ما الفائدة من استخدام مصادقة OpenID فقط على الموقع؟
https://stackoverflow.com/questions/60436
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
من تجربتي مع معرف مفتوح, أرى عددًا من السلبيات المهمة:
يضيف أ نقطة واحدة من الفشل إلى الموقع
إنه ليس فشلاً يمكن للموقع إصلاحه حتى لو تم اكتشافه.إذا كان موفر OpenID معطلاً لمدة ثلاثة أيام، فما هو الحل الذي يجب على الموقع السماح لمستخدميه بتسجيل الدخول والوصول إلى المعلومات التي يمتلكونها؟
يأخذ المستخدم إلى محتوى مواقع أخرى وفي كل مرة يقوم فيها بتسجيل الدخول إلى موقعك
حتى لو لم يكن لدى موفر OpenID خطأ، تتم إعادة توجيه المستخدم إلى موقعه لتسجيل الدخول.تحتوي صفحة تسجيل الدخول على محتوى وروابط.لذا، هناك احتمال أن ينجذب المستخدم فعليًا بعيدًا عن الموقع ليقع في حفرة أرنب الإنترنت.
لماذا أرغب في إرسال المستخدمين إلى موقع ويب لشركة أخرى؟
[ ملحوظة:لم يعد مزود الخدمة الخاص بي يفعل ذلك ويبدو أنه قد أصلح هذه المشكلة (في الوقت الحالي).]
يضيف مبلغًا غير تافه من الوقت للتسجيل
للتسجيل في الموقع، يجب على المستخدم الجديد قراءة معيار جديد واختيار المزود والاشتراك.المعايير هي شيء يجب أن يوافق عليه الفنيون من أجل جعل تجربة المستخدم سلسة.إنها ليست شيئًا يجب فرضه على المستخدمين.
إنه حلم فيشر
OpenID غير آمن بشكل لا يصدق وسرقة معرف الشخص أثناء تسجيل الدخول أمر سهل للغاية.[مأخوذة من ديفيد أرنو إجابة أقل ]
على الرغم من كل الجوانب السلبية، فإن الجانب الإيجابي الوحيد هو السماح للمستخدمين بالحصول على عدد أقل من عمليات تسجيل الدخول على الإنترنت.إذا قام أحد المواقع بالاشتراك في OpenID، فيمكن للمستخدمين الذين يريدون هذه الميزة استخدامها.
ما أود أن أفهمه هو:
ما الفائدة التي يحصل عليها الموقع من إنشاء OpenID؟ إلزامي?
المحلول
قائمة السلبيات تفتقد الجانب الأكثر وضوحًا:إنه حلم التصيد.OpenID غير آمن بشكل لا يصدق وسرقة معرف الشخص أثناء تسجيل الدخول أمر سهل للغاية.
على الرغم من أن Matt Sheppard يدق ناقوس الخطر فيما يتعلق بالإجابة: تتمثل فائدة استخدام OpenID فقط في أنه ينطوي على قدر أقل من المتاعب لمنشئ الموقع حيث لا توجد أسماء مستخدمين وكلمات مرور للتعامل معها ولا يلزم وجود رمز إنشاء حساب مستخدم.
نصائح أخرى
تتمثل فائدة جعل OpenID إلزاميًا في أن رمز تسجيل الدخول لموقع الويب لا يلزم كتابته (بخلاف تكامل OpenID)، ولا يلزم اتخاذ أي احتياطات بشأن تخزين كلمات مرور المستخدم وما إلى ذلك.
عدم وجود رمز تسجيل الدخول الخاص بك يعني أيضًا عدم الاضطرار إلى التعامل مع الكثير من مشكلات الدعم مثل إعادة تعيين كلمات المرور المفقودة وما إلى ذلك.
من المؤكد أن معظم سلبياتك صحيحة، لذلك أعتقد أنها تصبح مقايضة.
