Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Nove tehnologije
Objavljeno: 29.4.2008 10:10 | Avtor: Marko Hölbl | Monitor April 2008 | Teme: google

Mobilna identiteta - OpenID

Na spletnih straneh, v forumih, klepetalnicah in drugih internetnih storitvah se vsak dan srečujemo z velikanskim in neobvladljivim številom uporabniških imen in gesel. Zaradi take poplave zahtev gesla in uporabniška imena na vseh straneh izbiramo bolj ali manj enako. Poskusi reševanja te zagate niso novi - omenimo le Microsoft s tehnologijo Passport, ki se je kasneje preimenovala v Microsoft Windows Live ID. Vendar se nobena izmed rešitev ni uveljavila, predvsem zaradi sumničavosti uporabnikov do podjetij, ki ponujajo te tehnologije. Ali je tudi OpenID le še en poskus, ki bo spodletel?

Open ID je odprtokodni projekt, ki razvija decentralizirano ogrodje za prijavo na različne spletne strani z enim uporabniškim imenom in geslom. Tako se uporabnikom na različne spletne strani, v forume ipd. ni treba prijavljati z različnimi uporabniškimi imeni in gesli, temveč zadostuje enotno uporabniško ime in geslo. Velikokrat je uporabniško ime, ki si ga želimo, že zasedeno ali pa je geslo, ki smo ga vnesli, preveč preprosto oziroma prekratko. In tudi to naj bi rešil OpenID.

Microsoft je v preteklosti s svojo tehnologijo Passport (zdaj Microsoft Windows Live ID) že poskušal ponuditi podobno rešitev za enkratno prijavo, vendar je poskus spodletel predvsem zaradi centraliziranosti storitve. Nihče si ni želel, da bi imel Microsoft možnost spremljati uporabnikove navade in da bi morebiti imel možnost prijave v uporabniške račune, ki smo jih naredili z Windows Live ID. Nato je prišel OpenID. Trenutno ga uporablja več kot 100 milijonov uporabnikov, njihovo število pa se hitro povečuje. Podpirajo ga vsi večji "igralci" v tem poslu, kot so AOL, Yahoo! in drugi. Tudi Google je napovedal celovito podporo, prav tako Microsoft. Yahoo! je konec januarja 2008 podprl OpenID v svojih storitvah, s tem pa se je število uporabnikov OpenID-ja povečalo za 248 milijonov.

OpenID uporabljajo številni ponudniki storitev spletnega dnevnika, kot so LiveJournal, Wordpress.com in Blogger. Tudi slovenski ponudniki spletnih storitev, kot ma.tija.cc ali www.obutimacek.com, podpirajo prijavo z OpenID. Mogoče ga je pridobiti prek ponudnikov, kot so MyOpenID.com ali LiveJournal.com. Na voljo je tudi slovenski ponudnik mojID.com, za katerega skrbijo v Domenci.

Prijava na spletni stran WikiTravel ob pomoči OpenID.

Povoji OpenID segajo v leto 2005, ko je Brad Fitzpatrick, sodelavec spletne strani LiveJournal.com, prvi prišel na zamisel, iz katere se je razvil standard OpenID. Kasneje je OpenID v standard vpeljal Light-Weight Indetity podjetja NetMesh, komunikacijski protokol za odkrivanje storitev digitalnih identitet Yadis, protokol Sxip DIX organizacije IETF in odprti standard za digitalni identitete, ki omogoča deljenje virov in podatkov med domenami XRI (eXtensible Resource Identifier). Slednjega je razvila skupina XRI Technical Committee organizacije OASIS.

Na začetku poti OpenID se je skupina podjetij odločila, da ponudi nagrado v višini 5000 dolarjev za vsakega izmed desetih najboljših odprtokodnih projektov, ki bodo vpeljali podporo OpenID. Temu so botrovale predvsem izkušnje Microsofta z njihovo sorodno tehnologijo Windows Live ID.

Spletna stran LiveJournal.com, ki je tudi ponudnik identitete OpenID.

Pred kratkim je bila sprejeta specifikacija OpenID 2.0, ki uporablja prej omenjeni protokol za odkrivanje Yadis. Tako je OpenID prerasel v kompletno ogrodje, ki bo poleg overjanja ponudilo tudi druge storitve.

Izdelava uporabniškega imena tipa OpenID.

