait bien que ce ne soit pas uniquement un composant. Ça pourrait aussi être un client XMPP classique, pour pouvoir utiliser un serveur XMPP que l’on ne contrôle pas.

    Donc oui, ça sera bientôt possible.