ما يدهشني هو أنه لا يوجد المزيد من المواقع التي تشكل علاقة وثيقة مع مزود OpenID معين لمجرد مرحلة تسجيل الحساب - أي.نوع من "يمكنك استخدام أي OpenID تريده، ولكن يمكنك أيضًا إنشاء واحد الآن عن طريق إدخال اسم مستخدم وكلمة مرور وما إلى ذلك" في صفحة تسجيل الدخول، والتي تقوم تلقائيًا بإنشاء حساب جديد مع المزود المحدد لك.
إنها طريقة جيدة لالاستعانة بمصادر خارجية لجزء من البنية التحتية الخاصة بك.لا داعي للقلق بشأن فقدان كلمات المرور وما إلى ذلك، فهناك شخص آخر يقوم بذلك نيابةً عنك.
لست متأكدًا من أنني سأستخدمه حصريًا.لم أستخدم OpenID بما يكفي لأثق به تمامًا، ويجب تبسيط عملية التسجيل حتى يحصل 90% من المستخدمين على OpenID.
يضيف نقطة حرجة لفشل الموقع
ثالث أعلى فكرة عن صوت المستخدم لـ Stackoverflow هو السماح بتغيير موفر OpenID.وفي التعليقات هناك اقتراح للسماح بربط أكثر من OpenID.في المواقع التي يمكن فيها ربط العديد من معرفات OpenID بحساب ما إذا كان موفر OpenID المعتاد الخاص بك معطلاً، فلا يزال بإمكانك تسجيل الدخول باستخدام موفر آخر (على افتراض أنك قمت بالفعل بربطه بالموقع).
كما أنها ليست سوى نقطة فشل حرجة لمستخدمي موفر OpenID الذي لا يعمل.يمكن لجميع المستخدمين الآخرين على موفري OpenID الآخرين الاستمرار في تسجيله.بمرور الوقت، تتوقع أن ينتقل المستخدمون إلى مقدمي الخدمة الأكثر موثوقية.
يأخذ المستخدم إلى محتوى مواقع أخرى وفي كل مرة يقوم فيها بتسجيل الدخول إلى موقعك
إذا قمت بإعداد موفر OpenID الخاص بك ليثق دائمًا في موقع ما (أو مستهلك OpenID في التسمية) وقمت بتسجيل الدخول بالفعل إلى موفر OpenID الخاص بك، فسوف يعيدون توجيهك مباشرة إلى الموقع دون حتى رؤية موقع موفري OpenID الخاص بك.
يضيف مقدارًا غير تجريبي من الوقت للتسجيل
قد يكون هذا صحيحًا حاليًا، ولكن كما قال andyuk، "تصبح هذه مشكلة أقل كلما زاد عدد المواقع التي تدعم OpenID".أتوقع أنه في غضون سنوات قليلة سيكون لدى معظم المستخدمين بالفعل OpenID ويعرفون ما هو.
إحدى الفوائد الكبيرة لاستخدام OpenID فقط من منظور هندسي هو أن تجريد جزء مصادقة بيانات الاعتماد يتيح للمستخدمين اختيار طرق مصادقة أكثر تعقيدًا بكثير من أي شيء قد تكلف نفسك عناء إنشائه لموقعك.نعم، يتم التصيد الاحتيالي بسهولة على بعض موفري خدمة OpenID.من ناحية أخرى، يقوم مستخدمو OpenID الآخرون بتسجيل الدخول باستخدام بطاقات المعلومات أو الرموز المميزة للأجهزة أو التحقق من الهاتف، وهذه هي بيانات الاعتماد التي لا تستطيع يتم التقاطها وإعادة تشغيلها بواسطة المخادع.
مثل غابي واشوب ضعه:
الأشخاص الذين يرغبون في الابتكار في أساليب المصادقة [...] لا يجب أن يكونوا نفس الأشخاص الذين يبتكرون في تقديم الخدمات على الويب (أي واحد من مليون شخص يقومون بتشغيل Mediawiki، وDrupal، وما إلى ذلك).إن "فك الارتباط" بين ابتكار المصادقة وابتكار الخدمة هو أمر ذو قيمة في OpenID.
