Journal OpenID mon amour

Posté par (page perso) . Licence CC by-sa
Tags :
11
19
avr.
2011

Bonjoir Nal,

Les personnes derrieres OpenID, ont produite une spec complémentaire nommé Attribute Exchange. On trouve cette spec à l'adresse suivante : http://openid.net/specs/openid-attribute-exchange-1_0.html .

jusque là, rien d'anormal ...

Je n'irai pas critiquer les versions de php-openid tant celle fourni par debian/ubuntu que celle de JanRain / openidenabled , puisque dans un cas comme dans l'autre, elles fonctionnent pas avec PHP 5.3 fourni en série depuis 1 an par ces meme distrib.

revenons donc à notre spec AX.

si cette spec est bien belle, elle ne défini en rien les attributs défini pour permettre une certaine interopérabilité.
Pour cela, la spec nous fourni une piste pour un lieu définissant des attributs à utiliser pour l'interopérabilité : il faut suivre la note [OpenID.axschema] .

et [OpenID.axschema] nous renvoie vers http:// axschema dot org / ... qui est devenu un charmant MFA ( http://en.wikipedia.org/wiki/Scraper_site#Made_for_AdSense ) squattant depuis quelques jours le domaine.

donc maintenant, si tu utilises les AXschema , tu sauras que toutes tes URLs, pointent vers un MFA \o/

sur ce, je retourne sous ma couette.

  • # Moué

    Posté par . Évalué à 7.

    C'est certain que c'est pas bon signe pour OpenID, mais si je ne m'abuse ce n'est que l'URI des attributs, non? Genre un truc qu'on n'est absolument pas sensé résoudre, et encore moins visiter.

    Genre un namespace XML.

    • [^] # Re: Moué

      Posté par (page perso) . Évalué à 3.

      tu la visites à la rigueur quand tu codes ou quand tu documentes ton code .

      Chaque lien renvoyait vers une description de l'attribut avec le format et tuti quanti . Il me semblait qu'il y avait un JSON dispo aussi.

      j'avais rempli une table avec les attributs acceptés il y a quelques mois mais sans les attributs expérimentaux.

      Aujourd'hui, il n'y a plus de référence en terme d'attribut générique.
      Et beaucoup de pages parlant de axschema se retrouve à fournir des backlinks à cet MFA.

    • [^] # Re: Moué

      Posté par (page perso) . Évalué à 5.

      C'est pas bon signe, tout comme les commentaires wikipedia sur le fait que c'est visiblement moribond en europe :
      http://fr.wikipedia.org/wiki/Discussion:OpenID#Que_faire_d.27un_syst.C3.A8me_d.27identification_.C3.A0_3.2F4_mort_en_Europe_.3F

      • [^] # Re: Moué

        Posté par . Évalué à 5.

        Le commentaire en question a l'air assez aigri, et franchement typique du "je râle mais refuse de m'impliquer".

        • [^] # Re: Moué

          Posté par (page perso) . Évalué à 10.

          je râle mais refuse de m'impliquer
          

          Oui, on dirait un utilisateur de DLFP.

          DLFP >> PCInpact > Numerama >> LinuxFr.org

          • [^] # Re: Moué

            Posté par . Évalué à 10.

            Ah non, je regrette.

            On trouve beaucoup plus d'utilisateur de Linuxfr engagés pour les causes auxquelles ils croient que dans le reste de la population.

            J'en ai d'ailleurs marre de ces gens qui dénigrent sans cesse la participation des autres, juste pour justifier le fait qu'eux-mêmes ne font rien.

            Bon, cela dit, pour le coup, moi j'ai pas le temps, je suis trop occupé à être débordé.

            -----------> [ ]

        • [^] # Re: Moué

          Posté par (page perso) . Évalué à 5.

          Euh, oui mais il a un peu raison quand même... Je viens de voir que mon openid créé récemment sur openidfrance.fr n'était plus utilisable. Je viens d'en ouvrir un chez un autre fournisseur, mais si je n'avais pas été encore logué sur stackoverflow (le seul site que j'avais défini pour utiliser openid) ce qui m'a permis de définir mon nouveau fournisseur, ben j'aurais été ben emmerdé pour me loguer...

          • [^] # Re: Moué

            Posté par . Évalué à 10.

            Oui et non. OpenID, ça ne lave pas plus blanc. On n'a jamais vendu ça comme une techno empêchant les fournisseurs de fermer/changer d'avis. Au contraire, on l'a même présentée comme étant une techno qui permettait de choisir un fournisseur plus proche de soi, qui corresponde mieux à ses besoins, etc.

            Donc ça implique deux choses :

            • un mauvais choix de fournisseur reste un mauvais choix, c'est comme choisir un mauvais fournisseur d'email. Le jour où il dégage ta boîte tu restes le bec dans l'eau.
            • les consommateurs d'OpenID (par opposition aux fournisseurs) auraient du (et certains l'ont fait) proposer aux utilisateurs de déclarer plusieurs moyens d'authentification (OpenID ou autre) pour pallier à la défection de l'un d'entre eux.