Kako deluje in kje ga uporabiti

Delovanje OpenID je najpreprosteje prikazati s shemo. Uporabnik se prijavi na spletno stran, ki podpira OpenID, tako da vnese svoj OpenID v obliki URL; npr. mojid.com/monitor (1). Spletna stran ob pomoči OpenID v obliki URL identificira ponudnika OpenID prek protokola YADIS; v našem primeru mojid.com (2). Obe strani ustvarita skupno skrivnost (ob pomoči Diffie-Hellmanovega protokola za izmenjavo ključev) in tako overita druga drugo; zagotovita, da sta spletna stran in ponudnik OpenID res tista, za katera se izdajata (3). Spletna stran uporabnika preusmeri k ponudniku OpenID in tam se ta prijavi (4), (5) in avtorizira spletno stran, da pridobi od ponudnika uporabniško ime in morebitne druge podatke (el. naslov, ime, priimek, naslov ...). Na koncu ponudnik uporabnika preusmeri na prvotno spletno stran (6), (7).

Shema delovanja OpenID.

Vprašanje, ki se nam poraja, je, kako OpenID dosega decentraliziranost? Decentraliziranost pri OpenID pomeni, da si lahko vsakdo ustvari svoj OpenID, saj gre za preprost naslov URL. Tako lahko uporabnik, ki registrira domeno priimek.com, uporablja to domeno kot svoj OpenID. Domeno je mogoče uporabiti za prijavo na katerokoli spletno stran, ki podpira OpenID, saj je lastnik domene edini, ki ima nadzor nad to domeno, torej je tudi edini, ki lahko uporabi omenjeno identiteto. Uporaba lastne domene za vzpostavitev OpenID je preprosta. Za to uporabimo ponudnika OpenID ali pa sami vzpostavimo svojega. Ponudniki, ki lahko gostijo vaš OpenID, so:

  • LiveJournal, livejournal.com

  • VeriSign Labs, https://pip.verisignlabs.com

  • MyOpenID, www.myopenid.com

    • Če že imate odprt račun pri enem izmed ponudnikov, si lahko naredite svoj OpenID. Možno je tudi zamenjati ponudnika (gostitelja), vendar morate slediti postopku, ki ga bomo opisali.

    Če je naš gostitelj LiveJournal.com, moramo na svoji spletni strani (domeni) v glavo (<head>) dokumenta index.htm(l) dodati dve vrstici:

    <link rel="openid.server" href=" www.livejournal.com/openid/server.bml">

    <link rel="openid.delegate" href=" priimek.com/">

    Prva se nanaša na ponudnika (gostitelja) OpenID, druga na OpenID (domeno oziroma spletno stran). Omenjeni mehanizem, ki ga imenujemo delegiranje, omogoča decentraliziranost. Če ne zaupamo trenutnemu ponudniku, ga lahko seveda zamenjamo. Pri tem moramo spremeniti le prvo od zgornjih dveh vrstic na naši spletni strani.

    Identiteta OpenID, narejena pri ponudniku MojID.com.

    Dobre in slabe plati OpenID

    Kakor vsaka tehnologija ima tudi OpenID svoje prednosti in slabosti. Omenimo lahko naslednje prednosti njegove rabe:

  • Veliko nas (uporabnikov) že ima OpenID, saj smo se registrirali na spletni strani, ki podpira OpenID (LiveJournal, AOL).

  • Preprostost rabe in upravljanja identitet.

  • Vsako spletno stran je mogoče pretvoriti v ponudnika OpenID.

  • Decentraliziranost - tehnologija OpenID ni v lasti podjetja (kot je MS Windows Live ID).

  • Razširljivost - uporabnik si lahko na svojem računu OpenID ustvari več vlog; za domačo rabo, za službo, za prijavo na forume ipd. Z vlogo določimo, katere podatke bomo posredovali.

  • Varnost - onemogočeni so napadi vrste "man-in-the-middle".

    • Avtorizacija spletne strani WikiTravel.org pri ponudniku OpenID mojId.com.

    Med slabosti OpenID sodijo:

  • Ne omogoča uporabe na vseh spletnih straneh, vendar se število takih strani nenehno povečuje.

  • Če imate OpenID v svojem strežniku, napadalci ob morebitnem vdoru dobijo dostop do vseh strani, na katerih uporabljate OpenID.