لذا، باستخدام OpenID، يمكنك أن تقدم لمستخدميك طرق مصادقة أقوى.يتيح لك التجريد تنفيذ واجهة واحدة، وبعد ذلك يمكنك اختيار أي مزود للعمل معه، سواء كان يستخدم كلمات مرور مكونة من ثمانية أحرف في نص واضح أو غرسات عصبية للاستجابة للتحدي.
إنه يشجع المستخدمين على الاشتراك في OpenID، ومعرفة المزيد عنه، ونأمل في نشره بأنفسهم.
يثبت Stack Overflow أن دعم OpenID يمكن أن ينجح.
"يضيف نقطة حرجة لفشل الموقع"
في حالة فشل مزود OpenID في العمل، يجب أن يكون لدى الموقع آلية للسماح للمستخدمين بتسجيل الدخول وإضافة/تغيير موفري OpenID.ربما يمكن للموقع إرسال رابط مؤقت عبر البريد الإلكتروني لتجاوز الأمان حتى يتمكن المستخدمون من الوصول إلى حساباتهم.
"ينقل المستخدم إلى محتوى موقع آخر وفي كل مرة يقوم فيها بتسجيل الدخول إلى موقعك"
يسمح لي مزود OpenID الخاص بي بالثقة في موقع ويب معين، لذلك لا أحتاج حتى إلى عرض موقع الويب الخاص به.
"يضيف مقدارًا غير تجريبي من الوقت إلى عملية التسجيل"
تصبح هذه مشكلة أقل كلما زاد عدد المواقع التي تدعم OpenID.
كمطور ويب، أنا من أشد المعجبين بفكرة OpenID.كتابة رمز المصادقة هو ألم في المؤخرة.كمستخدم للويب، أنا من أشد المعجبين بـ OpenID - للاستخدامات غير المهمة مثل SO والمنتديات وما إلى ذلك - لأنه بمجرد حصولك على المعرف، تصبح هذه طريقة بسيطة جدًا للانضمام إلى موقع ما.
أعتقد، باستثناء بعض الاستثناءات القليلة - مثل مجتمع المطورين - في الوقت الحالي، لا يمكنك فرض OpenID فقط.مستخدم الويب "العادي" (مهما كان معنى ذلك) لا يفهمه.ومع ذلك، فإن الترويج لها في موقع مثل هذا يزيد الوعي بين المطورين، وسوف تنتشر الفكرة في النهاية.ومع ظهور OpenID في المزيد والمزيد من المواقع، سيتطلع الأشخاص إليه، ويدركون أن لديهم واحدًا، ثم يبدأون في استخدامه.لكي يتمكن OpenID - وهي فكرة رائعة - من الانتشار، يجب أن يكون هناك كتلة حرجة من المستخدمين والمواقع التي تدعمه.
في النهاية، سيكون الأمر كما هو، وسوف نتساءل لماذا أنشأنا رمز مصادقة لكل موقع ويب قمنا بإنشائه، أو لماذا قمنا بإنشاء هوية فريدة في كل مكان نذهب إليه على الويب
كما تمت مناقشته في أحد ملفات البودكاست، فإنه يضيف حاجزًا أمام الدخول إلى المتجول من خلال التساؤل عما إذا كان هذا هو المكان الذي يجب عليهم نشر حساب Yahoo!إجابات السؤال.
إنها نخبوية إلى حد ما، ولكن نظرًا لتركيز هذا الموقع على وجه الخصوص، فمن المقبول إلى حد ما إبعاد أي شخص لا يستطيع فهم عملية Open ID، وأي شخص لديه حقًا سؤال حقيقي يحتاج إلى إجابة يمكن أن يكلف نفسه عناء العمل من خلال أي مشقة طفيفة.
