Является ли OpenID порочной концепцией?

StackOverflow https://stackoverflow.com/questions/263094

  •  06-07-2019
  •  | 
  •  

Вопрос

Я не спрашиваю о конкретных реализациях, я не спрашиваю о глобальном мировоззрении механизмов единого входа между сайтами, я просто хочу знать, что сообщество думает о базовом удобстве OpenID.Считаете ли вы, что использование URL-адреса, выданного (нетехническому наблюдателю) случайным набором провайдеров вместо реального имени пользователя, - это то, что люди предпочтут?Если нет, то есть ли у кого-нибудь механизм получше?Если возникнет достаточный интерес, я перейду к более общему вопросу единого входа.

Нет правильного решения

Другие советы

нет.

Я не думаю, что это в корне порочная система.С точки зрения удобства использования я бы сказал, что это ущербно, поскольку это отклонение от нормы, и к нему труднее привыкнуть, т.е.URL вместо имени пользователя, необходимость выбора поставщика услуг.Но я думаю, что это единственные проблемы, и могут быть и уже делаются вещи, которые их улучшают (изменения удобства использования на страницах входа в систему, Yahoo и Google повышают осведомленность об этой идее).

Кроме того, я думаю, что это отличная система:

  • Я помню одну комбинацию паролей с идентификатором учетной записи (мне не нужно полагаться на программные решения многих проблем с идентификатором-> паролем).
  • Мне не нужно заполнять форму, когда я захожу на новый веб-сайт, и ждать подтверждения по электронной почте при регистрации.
  • Если я не доверяю поставщику OpenID, я могу относительно легко стать своим собственным поставщиком, что лично я считаю большим достижением для стандарта.Сделать что-то настолько универсальное и (AFAIK) легкое для меня - это действительно нечто.
  • Это отделяет ответственность за создание веб-сайта от хранения паролей и обеспечения безопасности, когда обе задачи становятся все более сложными.
  • На самом деле я мало что знаю об этом следующем пункте, но я думаю, что очень просто использовать одну учетную запись OpenID для размещения нескольких персон, которые могут использоваться для разных веб-сайтов, например"это мой рабочий образ, это то, что я представляю, когда подписываюсь ilovemyjob.com.А это мой друг, я использую его для facebook ", и к разным персонажам привязана разная информация.Как я уже сказал, я мало что знаю о том, как это делается, или почему именно это было бы полезно...но я выясню, для чего это может быть полезно.

Вот примерно те основные преимущества, которые я вижу в OpenID.Что касается недостатков, то есть аспект удобства использования, который, я признаю, является проблемой.Другой основной момент, который люди используют для критики OpenID, заключается в том, что если учетная запись скомпрометирована, то скомпрометированы многие логины.На мой взгляд, это ничем не хуже нынешней системы привязки электронных писем к учетным записям, которые могут быть аналогичным образом скомпрометированы и использоваться для функции "забыли свое имя пользователя?" на многих веб-сайтах.Я также хотел бы отметить, что OpenID не предназначен для решения этой проблемы - это решение проблемы с несколькими идентификаторами / паролями.Однако наличие одного пароля дает более широкую лицензию на постоянное обновление его для дополнительной безопасности - без необходимости полагаться на то, что программное обеспечение запомнит его за вас или будет постоянно забывать.

Итак, у OpenID есть свои проблемы, но я бы сказал, что это хорошее решение проблемы с несколькими идентификаторами / паролями.

Ссылки:
Интересный разговор в Google на эту тему

ДА.

Во-первых, выбрать поставщика услуг довольно сложно.Если бы я был менее опытным пользователем, я бы спросил: "Почему мне нужно делиться своей информацией с X, чтобы использовать сайт, управляемый Y?" А затем, как только вы справитесь с этим, вам придется выбрать, кому доверить свою информацию.Лично я выбрал Verisign, потому что доверяю Verisign.Но некоторые люди, возможно, никогда не слышали о некоторых из этих поставщиков и были бы не в состоянии принять обоснованное решение.

Во-вторых, войти в систему довольно сложно.Вместо того, чтобы вводить имя пользователя, я должен ввести URL-адрес (хотя StackOverflow упрощает задачу, когда вы выбираете провайдера и имя пользователя вашего провайдера, и он создает URL-адрес для вас).

В-третьих, если мой OpenID скомпрометирован, то все учетные записи на сайтах, на которых я использую OpenID, также скомпрометированы.Некоторые люди предлагают использовать несколько OpenID, чтобы преодолеть это, но я думаю, что это сводит на нет всю цель OpenID.

Я не понимаю тоску по OpenID.

Мой опыт входа на этот сайт (по общему признанию, единственный открытый идентификатор, с которым мне приходилось иметь дело) был прост. Я увидел, что требуется OpenID, и я смутно понимал, что мой вход на сайт будет делегирован кому-то, кому я доверял и у которого уже есть идентификатор. Только вот, была ссылка на провайдера моего текущего провайдера электронной почты. Нажмите, следуйте за процессом, который был достаточно простым, что я даже не помню, как делал это.

