Journal Orange propose de l'open ID

Posté par  .
Étiquettes : aucune
0
25
sept.
2007
Orange vient d'ouvrire son service OpenID et propose donc un identifiant aux utilisateurs d'Orange qui voudraient se créer une tel URL. Cela se passe ici:
http://www.orange.fr/bin/frame.cgi?u=http%3A//openid.orange.(...)

C'est à ma connaissance un des premiers gros à le faire (en tout cas en France), mais quel est l'avenir d'OpenID, qui pose quelques questions de sécurité?

  • # AOL aussi

    Posté par  . Évalué à 3.

    Mais bon, ça n'a pas eu l'écho médiatique espéré. A quel problème de sécurité fais-tu référence ? En tout, pour l'utiliser sur les sites de Six Apart, c'est du bonheur.

  • # Autre gros

    Posté par  (site web personnel) . Évalué à 4.

    En france oui, mais ailleurs il y a d'autres "gros", et en particulier AOL qui s'y est déjà mis. Mieux que ça, AOL non seulement offre un openid mais s'en sert dans ses services.

    Sinon quel problème de sécu ? il n'y en a quasiment qu'un seul : le pishing, et les solutions ne manquent pas. A vrai dire il y a presque largement autant de chance de se faire piquer son mot de passe (qui est le même pour tous les services chez la plupart des gens) à cause d'une appli mal codée dans le tas qu'on utilise .. que en ce faisant avoir par un pishing si le serveur openid fait ce qu'il faut pour s'en prémunir.

    • [^] # Re: Autre gros

      Posté par  . Évalué à 2.

      Oui enfin bon les attaques par phising sont quand même facilitées, c'est ce qui à mon avis représente la plus grande faille.
      C'est vrai qu'il faut être prudent sur le service OpenID et ne pas l'utiliser sur le premier service venu, je n'ai pas peur pour les utilisateurs "avancé" mais l'internaute de base n'aura peut être pas ce réflexe. Mais bon c'est un peu un problème que l'on rencontre aux 4 coins du net.

      • [^] # Re: Autre gros

        Posté par  (site web personnel) . Évalué à 2.

        Perso, j'utilise http://openid.xmpp.za.net/ comme fournisseur OpenId.
        Expliquez moi comment on fait du phishing avec ça ?

        (pour ceux qui savent pas, quand on veux accéder à une page on entre son identifiant Jabber, et on reçois un message disant qu'on essaye de se connecter au site que l'on doit valider)

      • [^] # Re: Autre gros

        Posté par  (site web personnel) . Évalué à 2.

        Ce n'est pas parfait, mais openid a au contraire quelques avantages face au pishing par rapport à ta banque par exemple.

        A priori tu te logues régulièrement dessus, et tu fais du single sign on.

        C'est à dire que ton serveur peut très bien prendre comme option de ne jamais te proposer une identification suite à un redirect. Il te dit alors que tu n'es pas encore identifié, et te laisse cliquer sur ton raccourci pour aller sur la page d'authentification (ou taper l'adresse à la main si tu n'es pas chez toi, c'est simple vu que l'adresse à taper est aussi ton identifiant openid)

        Ce n'est pas parfait, mais vu que jamais tu n'arrive sur la page de login via un redirect ou un lien, ça te semblera bizarre si jamais ça arrive, même si tu es peu au fait des questions de sécurité.

        Sinon pour les sédentaires il y a le login grace à un certificat ssl client, il y a le login via l'ip fixe, le plugin dans le navigateur, etc. Chacun a ses défauts et ses avantages mais ils répondent assez bien au problème et sont déjà largement implémentés.

        J'aime aussi beaucoup l'idée du renvoi xmpp que je vois plus bas.

  • # Le problème avec Orange c'est que

    Posté par  . Évalué à 2.

    Vous ne pouvez pas mettre fin à votre identification car vous êtes automatiquement reconnu lorsque vous utilisez votre accès Internet Orange.

  • # Sites OpenID

    Posté par  . Évalué à 4.

    Il y a quoi comme sites *notable* utilisant OpenID, à part les blogs de SixAppart ?
    Parce que je dois dire que je n'utilise aucun de ceux donnés en exemple par Orange...

    • [^] # Re: Sites OpenID

      Posté par  (site web personnel) . Évalué à 2.

      AOL (non seulement ils donnent des identifiants openid à leurs clients, mais ils utilisent aussi openid pour s'identifier sur leurs services).

      Mais c'est vrai que pour une fois c'est du côté des services que ça pêche.

    • [^] # Re: Sites OpenID

      Posté par  . Évalué à 1.

      Drupal supporte OpenID via un module pour la version 5. L'integration dans le core est pour la version 6.

      Donc aprés, ça pourrait etre le blog de monsieur tous le monde qui pourrait utiliser l'openid.

    • [^] # Re: Sites OpenID

      Posté par  . Évalué à 2.

      http://livejournal.com ?

    • [^] # Re: Sites OpenID

      Posté par  (site web personnel) . Évalué à 1.

      Ziki.com utilise également OpenID.

  • # Commentaire supprimé

    Posté par  . Évalué à 4.

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: C'est toujours ça

      Posté par  (site web personnel) . Évalué à 5.

      À quand un id jabber pour tous (FT est un gros supporteur d'XMPP) ?

      J'ai plutôt l'impression qu'on tend vers un windows live ID pour tous. Orange a arrêté son orange messenger depuis quelques mois au profit de « Orange messenger by windows live » qui utilise donc le réseau MSN.

      De toutes façons je n'ai jamais compris la stratégie de FT/Wanadoo/Orange au niveau de Jabber. Orange messenger utilisait XMPP, mais la procédure de login n'était pas standart (donc c'était difficile de se logguer avec un client Jabber normal), et le serveur n'était pas ouvert au réseau Jabber public. Autant utiliser un protocole propriétaire si le but c'est de faire un réseau complètement fermé.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.