من تجربتي مع OpenID، أرى عددًا من الإيجابيات المهمة:
إذا اخترت تسجيل الدخول باستخدام موفر OpenID الموثوق به، على سبيل المثال.Verisign PIP+VIP يمكنك الاستمتاع بمزايا آليات المصادقة SecureID خارج النطاق.وينبغي أن ينظر إلى هذا على أنه الفائدة الرئيسية التي تفوق كل الفوائد الأخرى.لم تعد تثق في أي مصادقة سيئة تعتمد على النموذج موجودة على الموقع الذي تصل إليه، فأنت تثق في Verisign VIP أو أيًا كان اختيارك لموفر OpenID.
حفرة أرنب الإنترنت؟يبدو أن التنفيذ سيئ وأنا لا أعرف ما الذي تشير إليه.
لا يمكنك سرقة تفاصيل المصادقة بسهولة، فمن الممكن جعلها أقرب إلى المستحيل مما لدينا بالفعل!قد تتمكن من خداعي للاعتقاد بأنني أتصل بمزود الخدمة الخاص بي، ولكن لدى شركة Verisign لشخص واحد خيار عدم السماح بعمليات إعادة التوجيه أو قبولها.أرى أن مشكلات التصيد الاحتيالي هذه هي شيء تافه أيضًا، خاصة مرة أخرى إذا قارنتها بفوائد آليات المصادقة خارج النطاق التي يمكنك الحصول عليها من خلال موفر مصادقة OpenID الخاص بك.لنفترض أنك قمت بتصيد تفاصيل مفتاح RSA مرة واحدة، فلن تكون صالحة في المرة التالية أو ربما تكون عديمة الفائدة تمامًا إذا كنت تريد استخدام شهادة المتصفح.
في الختام، OpenID هو مجرد تطور للنظام الحالي، وهو عنوان بريد إلكتروني للتحقق منه.إذا كان حساب بريدك الإلكتروني هو نقطة الفشل الوحيدة الحالية لديك، فنعم، يمكن أن يكون OpenID الخاص بك هو نقطة الفشل الوحيدة الجديدة في الحالة التي لم يعد فيها OpenID الذي تتحكم فيه تحت سيطرتك.لذا، إذا كنت تثق فقط بخادم البريد الإلكتروني الخاص بك، فما عليك سوى استضافة عنوان URL الخاص بـ OpenID الخاص بك.إذا كنت تثق في Gmail، فاستخدم عنوان URL الخاص بـ gmail لمعرف OpenID الخاص بك لأنه بنفس الطريقة، فإنك تثق بالفعل في Gmail باعتباره تسجيل الدخول الموحد (SSO) الخاص بك حيث يمكن لحساب Gmail الخاص بك في النهاية استرداد كلمات مرور حسابك.
إنه أمر لا يحتاج إلى تفكير، ولكن يمكنني أن أرى أن بعض الأشخاص قد يجدون صعوبة في فهم المفاهيم الأساسية لآليات المصادقة.إذا كان بإمكاني تسجيل الدخول باستخدام بطاقة SecureID الخاصة بي (عبر موفر OpenID الخاص بي) إلى موقع لدي حساب عليه، سأفعل ذلك.لذلك إذا كان هذا هو الخيار الوحيد، فسوف أقبله!
يضيف نقطة حرجة لفشل الموقع
يمكن أن تكون نقطة الفشل الحاسمة هذه هي رسالة التأكيد الإلكترونية التي ترسلها، ولكن صندوق بريد المستخدم أ) غير متاح بسبب خطأ مطبعي، ب) ممتلئ أو ج) الموفر "معطل".