Теперь, когда установлено соединение с открытым идентификатором, это не сложнее, чем на любом другом сайте, с которым я имею дело, и магия в том, что мне не нужно было добавлять еще одну учетную запись на сайт, который Я понятия не имел, что собираюсь использовать когда-либо снова, и, вероятно, забуду имя пользователя или пароль.

Мне нравится, концепция и исполнение.

Я уже говорил это раньше и, вероятно, скажу это снова, но идея URL - это принципиально ошибочная идея. Они должны были использовать формат адреса электронной почты или Jabber в формате username@service.com. Это позволило бы существующим провайдерам электронной почты предлагать идентификатор, не требуя от пользователя запоминать некоторые загадочные URL-адреса.

Нет, я не верю, что OpenID является ошибочной концепцией.

Если вы посмотрите на историю OpenID, то изначально она позволяла людям сопоставить себя через URL-адрес, который они имели в блогах. Эта идея была расширена и стала системой единого входа, которой она является сегодня.

Я бы сказал, что OpenID идеально подходит для веб-сайтов, на которых нет учетных записей пользователей, для хранения основной информации, которая не считается важной для конечного пользователя. Таким образом, сайт комиксов, который помогает с оценками вашей коллекции комиксов, может быть хорошим примером. Потому что, как конечный пользователь OpenID, вы можете войти на сайт (не создавая другое имя пользователя / пароль - которое может отличаться от любого другого, созданного вами из-за существующих пользователей в системе) и проверить, как они работают. Если вам это нравится, то вы можете продолжать использовать систему в обычном режиме. Или, если вы не полностью очарованы сайтом, но решили проверить их позже, тогда вместо попытки вспомнить, какую комбинацию имени пользователя и пароля вы использовали для сайта, на который, по вашему мнению, вы не могли бы вернуться, это может разочаровать. OpenID идеально подходит для таких ситуаций.

При этом я лично не использовал бы OpenID для входа в свой банковский счет из-за многих вещей, которые были заявлены о безопасности перенаправлений. Однако многое из этого меняется, и есть большой прогресс в повышении безопасности OpenID посредством обмена атрибутами ( особенно в Японии ).

Еще одно замечание, о котором многие не знают, это то, что вам не нужно использовать URL, чтобы иметь OpenID, есть технология, которая называется i-names , который больше похож на имя пользователя, т.е. мое i-name - " = true " ;, это может быть намного проще, чем вводить что-то вроде " http://true.myopenid.com " ;. Стоимость отдельных i-имен составляет 12 долларов США в год, поэтому для некоторых людей это может стать препятствием, однако бесплатно альтернативы существуют, если вы хотите поиграть с ними.

На последнем замечании OpenID продвигает идею об открываемости (если это слово). Эта концепция, казалось, сидела чуть ниже поверхности. Обнаружение похоже на социальную сеть на уровне протокола, если вы могли бы :). тонн работы, выполняемой в этой области , который, я думаю, приведет к лучшей реализации OpenID или, по крайней мере, к идее OpenID. Что, надеюсь, приведет к улучшению интернета для всех нас.

Отказ от ответственности Я в комитете XRI TC и запускаю стартап, специализирующийся на продаже и предоставлении услуг вокруг XRI.

FreeXRI - это не стартап, с которым я связан.

Google, похоже, так считает. Их недавний вход в пространство OpenID и немедленная последующая ветвь протокола имеют две причины, чтобы сказать об этой проблеме:

<Ол>
  • OpenID полезен, особенно когда он привязан к сайтам с очень большим количеством пользователей для использования с сайтами, которые могут поддерживать большое количество пользователей и, вероятно, не будут их рисовать. Зачем изобретать колесо в системе аутентификации, если кто-то вроде Google или тех, кто работает с OID, уже покрыл это?
  • OpenID в его нынешнем виде является грязным, так как люди уже имеют большое количество разных имен пользователей со многими участвующими провайдерами. Тем не менее, у многих пользователей была прекрасная возможность, когда GMail пришел, чтобы получить собственное имя в качестве своего адреса электронной почты, и иметь довольно бесконечное количество учетных записей, которые они могут создать. Похоже, Google считает, что их системы учетных записей достаточно для всех пользователей Open ID. Я бы, наверное, согласился с этим.

    • Не лучше ли встроить подобные вещи в браузер?

    Например, вы вводите свои личные данные в настройках браузера. Затем сайт может запросить личные данные с помощью вызова JavaScript, и браузер покажет вам диалоговое окно с запросом подтверждения. Конечно, JavaScript API должен быть стандартизирован.

    Таким образом, пользователю не нужно нигде регистрироваться, и вся его личная информация хранится на его собственной машине. Кроме того, подтверждающие сообщения будут выглядеть как остальная часть вашей операционной системы, а не как какой-то веб-сайт, которому вы можете не доверять.

