Journal Identité numérique: Mozilla s'y met

Posté par (page perso) . Licence CC by-sa
14
13
juil.
2011

Je vous ai déjà parlé de ma vision d'une identité numérique centrée sur l'adresse email, ou en tout cas son format, comme le fait déjà XMPP. (non, je ne mettrai pas les liens)

Et bien, il semblerait que la Mozilla Foundation partage mon point de vue:
https://wiki.mozilla.org/Identity

En gros, il s'agirait de faire un système comparable à OpenID mais utilisant une adresse email en lieu et place d'une URL.

Une très bonne explication en français:
http://www.clochix.net/post/2011/07/04/G%C3%A9rez-votre-identit%C3%A9-num%C3%A9rique-avec-MozillaID

J'espère que cette solution a de l'avenir, elle est en tout cas enthousiasmante !

  • # OpenID, Webfinger, etc

    Posté par . Évalué à 6.

    C'est une idée qui traine depuis un certain temps, comment est-ce que ça s'inscrit par rapport à webfinger de google et l’ancêtre OpenID et les diverses propositions qui existent déjà ? Est-ce qu'ils réinventent la roue ou bien ils se basent sur l'existant. Est-ce qu'ils ont des contacts dans le monde du web ou bien juste parce qu'ils sont Mozilla ils espèrent que tout le monde va suivre leur protocole.

    • [^] # Re: OpenID, Webfinger, etc

      Posté par . Évalué à -2.

      Mouais, je viens de lire la spec en diagonale, je ne vois rien de bien neuf par rapport à OpenID.

      Et puis en utilisant l'adresse mail comme identifiant pour le coup on est obligé de donner son mail au service pour s'authentifier. Pour le coup je vois ça comme une régression par rapport à OpenID.

      Quand est-ce qu'ils comprendrons que la vrai innovation serait de tout intégrer dans le navigateur, avec un système de clé privée / clé publique pour enfin se passer de fournisseur d'identité ?

      • [^] # Re: OpenID, Webfinger, etc

        Posté par (page perso) . Évalué à 7.

        [quote]Quand est-ce qu'ils comprendrons que la vrai innovation serait de tout intégrer dans le navigateur, avec un système de clé privée / clé publique pour enfin se passer de fournisseur d'identité ?
        [/quote]

        Relis l'autre diagonale.

        • [^] # Re: OpenID, Webfinger, etc

          Posté par (page perso) . Évalué à 10.

          Relis l'autre diagonale.

          Celle où "Aide mémoire sur la syntaxe Wiki" et "Prévisualiser" sont présents ?

        • [^] # Re: OpenID, Webfinger, etc

          Posté par . Évalué à 3.

          Oui, et dans le cas présent le serveur de mail fait office de fournisseur d'identité, alors que c'est inutile.

          Quand je m'authentifie sur un de mes serveurs via SSH, ça se passe entre le serveur et ma machine, je n'ai pas besoin d'un "tiers de confiance" (sic) pour prouver que je suis bien qui je prétend être.

          Or le problème avec les fournisseurs d'identité c'est que soit on s'auto-héberge soit on est à la merci de quelques sociétés, bref aucun avantage par rapport à OpenID.

          • [^] # Re: OpenID, Webfinger, etc

            Posté par (page perso) . Évalué à 8.

            Or le problème avec les fournisseurs d'identité c'est que soit on s'auto-héberge soit on est à la merci de quelques sociétés, bref aucun avantage par rapport à OpenID.

            Je ne comprends pas cette critique. Elle s'appliquerait à n'importe quoi : remplace « identité » par « courrier électronique », « site web », « messagerie instantanée » et ça m'a l'air de fonctionner également.

            • [^] # Re: OpenID, Webfinger, etc

              Posté par . Évalué à 2.

              Surtout que là le service n'a pas à être disponible tout le temps j'imagine. Tu dois pouvoir démarrer le serveur sur ta machine à la demande (ou l'avoir en extension de firefox).

              J'imagine, hein, j'ai pas lu la doc.

              Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

              • [^] # Auto-hébergement

                Posté par (page perso) . Évalué à 2.

                Oui et non sur l'auto-hébergement

                Si pour un ID donné, n'importe qui peut être "validateur d'ID", n'importe quel attaquant peut dire "je suis le proprio de benoit.dupont @gmail.com et d'ailleurs serveurPirate.ru est d'accord avec moi"

                Il faut donc que le "validateur d'ID" soit :

                • Le même que le fournisseur d'ID (adresse mail, JID)
                • Un tiers de confiance

                Donc on peut héberger un serveur mail/jabber qui intègre le mécanisme de validation mais on ne peut pas héberger seulement le mécanisme de validation.