يأخذ المستخدم إلى محتوى مواقع أخرى وفي كل مرة يقوم فيها بتسجيل الدخول إلى موقعك
أستطيع أن أرى ذلك، ولكن IMHO - وهذا ليس سيئا للغاية.أعني، ي!يبدو أنها واحدة من أكثر عمليات تسجيل الدخول ازدحامًا كما أنها لا تعمل معي أبدًا.؛) وبغض النظر عن ذلك، فإن معظم موفري OpenID لا يبدون سيئين للغاية (حتى الآن).
أيضًا، ضع جمهورك في الاعتبار.إذا كان Mom و Pop من المستخدمين لديك، فمن المحتمل أن يكون OpenID مربكًا للغاية.ولكن من المحتمل أن يكون هناك الكثير على الإنترنت.في حالة SO، الأشخاص مستخدمون أذكياء إلى حد ما ويعرفون ما يريدون.
يضيف مقدارًا غير تجريبي من الوقت للتسجيل
هذه مسألة غير.انظر إلى قائمة مقدمي الخدمة:http://openid.net/get/
الكثير من الناس لديهم على الأقل حساب Yahoo!الحساب، لذلك إذا كان يعمل فعلا.لن يكون سيئا للغاية.ومع ذلك، أوافق على أنه إذا لم يكن لدى المستخدم OpenID، ولا يعرف الغرض منه.ليس من السهل تثقيفهم.
وفكر في المعنى الضمني - "للتسجيل في الموقع أ، عليك التسجيل في الموقع ب".ونحن نعلم جميعا أن التسجيل في حد ذاته يمثل ألما في المؤخرة.ولكن على المدى الطويل، هذا أيضًا هو بالضبط ما يحاول OpenID معالجته.
في الاتجاه السائد، لا أرى حاليًا أي قيمة لجعل OpenID إلزاميًا.أنا أحب ذلك كإضافة بالرغم من ذلك.كيف يقدم الأشخاص روابط "تسجيل الدخول باستخدام الفيسبوك الخاص بك"، وما إلى ذلك.ومن ثم فإن الأشخاص الذين لا يفهمون الأمر (أو لا يهتمون) لا يحتاجون إلى القلق.ولكن لا يزال بإمكان الآخرين استخدامه.
قد يكون OpenID هو أعظم شيء منذ شرائح الخبز، لكن لم يتم إعطائي أي سبب للثقة "بهم" في هويتي - بخلاف أن جيف أتوود/جويل سبولسكي جعلني أفعل ذلك لكي أكون هنا أشتكي من ذلك؛-)
شيء واحد يجب أن نذكره أيضًا.لديك بالفعل قاعدة مستخدمين باستخدام OpenID، وكل ما عليهم فعله هو تسجيل الدخول.
أنا أؤيد OpenID، وذلك من منظور سهولة الاستخدام بشكل أساسي.لا أزال مقتنعًا بسلامتها، لكن لديها الكثير من الإمكانات.هناك الكثير مما يمكن قوله في هذا الشأن، لكني أردت فقط الرد على النقطتين التاليتين:
يضيف قدرًا غير مستمد من الوقت إلى الاشتراك
فقط في المرة الأولى التي يتم فيها الإعداد.بالإضافة إلى ذلك، مع توفير شركات مثل Yahoo الدعم الآن، لن يضطر الكثير من الأشخاص إلى عناء إعداد OpenID إذا لم يرغبوا في ذلك.إذا استخدمت Google أو أي شخص مشابه لموفر OpenID الخاص بك، فهل ستعتبره غير آمن بطبيعته؟وكم مرة تتوقع منهم أن يتوقفوا عن العمل؟
إنه حلم فيشر
وأنا أقبل أن هذا قد يكون صحيحا جزئيا.لكن أليس التصيد الاحتيالي مشكلة اجتماعية أكثر منه مشكلة تكنولوجية؟يمكن لـ OpenID أن يجعل الأمر أسهل، لكن هذا لا يلغي حقيقة أن المشكلة الحقيقية تكمن في المستخدم.إن توعية المستخدمين بكيفية عمل المتصيدين أكثر أهمية بكثير من محاولة حمايتهم من خلال التكنولوجيا.