    Я не думаю, что это ошибочная концепция. Я просто думаю, что это ново, и люди к этому не привыкли.

    Но OpenID следует использовать в в сочетании с локальной системой регистрации , чтобы у пользователя был выбор. Сказать пользователю перейти на X.com для регистрации, а затем вернуться на свой сайт после - это просто глупо и сбивает с толку. Но если у пользователя уже есть учетная запись GMail / AOL / YMail / etc, то позволить ему использовать его очень удобно.

    Я думаю, что мы, как разработчики, должны использовать специализированные формы входа. То есть вместо " введите свой OpenID URL " это должно быть стандартное " введите свое имя пользователя " и они могут выбрать Gmail / AOL / YMail / и т.д., и за кулисами мы создаем URL. Идея, что URL-адрес является именем входа, немного отсталый, поэтому помощь людям с переходом приветствуется.

    Думаю, что с такими вопросами лучше быть более конкретными, чем общими.

    На ваш вопрос, я не думаю, что это недостатки, но вы правы, что это может не понравиться некоторым. Однако, как только люди поймут это, как они это поймут, они могут больше использовать это. Конечно, лучше запомнить меньше паролей, так как в итоге они становятся слабее, чем должны быть.

    В таком сценарии вам необходимо иметь уникальный идентификатор пользователя. Другим вариантом может быть действительный адрес электронной почты, но что тогда со спамом.

    Поэтому я предпочитаю основанный на URL UserID. И для меня удобство использования с OpenID (в моем случае myOpenId) отлично.

    Я думаю, что некоторые реализации OpenID оставляют желать лучшего.

    Я предполагал, что Yahoo понял бы это правильно, но их микро-сайт OpenID (информация и реализация), на мой взгляд, мусор. Макет сбивает с толку, они не дают понять, как open-id относится к стандартной учетной записи Yahoo.

    Как только я выяснил, какой экран необходим для запуска моего запроса на вход в систему, Yahoo выпустила подпись OpenID, которая содержала рандомизированную строку. Это не было принято stackoverflow. Мне пришлось создать новый псевдоним, который также должен был быть выбран по умолчанию. Я думаю, что без такого же упрямого желания решить эту проблему многие пользователи сдались бы.

    По моему мнению, должны быть разработаны более строгие руководящие принципы для реализации, и кампания должна быть широко освещена для просвещения потенциальных пользователей.

    Может быть, эта технология может быть включена в реализацию браузера?

    ДА.

    По-прежнему выполняется несколько входов в систему.Я должен пойти и войти в систему к своему провайдеру OpenID, затем я должен зайти на сайт и снова войти в систему с URL OpenID.Никто не хочет делать больше работы, а OpenID - это намного больше работы.

    Я не знаю никого, кто не работал бы в компьютерной сфере, использующей OpenID.OpenID по-прежнему слишком сложен.Среднестатистического пользователя не нужно путать с другим уровнем абстракции.

    Существует также проблема отслеживания того, куда заходят пользователи OpenID.Я использую VeriSign, надежное имя, но как насчет тех, кто пользуется услугами менее надежных поставщиков?Нет, я не собираюсь называть имен и начинать пламенную войну.

    Есть ответ получше, он называется РобоФорм (или одна из многих подделок).Все пароли и имена пользователей хранятся на их компьютере и зашифрованы.Он прост в использовании, безопаснее и быстрее.

    Я думаю, что есть аспекты OpenID, которые создают проблемы с юзабилити для многих пользователей, но, вероятно, могут быть решены с помощью улучшений пользовательского интерфейса. Например, URL практически непригоден для большинства пользователей. Но нет причины, которую нельзя абстрагировать, поэтому пользователь просто выбирает своего провайдера и вводит имя пользователя, которое он использует у этого провайдера. Более того, необходимость заходить в отдельное место для входа в систему - огромная проблема с юзабилити, и она по праву ставит красные флажки пользователям о том, какие данные они кому предоставляют. Это будет гораздо сложнее решить.

    Разве это не скомпрометирует личность человека, если он будет украден или утерян? Это моя главная забота. Анонимность имеет как преимущества, так и недостатки. Я верю в то, чтобы иметь и то, и другое. У меня есть близкие друзья, которые боятся присоединиться к сообществу Facebook из-за того, что оно настолько открыто, что становится легкой целью, если база данных подвергнется атаке.

    Я не хочу, чтобы какая-то другая система имела мои идентификаторы для моих приложений.

    Я получаю понятие более простым для пользователя и более единообразным.

    Тем не менее, UserID настолько важен для посетителей сайта, что вы не хотите класть все яйца в одну корзину (Microsoft Passport, OpenID и т. д.). Если что-то изменится, вы испортили все свои учетные записи.

    Идея прекрасна, однако дизайн позволяет использовать уязвимости в безопасности ...

    Лицензировано под: CC-BY-SA с атрибуция
    Не связан с StackOverflow
    scroll top