On a déjà parlé d'OpenID dans le coin, je vais donc faire un résumé des arguments pour et contre :
+ un plus indéniable dans le confort à l'ère du morcellement des blogs.
+ un plus indéniable contre le spam et autres chieurs
+ un plus pour la sécurité ? Soit un serveur OpenID, tout entier tourné vers le stockage et la protection de ces données. Il devrait être plus robuste que le premier site à l'avenant. Et comme on est obligé par notre faible mémoire à réutiliser souvent les mêmes identifiants - mots de passe, il suffit d'un site cracké et pour ouvrir la porte à plusieurs autres. Avec OpenID on peut choisir un seul mot de passe fort et le changer régulièrement. On n'a plus besoin de devoir faire confiance à chaque site, seulement de bien choisir le serveur OpenID.
- Ça ne change rien au problème sur les sites ne le gérant pas (quoi que ça se démocratise)
- un moins pour la sécurité ? Un compte OpenID cracké, c'est l'opportunité de se faire passer pour vous sur tous les sites gérant OpenID.
- exploitation des données qu'on peut retracer jusqu'à une identité numérique unifiée ?
C'est sur ce dernier point que je m'étonne qu'on se soit si peu arrêtés : voir un peu plus large et inclure OpenID (et équivalents) dans la problématique plus globale de la gestion d'une identité numérique. La différence avec un système genre Passport de MS qui s'est rétamé c'est de centrer la chose sur l'utilisateur plutôt que le fournisseur. À ce propos il y a un bon résumé dans LE rapport de l'UNESCO qu'il faut avoir lu, "Ethical implications of emerging technologies : a survey" ( http://portal.unesco.org/ci/fr/ev.php-URL_ID=24229&URL_D(...) - vivement la version française). Jetez un ½il aux pages 33-37 (35-39 du document PDF) pour les anglophones. Le rapport parle aussi du web sémantique, de la biométrie, de la RFID, des capteurs, de la géolocalisation, du "mesh networking", du "grid computing" (désolé je ne connais pas la traduction exacte de ces termes mais vous devez voir ce que c'est) et des avancées techniques en informatique(nanotechnologies, ordinateur moléculaire, photonique et quantique).
Je cite puis traduis (sans garantie ;-)) :
As the trusted intermediary, a person's identity agent will sit at the center of the user's cummunication and have access to all identity information exchanged.
- En tant que tiers de confiance, l'agent d'identité d'une personne se trouve au centre de la communication de l'utilisateur et a accès à toutes les informations échangées concernant l'identité.
Since an identity agent can help to minimize data disclosed to a merchant or other entity with which a person interacts, the technology may boost privacy
- Étant donné qu'un agent d'identité peut aider à minimiser les données fournies à un commerçant ou autre entité avec laquelle une personne interagit, la technologie peut améliorer la confidentialité / protection de la vie privée. (note : décidément de plus en plus utile : https://www.globenet.org/206.Perquisition-sur-des-serveurs-d(...) )
[...]there are currently no innate technological protections regarding possible future uses of these tools.
- il n'y a actuellement aucune protection technologique présente à propos des possibles futurs usages de ces outils." (NdT : abus par des gouvernements, discriminations, ententes entre founisseurs d'identité et commerçants pour imposer un petit nombre de fournisseurs qui auraient alors le monopole au détriment des concurrents moins puissants...)
[...]the biggest unknown and the one with the greatest potential impact - concerning /not what humans/ may do with these tools, but rather /how machines will treat humans/ with personal datas so well organized.
- la plus grande inconnue et celle avec l'impact potentiel le plus fort - concernant /non pas ce que les humains/ peuvent faire de ces outils, mais plutôt /comment les machines traiteront les humains/ avec des données personnelles si bien organisées. (le syndrôme John Tuttle ?)
Je souhaite lancer le débat sur le sujet, le libre a quand même plus que son mot à dire et son rôle à jouer là-dedans.
# Qu'est-ce que cette histoire de John Tuttle ?
Posté par Snark_Boojum . Évalué à 3.
[^] # Re: Qu'est-ce que cette histoire de John Tuttle ?
Posté par Nerdiland de Fesseps . Évalué à 7.
[^] # Re: Qu'est-ce que cette histoire de John Tuttle ?
Posté par Beretta_Vexee . Évalué à 4.
P.S. excellent film
[^] # Re: Qu'est-ce que cette histoire de John Tuttle ?
Posté par patrick_g (site web personnel) . Évalué à 4.
Non c'est plus qu'un excellent film. C'est juste le meilleur film de tous les temps.
# Ouverture
Posté par Manger sur pattes . Évalué à 2.
On peut avoir un certain contrôle sur OpenID, et ainsi se protéger de tout excès de confiance (voir, héberger carrément son propre serveur).
Ceci dit, Passport ça a pas trop marché quand c'est sorti :-)
[^] # Re: Ouverture
Posté par dragonfly . Évalué à 4.
Le fait que le système soit libre ne change rien à ce problème précis, et ne protège en aucun d'un excès de confiance.
[^] # Re: Ouverture
Posté par Gof (site web personnel) . Évalué à 5.
[^] # Re: Ouverture
Posté par davux (site web personnel) . Évalué à 1.