يرسلك OpenID على الأقل إلى مزود OpenID الخاص بك لتسجيل الدخول.
كنت أقرأ مدونة على blogspot وهناك رابط لمتابعة هذه المدونة (من المفترض أن يخبرني عند وجود منشورات جديدة) للقيام بذلك، يظهر مربع يطلب اسم المستخدم وكلمة المرور الخاصين بـ Gmail.
حتى على افتراض أن هذا موقع حقيقي وليس موقع تصيد احتيالي - فقد أصبح لديهم الآن (من المحتمل) تسجيل الدخول إلى Gmail الخاص بي، ومستندات Google الخاصة بي، وتطبيقات Google الخاصة بي - كل شيء!
سيتم رؤية الفائدة الرئيسية من الحصول على OpenID على المدى الطويل.بدلاً من الاضطرار إلى التقدم بطلب إلى مواقع مختلفة للحصول على هوية، يمكنك القيام بذلك مرة واحدة ثم استخدامها على جميع المواقع التي تتطلب هوية فريدة.وبطبيعة الحال، بالنسبة للمواقع الآمنة مثل الخدمات المصرفية والتداول، فإنها ستحتاج إلى نوع مختلف من التفكير تمامًا.لكن بالنسبة لمواقع التواصل الاجتماعي وما شابه يمكنك استخدامه بسهولة.
سوف تجد الأم والأب الأمر سهلاً أيضًا لأنه يتعين عليهما الآن تذكر اسم مستخدم/كلمة مرور واحدة فقط.في كثير من الأحيان، يصعب علينا أن نتذكر معلومات تسجيل الدخول التي قمنا بها في أي موقع، وينتهي الأمر باستخدام اسم المستخدم/كلمة المرور الصحيحة للموقع أ على الموقع ب.OpenID سوف يحل ذلك.بالإضافة إلى أنه نموذج إيرادات جيد لموفر ومستخدم OpenID.يمكنني أن أدخل إلى أحد مقدمي الخدمة جميع التفاصيل التي أرغب في تقديمها وكل التفاصيل التي أقدمها يمكنني من خلالها كسب المال.
ربما يستطيع مقدم الخدمة إقناعي بإخباري المزيد عن نفسي باستخدام ذلك كحافز، والذي يمكنه بعد ذلك بيعه للمواقع التي أسجل فيها.لذا فإن الموقع "أ" يدفع لـ OpenID مقابل معلوماتي.يقوم OpenID بعد ذلك بتمرير جزء من ذلك إليّ.لا يتعين على الموقع أ إدارة المستخدمين، يحصل OpenID على المال، ويحصل المستخدم على المال، والجميع سعداء :)
بهذه الطريقة لن تضطر إلى جعل OpenID إلزاميًا.الناس أنفسهم سوف يريدون ذلك.سيتنافس مقدمو OpenID بعد ذلك فيما بينهم لتقديم خدمات أفضل، وحيثما توجد منافسة، ستكون هناك قيمة أفضل مقدمة لجميع المعنيين.أعتقد أنها فكرة رائعة.
يحرر: فيما يتعلق بأوقات التوقف عن العمل في مزود معين؛إذا لم يكن موفر OpenID A واثقًا من توفير وقت تشغيل بنسبة 100%، فيمكنه طلب المساعدة من موفر آخر B، ويمكن للمستخدم على الموفر A الاختيار من بين الخيارات التي يقدمها الموفر A.سيعرف الموقع الذي يذهب إلى الموفر أ لمصادقة المستخدم الموفرين الآخرين الذين سيذهب إليهم في حالة عدم عمل الموفر أ.سيتم تخزين هذا في قاعدة البيانات الخاصة به عند تسجيل الدخول لأول مرة تلقائيًا.هل يريد أي شخص التفكير في تفاصيل التنفيذ؟:)