                Matthieu Gautier|irc:starmad

              • [^] # Re: OpenID, Webfinger, etc

                Posté par . Évalué à 3.

                Oui mais même rendre un service, du style mail pour quelques minutes ce n'est pas forcément simple. Essaye de monter ton serveur mail derrière une livebox (pas pro).

                Je te souhaite bien du courage, entre le NAT, l'IP dynamique, et les ports bloqués par Orange pour enrayer le spam, tu risque de t'amuser.

          • [^] # Re: OpenID, Webfinger, etc

            Posté par (page perso) . Évalué à 3.

            Oui, et dans le cas présent le serveur de mail fait office de fournisseur d'identité, alors que c'est inutile.

            Inutile pour toi, mais utile pour plein d'autres personnes.

            Quand je m'authentifie sur un de mes serveurs via SSH, ça se passe entre le serveur et ma machine, je n'ai pas besoin d'un "tiers de confiance" (sic) pour prouver que je suis bien qui je prétend être.

            Ben oui, mais voila, tu te trimbales avec ta clé en permanence sur toi. C'est acceptable pour toi (et pour moi, j'ai aussi une clé SSH), mais c'est pas du tout déployable à échelle grand public. Le grand public ne veut pas de ton fichier à se trimbaler en permanence, ta clé SSH, elle es rédhibitoire, contraintes éliminatoires, poubelle.

            Heureusement que d'autres pensent aux gens qui n'ont pas envie de se trimbaler avec un clé sur eux quand on peut faire autrement (=la majorité des gens)

            • [^] # Re: OpenID, Webfinger, etc

              Posté par . Évalué à 2.

              Heureusement que d'autres pensent aux gens qui n'ont pas envie de se trimbaler avec un clé sur eux quand on peut faire autrement (=la majorité des gens)

              Eh ben ces gens là ils stockent leur clé dans Firefox sync, problème réglé.

              De toute façon là si j'ai bien compris le protocole[0], le problème est déjà là puisque il faut faire une association navigateur/identité. Donc en mode nomade c'est tout aussi compliqué.

              [0] désolé je suis au boulot j'ai pas encore eu le temps de le lire très attentivement donc si je dis une connerie je m'excuse d'avance.

          • [^] # Re: OpenID, Webfinger, etc

            Posté par . Évalué à 2.

            Quand je m'authentifie sur un de mes serveurs via SSH, ça se passe entre le serveur et ma machine, je n'ai pas besoin d'un "tiers de confiance" (sic) pour prouver que je suis bien qui je prétend être.

            Ça a déjà été dit, mais: Tu peux être ton propre "tiers de confiance", comme pour OpenID.

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: OpenID, Webfinger, etc

        Posté par . Évalué à 9.

        Et puis en utilisant l'adresse mail comme identifiant pour le coup on est obligé de donner son mail au service pour s'authentifier. Pour le coup je vois ça comme une régression par rapport à OpenID.

        Tu connais les alias ? Tu sais que tu peux te créer deux adresses e-mail (voir même plus !) ?

        Quand est-ce qu'ils comprendrons que la vrai innovation serait de tout intégrer dans le navigateur, avec un système de clé privée / clé publique pour enfin se passer de fournisseur d'identité ?

        C'est génial ça ! Comme ça je dois me trimballer ma clef privée avec moi, faire gaffe à ne pas l'oublier sur un PC publique, ne pas perdre ma clef, avoir un navigateur compatible partout où je me connecte,…

        Une autre idée dans le même genre ce serais de coupler ça avec une signature du matériel, comme ça si tu change de machine, tu change d'identité.

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: OpenID, Webfinger, etc

        Posté par (page perso) . Évalué à 2.

        Et puis en utilisant l'adresse mail comme identifiant pour le coup on est obligé de donner son mail au service pour s'authentifier. Pour le coup je vois ça comme une régression par rapport à OpenID.

        L'idée c'est d'utiliser un identifiant de la forme d'une adresse mail.
        (Comme certain on la flemme de lire la très bonne explication en français) En gros:

        • À la création de l'identité / configuration du navigateur
          • Le navigateur génère une paire de clés.
          • Il signe ton adresse mail (pardon, ton identifiant) avec la clé privé.
          • Il envoie la clé publique au serveur mail (pardon, au fournisseur d'identité) qui le signe avec sa clé privé (si l'id est valide, vérifié, etc...)
          • Le navigateur stocke l'id signée avec la clé privé du navigateur, ainsi que la clé publique du navigateur signée avec la clé privé du fournisseur d'id.
        • À la connexion à un site:
          • La navigateur envoie l'id signé et la clé publique signé au site.
          • Le site récupère la clé public du fournisseur d'id et vérifie que la clé public du navigateur (fournit par le navigateur) est valide.
          • Le site vérifie que l'id envoyé est valide par rapport à la clé publique précédemment vérifié.