De mon côté j'ai aussi écrit deux-trois trucs pour un système permettant d'avoir une identité unique, nommé [1]DIAS, mais effectivement ces temps-ci je l'ai un peu mis en suspens, justement pour cette raison: ce système utilise aussi un identifiant unique, en l'occurrence un JID (adresse Jabber). Bien que permettant une structure complètement décentralisée, le système ne protège pas contre le recoupement d'informations.
[1] DIAS: http://weeno.net/dias/
En revanche, j'ai une sorte d'intuition pour une autre approche permettant de résoudre le problème: il faudrait un système où l'identifiant soit une sorte de hash faisant intervenir notre identifiant personnel + le site sur lequel on l'utilise, ce qui fait qu'il serait impossible de faire le recoupement entre deux hash. M'enfin voilà c'est juste une piste de réflexion, j'ai pas vraiment poussé l'idée.
[^] # Re: Ouverture
Posté par Moonz . Évalué à 3.
> Et effectivement, cette problématique reste présente [...] même si chaque personne peut être son propre hébergeur d'identité.
Perdu !
Ce problème se pose effectivement pour les serveurs "conventionnels" (une URL pour un utiisateur), mais cette contrainte n'est absolument pas imposée par OpenID !
Prenons un exemple. Suposons que tu mettes en place un serveur OpenID sur da.weeno.net pour ton seul usage. Tu peux, comme tout le monde, faire en sorte que ton identité soit da.weeno.net et fournir cette identité à tout le monde.
Mais tu peux aussi, à l'aide d'une simple règle de réécriture d'Apache, faire en sorte que da.weeno.net/foobar da.weeno.net/spam ne soient qu'un alias de da.weeno.net... alors que pour les sites auxquels tu fournis ces identifiants, ce sont des identifiants complètement différents ! (de la même manière que foobar.livejournal.com et spam.livejournal.com sont deux identifiants différents)
[^] # Re: Ouverture
Posté par eon2004 . Évalué à 1.
[^] # Re: Ouverture
Posté par farib . Évalué à 1.
[^] # Re: Ouverture
Posté par eon2004 . Évalué à 2.
[^] # Re: Ouverture
Posté par Moonz . Évalué à 2.
[^] # Re: Ouverture
Posté par eon2004 . Évalué à 2.
[^] # Re: Ouverture
Posté par Moonz . Évalué à 2.
(oui, je m'auto-cite ;))
Faisable en 5 minutes avec le .htaccess d'Apache...
[^] # Re: Ouverture
Posté par eon2004 . Évalué à 2.
Après dans le concret, je pensais plus avoir ma clé perso sous forme de clé GPG (appellons la alpha). Elle déverrouille mon accès sur le serveur OpenID. Sur le serveur OpenID, il y a donc une liste du type:
clé Beta -> mail.google.com
clé Ceta -> paypal
clé Delta -> linuxfr
Toutes ces clés sont générées aléatoirement ou sur un hashage d'une particularité de mon compte. Elles sont inretenables.
Quand je vais sur un site et que j'ai besoin de m'authentifier. Je demande au serveur OpenID si j'ai pas déja été sur ce site. et si oui, le serveur me file la clé nécessaire pour ce site et je m'authentifie avec cette clé.
Lorsque je change de site, rebelote. Je demande au serveur OpenID si j'ai pas déja été sur ce site. et si oui, le serveur me file la clé nécessaire pour ce site et je m'authentifie avec cette clé.
Bilan. Je m'authentifie avec une clé difficilement cassable. Les clés pour chaque site sont difficilement cassables aussi. La liaison entre les comptes de différents sites est impossible (pas comme juste retirer un suffixe, ca je peut le faire à la main dès aujourd'hui).
Bien sur, ça ce sont les informations informatiques. Mais si je me présente comme Mr Eon sur tous les sites, une simple recherche sur Google permet de repérer tous les sites que je fréquente.
[^] # Re: Ouverture
Posté par Mildred (site web personnel) . Évalué à 4.
De toute façon j'ai le même pseudo partout et le même avatar (sur les sites ou je peux en mettre un. C'est plus visuel et plus facide de reconaître les gens je trouve).
Ce qui me dérange juste c'est qu'actuellement j'ai peu de mots de passe que je partage entre plusieurs sites. Et l'admin LinuxFr (ou d'ailleurs) pourrait surement avec mon mot de passe se faire passer pour moi sur plusieurs forums ou bugzillas. Et ça je n'aime pas (mais je n'ai pas le choix, a part inventer et retenir des centaines de mots de passe). OpenID se propose de résoudre ce problème et je trouve le fait bien, sans en faire trop.
J'ai vu plus haut un serveur OpenID avec authentification par jabber, ce serait sacrément intéressant je trouve. Fini les mots de passe. Bon, il faut encore que les sites comme DLFP et les divers forums et bugzilla s'enpare de l'OpenID.
En passant je tiens a rappeler que pour ceux qui objectent qu'une OpenID peut être un bot, c'est tout à fait vrai. Mais rien n'empêche lorsque une OpenID se présente pour la première fous sur un site que le site vérifie son humanité (avec une question bête comme "combien font trois et six ?")
[^] # Re: Ouverture
Posté par Gof (site web personnel) . Évalué à 2.
Eh oui, ça existe déjà !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.