Journal OpenID : l'authentification décentralisée.

Posté par (page perso) .
Tags : aucun
0
29
juin
2006
OpenID est un peut comme le passport de microsoft en version décentralisée. Cela permet de partager son identité avec plusieurs sites, évitant soit d'avoir le même mot de passe pour tous les sites, ou d'avoir a mmoriser un mot de passe diférent pour chaque site.

Et c'est complètement décentralisé : chacun peut créer son propre serveur.

http://openid.net/
https://myopenid.com/ (un serveur)

Je me cite depuis https://linuxfr.org/tracker/457.html :
OpenID est un peu comme le Passport de microsoft sauf que c'est complètement décentralisé, sans aucune autorité globale qui surveillerait le système.

Comment ça marche ? On s'enregistre sur un serveur comme https://www.myopenid.com/ (on peut créer son propre serveur). Et lorsqu'un site demande une authentification, il suffit de rentrer "moi.myopenid.com" par exemple. Le site (linuxFR par exemple) redirigera alors sur une page de myopenid.com qui demandera a l'utilisateur d'entrer son mot de passe. Ensuite, le serveur redirige sur une page du client (LinuxFR) en affirmant que l'utilisateur est bien connu.

Ce système a l'avantage de permettre d'avoir un seul mot de pase pour tout les sites internet OpenID et de ne pas avoir a retaper sans cesse le mot de passe (le serveur openID peut le retenir)

Note: il est possible de personaliser son "login" openid. par exemple, je peux mettre l'adresse de mon site: louve.dyndns.org grace a une balise link daans le head de la 1e page de mon site.
  • # plus de serveur que de site client

    Posté par . Évalué à 2.

    en allant voir sur le site openid.net et sur google j'ai l'impression qu'il ya plus de serveur OpenID que de site se servant de ces serveurs.

    questions : peut-on faire des liens de confiance entre serveur ?
    le serveur A autorise le serveur B à répondre à ses requêtes si il devient inaccessible.
    • [^] # Re: plus de serveur que de site client

      Posté par (page perso) . Évalué à 2.

      ça me fait penser au projet b2b (bouchot 2 bouchot)... mais bon avec un système comme ça, suffit que le serveur openid ou tu es enregistré soit "hacké" et alors un type peut rentrer avec ton accompte sur tout les sites géré avec openid...
      • [^] # Re: plus de serveur que de site client

        Posté par (page perso) . Évalué à 2.

        suffit de recup ton portefeuille pour te voler des choses ...

        suffit d'un keylogger pour te choper tous tes mots de passes ...

        le protocole est pas mal.

        coté implémentation, la seule information que contient ton serveur openID est le mot de passe qui permet de l'utiliser et en option une table d'accreditation permanente.

        donc a moins d'avoir un mot de passe faible, l'essentiel de la sécurité de l'application repose sur :
        - l'infra du serveur hebergeant ton OpenID
        - la qualité du code fournissant ton service OpenID

        maintenant l'utilisation de OpenID se fait sur pas mal de gros infra de blog en ligne .

        apres, il y a aussi LID et Yadis qui sont de bons complements à la chose.

        De plus, il exsite une extension sympa pour transmettre des "infos personnelles" ( genre/nom/prenom/telephone/email ). tu peux utiliser le hcard c pas mal comme outil.

        si tu veux une solution fun, c'est un truc a base de fingerprint PGPGPG , Konfidi.

        voila :)


        http://konfidi.org/wiki/Main_Page
        http://microformats.org/wiki/hcard
        http://www.openidenabled.com/openid/simple-registration-exte(...)
        http://lid.netmesh.org/
        • [^] # Re: plus de serveur que de site client

          Posté par (page perso) . Évalué à 2.

          suffit de recup ton portefeuille pour te voler des choses ...

          suffit d'un keylogger pour te choper tous tes mots de passes ...


          Je suis d'accord mais dans ces 2 cas, ces données sont soit sur moi, soit hébergée par moi. Là je dépends de la sécurité du serveur openid pour tous les sites enregistré avec... Et je t'assures qu'un serveur openid sera une cible préférée d'attaque que ma machine perso... Je ne dis pas que c'est une mauvaise idée (alla passport), juste que ça me semble plus risqué qu'un pass, un site.
          • [^] # Re: plus de serveur que de site client

            Posté par (page perso) . Évalué à 2.