        (J'ai expliqué ici, la dernière version, super méga cool du protocole pas encore terminé)

        L'idée est que le fournisseur d'id, en signant la clé publique associé à un id, valide l'association navigateur/id. L'association est (en général) vérifié en envoyant un mail à l'utilisateur. Ensuite, le site, ayant l'association navigateur/id validé, accepte la connexion. De plus le fournisseur d'id est contacté qu'une fois (à la création de l'association navigateur/id)

        De plus aucun envoi de mail est nécessaire. On parle d'un envoi de mail pour valider l'association navigateur/id, mais ça peut être autre chose (message xmpp, sms, courrier physique, ...)

        Matthieu Gautier|irc:starmad

        • [^] # Re: OpenID, Webfinger, etc

          Posté par . Évalué à 2.

          Et tu fais comment quand tu n'es pas sur ta machine, tu dois ajouter le navigateur à ta liste de brouteurs autorisés, puis penser à l'en enlever quand tu arrêtes d'utiliser le poste?

          Depending on the time of day, the French go either way.

          • [^] # Re: OpenID, Webfinger, etc

            Posté par (page perso) . Évalué à 2.

            Oui.
            Mais on peut imaginer une sorte d'autorisation temporaire pour un navigateur donné pour simplifier un peut la procédure.

            En même temps, je rappelle que pour le moment, tu dois rentrer ton mot de passe pour chacun de tes sites et du dois penser à te déconnecter de chaque sites quand tu arrêtes d'utiliser le poste.

            Matthieu Gautier|irc:starmad

            • [^] # Re: OpenID, Webfinger, etc

              Posté par . Évalué à 2.

              En même temps, je rappelle que pour le moment, tu dois rentrer ton mot de passe pour chacun de tes sites et du dois penser à te déconnecter de chaque sites quand tu arrêtes d'utiliser le poste.

              Private/Safe Browsing.

              Il est prévu de pouvoir avoir plusieurs identités par navigateur?

              Depending on the time of day, the French go either way.

              • [^] # Re: OpenID, Webfinger, etc

                Posté par (page perso) . Évalué à 4.

                C'est au navigateur d'implémenter tous ça. C'est indépendant du protocole.

                C'est au navigateur de fournir à l'utilisateur la possibilité d'avoir plusieurs identités
                C'est au navigateur de fournir un gros bouton rouge "Invalider ce navigateur pour cette identité"
                C'est au navigateur de fournir un "mode guest".
                C'est au navigateur de fournir la fonctionnalité qui tue.

                Matthieu Gautier|irc:starmad

  • # Vu que tu l'as déjà traité...

    Posté par . Évalué à 9.

    Vu tu as déjà traité ce sujet, un ou plusieurs liens vers ton blog aurait été les bienvenue !

    ps : Seul les lecteurs les plus assidus comprendront...

    • [^] # Re: Vu que tu l'as déjà traité...

      Posté par . Évalué à 5.

      Et pour les autres, on fera un journal bookmarks avec les liens qui vont bien, ou alors il transposera directement le journal bookmark récursif sur son blog...

      ----------> [ ]

    • [^] # Re: Vu que tu l'as déjà traité...

      Posté par . Évalué à 7.

      Arrête, tu sais bien que c'est pas le genre de la maison de mettre des liens vers un blog.

      • [^] # Re: Vu que tu l'as déjà traité...

        Posté par . Évalué à 2.

        C'est vrai, on n'est pas sur Numerama ici.

        Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # ma

    Posté par . Évalué à -6.

    J'ai pris du lsd25 ce matin, et j'ai eu une vision. J'ai vu comment ça c'était passé dans les faits à Three Waters. Ha non c'était pas celle là, faut pas s'embrouiller, spa facile. Bon c'est l'heure de la sieste en fait.

    • [^] # Re: ma

      Posté par (page perso) . Évalué à 2.

      C'est surtout l'heure de ta pilule qui va t'être donnée par les gentils messieurs en blanc :o

      • [^] # Re: ma

        Posté par . Évalué à -1.

        ouhaiiiiii :)

  • # Réinventer la roue

    Posté par . Évalué à 2.

    Quitte à ne pas réinventer la roue, et tant qu'à faire à ne pas centraliser ce qu'OpenID avait réussi à décentraliser, pourquoi ne pas plus simplement généraliser le couple OpenID+Webfinger?

  • # Google Identity Toolkit

    Posté par . Évalué à 1.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.