open ID

не одобряю, но те кто за мной следит хотели бы чтоб я его юзал.

На ЛОРе не работает - не нужен.

Правильная штука, только общественные провайдеры не нужны, в светлом будующем у каждого будет свой OpenID на локалхосте.

полезная штука. На куче сайтов (которые поддерживают OpenID)

1. использовать один логин/пароль вместо кучи - удобно.
2. можешь посмотреть у провайдера OpenID историю авторизаций.

однако:
придется серьезнее относиться к этому единственному паролю (разумеется, никакой банк и, даже, интернет магазин не будет использовать OpenID авторизацию без дополнительных мер безопасности).
провайдер тоже может посмотреть историю авторизаций.
при заходе на новый сайт, когда тебя перенаправляют на страницу OpenID провайдера для авторизации нужно убедиться, что это не фишинговая страница.

Кроме того из преимуществ. Разные сайты/форумы могут создавать белые списки реальных людей (точно не ботов) и публиковать их. Таким образом, на своем сайте можно воспользоваться белыми списками с доверенных ресурсов (что поможет в борьбе со спамом).

Т.е. за счет того, что эта технология более централизованная, она предоставляет как абсолютно новые возможности, так и создает новые уязвимые места.

Для большей параноидальности в OpenID предусмотрена возможность выбора OpenID провайдера для своего домена. Т.е. без поднятия OpenID сервера на своем домене, можно перенаправлять запросы на авторизацию на выбранного OpenID провайдера. Таким образом достаточно собственного домена, статичной HTML страницы (в которой прописана строчка для редиректа) и вот она - независимость от OpenID провайдера.

> провайдер тоже может посмотреть историю авторизаций

Провайдер вообще может под тобой залогиниться куда угодно.

Даже на SSL?

А SSL тут вообще не при чём. OpenID - это фактически URL, для которого ты можешь доказать, что им "владеешь". А владеет им на самом деле провайдер, просто тебе даёт им попользоваться.

Мне нравится. А то регаться в тыще разных мест надоедает со временем.

Если не доверяешь провайдеру OpenID ты можешь

поставить свой сервер.
использовать OpenID Delegation (достаточно статической HTML страницы)

Провайдеры — для лузеров.
У Ъ собственноручно настроенные серваки.

http://siege.org/projects/phpMyID/

>привет, вечерний ЛОР. как ты относишся к сабжу? как насчет секурности этой штуки?

Мне очень нравится - не нужно держать кучу аккаунтов, например я могу иногда камментить ЖЖ (/me отодвинулся от монитора, тихо, тихо поцыэнты, без истерик) и прочее, имея аккаунт гугловский на блогспоте, и эта авторизация очень удобна.

>достаточно про<неразборчиво>бать пароль на провайдера у которого зареган

Стань провайдером openid сам. если параноик.

Очень удобно, но очень не безопасно, если пользоваться услугами публичного провайдера.
Настолько же не безопасно, как email, jabber и пр.

Часто Вы теряете пароли?

если терять - в смысле "забывать" - то да, бывает и такое, если часто не пользуюсь. а если в смысле "сп-зд-ли" - то еще пока вроде такого не было.

Отличная вещь, просто надо на своём серваке такое держать (как и всё прочее).

свой сервак - всмысле дедик/vps у хостеров или совсем свой, дома?
ибо в первом случае, не вижу особой принципиальной разницы с публичными провайдерами, т.к. вся инфа доступна твоему хостеру, и значит - кровавой гэбне.

> дедик/vps у хостеров

Я думаю, что это уже гораздо надёжнее публичных провайдеров, потому
что качественный хостер заинтересован в обеспечении сохранности твоих
данных.

> кровавой гэбне

Их бояться бесполезно, ведь государству прихлопнуть человека очень
легко в любом случае, будь у тебя хоть свой бункер с сервером. Поэтому
хватит того, чтобы минимизировать круг третьих лиц, от которых ты
зависим — например, свести его к хостеру, провайдеру и государству.

http://www.lorquotes.ru/view-quote.php?id=4147

положительно отношусь, доверяю myopenid.com и яндексу

не одобряю, но те кто за мной следит хотели бы чтоб я его юзал.

Уж сколько раз твердили белке: боишься слежки - держи свой сервер! Но всё как об стену орехи...