Et c'est complètement décentralisé : chacun peut créer son propre serveur.
http://openid.net/
https://myopenid.com/ (un serveur)
Je me cite depuis https://linuxfr.org/tracker/457.html :
OpenID est un peu comme le Passport de microsoft sauf que c'est complètement décentralisé, sans aucune autorité globale qui surveillerait le système.
Comment ça marche ? On s'enregistre sur un serveur comme https://www.myopenid.com/ (on peut créer son propre serveur). Et lorsqu'un site demande une authentification, il suffit de rentrer "moi.myopenid.com" par exemple. Le site (linuxFR par exemple) redirigera alors sur une page de myopenid.com qui demandera a l'utilisateur d'entrer son mot de passe. Ensuite, le serveur redirige sur une page du client (LinuxFR) en affirmant que l'utilisateur est bien connu.
Ce système a l'avantage de permettre d'avoir un seul mot de pase pour tout les sites internet OpenID et de ne pas avoir a retaper sans cesse le mot de passe (le serveur openID peut le retenir)
Note: il est possible de personaliser son "login" openid. par exemple, je peux mettre l'adresse de mon site: louve.dyndns.org grace a une balise link daans le head de la 1e page de mon site.
# plus de serveur que de site client
Posté par thaodalf . Évalué à 2.
questions : peut-on faire des liens de confiance entre serveur ?
le serveur A autorise le serveur B à répondre à ses requêtes si il devient inaccessible.
[^] # Re: plus de serveur que de site client
Posté par allcolor (site web personnel) . Évalué à 2.
[^] # Re: plus de serveur que de site client
Posté par Mouns (site web personnel) . Évalué à 2.
suffit d'un keylogger pour te choper tous tes mots de passes ...
le protocole est pas mal.
coté implémentation, la seule information que contient ton serveur openID est le mot de passe qui permet de l'utiliser et en option une table d'accreditation permanente.
donc a moins d'avoir un mot de passe faible, l'essentiel de la sécurité de l'application repose sur :
- l'infra du serveur hebergeant ton OpenID
- la qualité du code fournissant ton service OpenID
maintenant l'utilisation de OpenID se fait sur pas mal de gros infra de blog en ligne .
apres, il y a aussi LID et Yadis qui sont de bons complements à la chose.
De plus, il exsite une extension sympa pour transmettre des "infos personnelles" ( genre/nom/prenom/telephone/email ). tu peux utiliser le hcard c pas mal comme outil.
si tu veux une solution fun, c'est un truc a base de fingerprint PGPGPG , Konfidi.
voila :)
http://konfidi.org/wiki/Main_Page
http://microformats.org/wiki/hcard
http://www.openidenabled.com/openid/simple-registration-exte(...)
http://lid.netmesh.org/
[^] # Re: plus de serveur que de site client
Posté par allcolor (site web personnel) . Évalué à 2.
Je suis d'accord mais dans ces 2 cas, ces données sont soit sur moi, soit hébergée par moi. Là je dépends de la sécurité du serveur openid pour tous les sites enregistré avec... Et je t'assures qu'un serveur openid sera une cible préférée d'attaque que ma machine perso... Je ne dis pas que c'est une mauvaise idée (alla passport), juste que ça me semble plus risqué qu'un pass, un site.
[^] # Re: plus de serveur que de site client
Posté par Mildred (site web personnel) . Évalué à 2.
mais la solution "un pass = un site" n'est psa forcément très bonne nom plus car elle peut facilement devenir "un pass = tous les sites"
[^] # Re: plus de serveur que de site client
Posté par Mouns (site web personnel) . Évalué à 2.
le bug s'appelle "etre humain naturellement stupide" exprimable sous la forme "l'etre humain est la seul espece avec les lemmings a courrir à sa propre mort en masse sans se rendre compte des conneries qu'il fait"
[^] # Re: plus de serveur que de site client
Posté par JaguarWan . Évalué à 5.
Le coup des lemmings suicidaires ça vient d'un documentaire Disney: ne sachant pas expliquer la diminution soudaine et massive des lemmings à certaines saisons, ils ont popularisé une théorie selon laquelle ils se jetaient des falaises ivres de suicide comme des moutons de panurge idiots.
En fait, leur population décroît sauvagement à cause des renards et des chouettes du coin qui arrivent à maturité à la période propice et se baffrent de lemmings.
Je sais plus trop où j'avais lu ça à l'origine, dans Science & Vie je crois, mais c'est aussi cité dans wikipedia:
http://fr.wikipedia.org/wiki/Lemming
http://en.wikipedia.org/wiki/Lemming
On est probablement aussi la seule espèce à prendre les autres espèces pour des cons par défaut.
[^] # Re: plus de serveur que de site client
Posté par Mouns (site web personnel) . Évalué à 1.
je ne savions point pour les lemmings ... merci de l'info :)
[^] # Re: plus de serveur que de site client
Posté par Mouns (site web personnel) . Évalué à 1.
il existe des outils pour le faire :)
et meme des trucs en PHP :)
[^] # Re: plus de serveur que de site client
Posté par Mildred (site web personnel) . Évalué à 2.
Rien n'empêche non plus ton site perso d'avoir une page dynamique qui vérifie quel serveur est disponnible, et en fonction de cela, change le contenu de la balise link rel=openid.delegate
Sur mon site, j'ai par exemple:
< link rel="openid.server" href="http://www.myopenid.com/server" >
< link rel="openid.delegate" href="http://mildred.myopenid.com/" >
Lorsque je m'enregistre sur le livejournal avec une ID openID, et que je rentre d'adresse de mon site, alors je me crée un compte là bas avec comme identifiant l'adresse de mon site, et non pas l'adresse du serveur openID.
Ce qui fait que si le serveur openID que j'utilise disparaît, il me suffira de changer les balises link sur ma page perso pour changer de serveur, et je je pourrais me reconnecter, avec un autre serveur.
# Serveur CAS
Posté par psychoslave__ (site web personnel) . Évalué à 2.
[^] # Re: Serveur CAS
Posté par psychoslave__ (site web personnel) . Évalué à 2.
[^] # Re: Serveur CAS
Posté par Mouns (site web personnel) . Évalué à 2.
- les centralisées avec CAS, Kerberos, lemonLDAP, PAM_ki_va_bien, & co
- les decentralisées comme OpenID, LID, mIDm ...
OpenID est decentralisé dans le sens où tu n'as pas besoin d'un compte sur le site qui propose une authentication OpenID pour pouvoir utiliser le service.
par exemple, un blog avec ce type de service permet de poster de commentaires avec la certitude que le commentaire vient bien d'un site qui a cet ID.
cela offre une securité plus forte qu'un CAPTCHA dans le sens ou ce dernier ne garanti rien sur l'identité d'un eventuel spammeur, avec OpenID, on a la certitude que le SPAMMEUR est bien le proprio de son site et qu'il a bien fait l'operation a la main ( message "checkid_setup" pour forcer la validation manuelle en cas d'implementation correcte du protocole ).
bien en entendu, cela se contourne facilement en codant un peu ... mais c plus dur qu'un captcha a resoudre avec une archi distribué sur site de cul.
# Liberty?
Posté par ndesmoul . Évalué à 1.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.