            Ceci étant, c'est clair qu'il y a de quoi être déçu : la sauce OpenID n'a pas vraiment pris. Trop de gens n'ont pas joué le jeu (notamment du côté des fournisseurs). Maintenant, on peut soit le déplorer et déployer FacebookConnect, soit s'appuyer sur ce qui existe déjà pour faire avancer le schmillblick.

            Comme je l'écrivais récemment (et ailleurs) le couple OpenID/WebFinger est séduisant. Il permet de faire mieux passer la pilule auprès du grand public que la traditionnelle "URL" que trop de gens n'ont pas comprise.

            Enfin, si la possibilité de s'authentifier via WebFinger voyait le jour, j'adorerais pouvoir lier ça avec un compte IMAP. Il ne faudrait pas forcément grand chose, un rien de PHP (ou autre) à proposer aux fournisseurs de messagerie et qui t'authentifie avec ton mot de passe email. Comme ça, la marche serait moins haute.

            • [^] # Re: Moué

              Posté par (page perso) . Évalué à 5.

              Stackoverflow permet d'ailleurs une double authentification, enfin je crois. A moins que je ne confonde avec Bitbucket.

              Et au passage on dit "pour pallier la défection", je fais beaucoup de fôtes à l'écrit (surtout depuis que mon correcteur n'est pas compatible avec Aurora) mais pas celles qui s'entendent à l'oral.

              • [^] # Re: Moué

                Posté par . Évalué à 5.

                Stackoverflow permet d'ailleurs une double authentification, enfin je crois. A moins que je ne confonde avec Bitbucket.

                Identi.ca le proposait aussi je crois. Mais c'est un peu le souci : il a manqué une charte des bonnes conduites pour les trois "parties" de l'OpenID (le fournisseur d'identité, le consommateur d'identité et l'utilisateur).

                Pour la faute, je plaide coupable, je la fais régulièrement celle-là.

              • [^] # Re: Moué

                Posté par (page perso) . Évalué à 3.

                Stackoverflow permet d'ailleurs une double authentification, enfin je crois. A moins que je ne confonde avec Bitbucket.

                Stackoverflow permet de définir une seconde adresse openid (adresse de secours), mais pas de l'associer à login...

            • [^] # Re: Moué

              Posté par . Évalué à 3.

              C'est complexe de créer un service de fournisseur OpenID ? On peut être son propre fournisseur ?

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

              • [^] # Re: Moué

                Posté par (page perso) . Évalué à 5.

                On peut, et il y a des outils pour le faire simplement.

                En revanche pour des besoins particuliers, il est difficile d'implémenter la spécification OpenID soi-même, parce qu'elle est remarquablement illisible.

                • [^] # Re: Moué

                  Posté par . Évalué à 2.

                  Oui je parlais d'installer un service pas de se palucher la spec :)

                  Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

                  • [^] # Re: Moué

                    Posté par . Évalué à 2.

                    Il y a plein de fournisseurs à installer, oui. L'ennui c'est que c'est un peu la jungle pour s'y retrouver : entre ceux qui gèrent correctement OpenID 2.0 et ceux qui pas, ceux qui gèrent les AX, ceux qui gèrent SReg, etc...

                    C'est "openidenabled" qui avait l'air de faire autorité sur les implémentations de référence, mais ils ont l'air d'avoir arrêté (pour se recentrer sur leur offre payante?)

                    • [^] # Re: Moué

                      Posté par (page perso) . Évalué à 3.

                      j'ai forké leur depot php-openid et j'essaie de le faire évoluer.

                      si cela interesse quelqu'un : https://github.com/mouns/php-openid

                      je viens d'écrire un serveur et un client OpenID. j'ai pu constater les docs existantes sont plutot mal foutues, et j'essaie à mon rythme de nettoyer cela du coté de php-openid.

                      j'ai dans ma todo list :

                      • ajouter les Stores PDO & DBA
                      • finir la mise à jour des tests car certains sont incomplets ou obsoletes
                      • améliorer la doc
                • [^] # Re: Moué

                  Posté par (page perso) . Évalué à 2.

                  Pour avoir codé from scratch, il y a quelques années de cela un serveur OpenID 1 , j'avais déjà remarqué que les docs étaient peu clairs et qu'il y avait une sorte de mainmise par ce qui allait devenir JanRain.

                  Actuellement encore, je trouve toujours étonnant que la seule version FLOSS existante un tant soit peu complete soit celle de JanRain. Cela me conforte dans ce sentiment d'une philosophie du FLOSS pour le buzz et non pour une réelle ouverture. JanRain n'ayant pas réussi avec OpenID vu la fausse ouverture qui était faite, a préféré réorienté son métier vers RPX qui semble être somme toute à la meme chose mais sous une autre étiquette.

                  Néanmoins, cela ne m'empêche pas d'avoir le sentiment que OpenID est une bonne technologie dans certains contextes, surtout quand elle peut etre couplée pour la gestion des autorisations avec OAuth. La preuve en est que certain mastodonte comme FaceBook et Google l'ont adopté pour leurs interactions avec des applis tierces.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.