            C'est un risque ...

            mais la solution "un pass = un site" n'est psa forcément très bonne nom plus car elle peut facilement devenir "un pass = tous les sites"
            • [^] # Re: plus de serveur que de site client

              Posté par (page perso) . Évalué à 2.

              le meme probleme existe avec OpenSSH ... ce que tu decris aucune technologie ne peut le gerer correctement.

              le bug s'appelle "etre humain naturellement stupide" exprimable sous la forme "l'etre humain est la seul espece avec les lemmings a courrir à sa propre mort en masse sans se rendre compte des conneries qu'il fait"
              • [^] # Re: plus de serveur que de site client

                Posté par . Évalué à 5.

                Nope, on est *la seule espèce* :)

                Le coup des lemmings suicidaires ça vient d'un documentaire Disney: ne sachant pas expliquer la diminution soudaine et massive des lemmings à certaines saisons, ils ont popularisé une théorie selon laquelle ils se jetaient des falaises ivres de suicide comme des moutons de panurge idiots.

                En fait, leur population décroît sauvagement à cause des renards et des chouettes du coin qui arrivent à maturité à la période propice et se baffrent de lemmings.

                Je sais plus trop où j'avais lu ça à l'origine, dans Science & Vie je crois, mais c'est aussi cité dans wikipedia:
                http://fr.wikipedia.org/wiki/Lemming
                http://en.wikipedia.org/wiki/Lemming

                On est probablement aussi la seule espèce à prendre les autres espèces pour des cons par défaut.
          • [^] # Re: plus de serveur que de site client

            Posté par (page perso) . Évalué à 1.

            sauf que tu peux monter un serveur openid chez free pour toi tout seul :p

            il existe des outils pour le faire :)

            et meme des trucs en PHP :)
    • [^] # Re: plus de serveur que de site client

      Posté par (page perso) . Évalué à 2.

      Rien n'empêche deux serveurs de partager leur base de donnée utilisateurs. Our rien ne t'empêche toi de t'enregistrer sur deux serveurs à la fois.
      Rien n'empêche non plus ton site perso d'avoir une page dynamique qui vérifie quel serveur est disponnible, et en fonction de cela, change le contenu de la balise link rel=openid.delegate

      Sur mon site, j'ai par exemple:
      < link rel="openid.server" href="http://www.myopenid.com/server" >
      < link rel="openid.delegate" href="http://mildred.myopenid.com/" >


      Lorsque je m'enregistre sur le livejournal avec une ID openID, et que je rentre d'adresse de mon site, alors je me crée un compte là bas avec comme identifiant l'adresse de mon site, et non pas l'adresse du serveur openID.
      Ce qui fait que si le serveur openID que j'utilise disparaît, il me suffira de changer les balises link sur ma page perso pour changer de serveur, et je je pourrais me reconnecter, avec un autre serveur.
  • # Serveur CAS

    Posté par (page perso) . Évalué à 2.

    C'est quoi les différences/avantages/inconvénients sur du SSO basé sur du CAS+LDAP?
    • [^] # Re: Serveur CAS

      Posté par (page perso) . Évalué à 2.

      En parlant de SSO web d'ailleurs je viesn de voir que l'un des gagnants des lutèces d'or portait sur le sujet: http://lemonldap.sourceforge.net/
    • [^] # Re: Serveur CAS

      Posté par (page perso) . Évalué à 2.

      actuellement il existe 2 type de SSO :

      - les centralisées avec CAS, Kerberos, lemonLDAP, PAM_ki_va_bien, & co

      - les decentralisées comme OpenID, LID, mIDm ...


      OpenID est decentralisé dans le sens où tu n'as pas besoin d'un compte sur le site qui propose une authentication OpenID pour pouvoir utiliser le service.

      par exemple, un blog avec ce type de service permet de poster de commentaires avec la certitude que le commentaire vient bien d'un site qui a cet ID.

      cela offre une securité plus forte qu'un CAPTCHA dans le sens ou ce dernier ne garanti rien sur l'identité d'un eventuel spammeur, avec OpenID, on a la certitude que le SPAMMEUR est bien le proprio de son site et qu'il a bien fait l'operation a la main ( message "checkid_setup" pour forcer la validation manuelle en cas d'implementation correcte du protocole ).

      bien en entendu, cela se contourne facilement en codant un peu ... mais c plus dur qu'un captcha a resoudre avec une archi distribué sur site de cul.
  • # Liberty?

    Posté par . Évalué à 1.

    Et comment se positionne ce projet par rapport à Liberty, lui aussi un concurrent (décentralisé) de Passport?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.