привет, вечерний ЛОР. как ты относишся к сабжу? как насчет секурности этой штуки? ведь, как я понимаю, достаточно про<неразборчиво>бать пароль на провайдера у которого зареган, и все..
полезная штука. На куче сайтов (которые поддерживают OpenID)
1. использовать один логин/пароль вместо кучи - удобно.
2. можешь посмотреть у провайдера OpenID историю авторизаций.
однако:
придется серьезнее относиться к этому единственному паролю (разумеется, никакой банк и, даже, интернет магазин не будет использовать OpenID авторизацию без дополнительных мер безопасности).
провайдер тоже может посмотреть историю авторизаций.
при заходе на новый сайт, когда тебя перенаправляют на страницу OpenID провайдера для авторизации нужно убедиться, что это не фишинговая страница.
Кроме того из преимуществ. Разные сайты/форумы могут создавать белые списки реальных людей (точно не ботов) и публиковать их. Таким образом, на своем сайте можно воспользоваться белыми списками с доверенных ресурсов (что поможет в борьбе со спамом).
Т.е. за счет того, что эта технология более централизованная, она предоставляет как абсолютно новые возможности, так и создает новые уязвимые места.
Для большей параноидальности в OpenID предусмотрена возможность выбора OpenID провайдера для своего домена. Т.е. без поднятия OpenID сервера на своем домене, можно перенаправлять запросы на авторизацию на выбранного OpenID провайдера. Таким образом достаточно собственного домена, статичной HTML страницы (в которой прописана строчка для редиректа) и вот она - независимость от OpenID провайдера.
А SSL тут вообще не при чём. OpenID - это фактически URL, для которого ты можешь доказать, что им "владеешь". А владеет им на самом деле провайдер, просто тебе даёт им попользоваться.
>привет, вечерний ЛОР. как ты относишся к сабжу? как насчет секурности этой штуки?
Мне очень нравится - не нужно держать кучу аккаунтов, например я могу иногда камментить ЖЖ (/me отодвинулся от монитора, тихо, тихо поцыэнты, без истерик) и прочее, имея аккаунт гугловский на блогспоте, и эта авторизация очень удобна.
>достаточно про<неразборчиво>бать пароль на провайдера у которого зареган
свой сервак - всмысле дедик/vps у хостеров или совсем свой, дома?
ибо в первом случае, не вижу особой принципиальной разницы с публичными провайдерами, т.к. вся инфа доступна твоему хостеру, и значит - кровавой гэбне.
Я думаю, что это уже гораздо надёжнее публичных провайдеров, потому
что качественный хостер заинтересован в обеспечении сохранности твоих
данных. > кровавой гэбне
Их бояться бесполезно, ведь государству прихлопнуть человека очень
легко в любом случае, будь у тебя хоть свой бункер с сервером. Поэтому
хватит того, чтобы минимизировать круг третьих лиц, от которых ты
зависим — например, свести его к хостеру, провайдеру и государству.