  • Možnost napada z ribarjenjem (angl. phishing) - zaradi preusmeritev je mogoče, da nam spletna stran imitira ponudnika OpenID in nam prikaže obrazec, na katerega vpišemo svoje geslo. Tako napadalec pridobi naše geslo in možnost dostopa do vseh strani, povezanih z OpenID. Da bi preprečili napad z ribarjenjem, lahko namesto preusmeritve pozovemo uporabnika, naj ročno vnese naslov svojega ponudnika, se tam prijavi in nato vrne na prvotno stran, kjer bo samodejno prijavljen.

  • Navezanost na domeno - če imamo svojo domeno in svoj OpenID, izgubimo OpenID in z njim povezane račune, če izgubimo domeno oziroma spletno stran. Težavo se poskuša rešiti s storitvami i-name in i-number; i-name se nanaša na gostitelja (angl. host) in i-number na IP naslov. Tako naj bi bilo mogoče, da bi obdržali OpenID tudi, če izgubimo domeno.

  • Prijavni proces lahko zmede uporabnika, saj ga preusmerja med spletno stranjo in ponudnikom OpenID.

    • Pogled v prihodnost

    Decembra lani je bila sprejeta specifikacija OpenID 2.0, ki zajema OpenID Authentication 2.0 in OpenID Attribute Exchange 1.0. Prinaša novosti, kot so neposredne identitete, podpora protokolu XRI, razširitve (angl. extensions) in izmenjavo atributov. Koncept neposrednih identitet omogoča dve vrsti overjanja uporabnika. Prvi je enak kot doslej - uporabnika preusmerimo k ponudniku OpenID in tam se mora identificirati; nato ga preusmerimo nazaj na prvotno spletno stran. Drugi pristop omogoča uporabniku izdelavo t. i. aliasov in s tem spletnim stranem otežuje vzpostaviti korelacijo (otežimo sledenje in zapisovanje uporabnikovih prijav). Podpora protokolu XRI pomeni, da se identitete uporabnikov prenašajo standardizirano. Ena izmed slabosti OpenID 1.0 je bil prav problem prenosa atributov uporabnika. OpenID 2.0 omogoča, da ponudnik spletni strani samodejno posreduje večje količine podatkov. Kot zadnjo izboljšavo naj navedemo standardizacijo oziroma podporo razširitvam v OpenID 2.0. Sicer je bilo mogoče vgraditi razširitve že v OpenID 1.0, vendar ne standardno. Yahoo!, kot eden novejših podpornikov OpenID tako podpira prav OpenID 2.0, ne pa tudi OpenID 1.0. S specifikacijo OpenID 2.0 se bo njegova priljubljenost verjetno še povečala.

    Yahoojeva podpora OpenID (2.0).

    Za konec

    OpenID je precej zanimiv pristop k upravljanju in obvladovanju identitet v internetu. Za razliko od konkurenčnih rešitev (Microsoft Windows Live ID) je OpenID odprt standard, ki stremi k decentraliziranosti. Podpora vse večjih "igralcev" v spletu (AOL, Yahoo, Google, Microsoft ipd.) mu zagotavlja dobro zaledje. Vendar je njegovo prihodnost težko napovedati. Kljub temu pa tudi, če uporabljamo OpenID, ne smemo slepo verjeti in avtorizirati prav vsake spletne strani, ki bi hotela uporabljati podatke našega OpenID računa. Hkrati pa moramo biti pozorni predvsem na napade ribarjenja, saj ti pomenijo največjo grožnjo. Čas bo prinesel odgovor na vprašanje, ali se bo OpenID uveljavil ali ne.

    Koristne povezave:

  • mojID.com, www.mojid.com

  • OpenID Europe, www.openideurope.eu

  • OpenID, openid.net

  • OpenID.si, www.openid.si

  • Priljubljenost OpenID-ja po državah, google.com/trends?q=openid&ctab=0&geo=all&date=all

  • Seznam izvedb OpenID, OpenID Enabled, openidenabled.com

  • Seznam slovenskih spletnih mest, ki podpirajo Open ID prijavo, blog.mojid.com/direktorij

  • Simon Willison's Weblog on OpenID, simonwillison.net/tags/openid

  • Where can I use my OpenID?, openid.net/where

  • Yahoo! No More Password Profusion!, www.fool.com/investing/general/2008/01/17/yahoo-no-more-password-profusion.aspx

  • Yahoo! OpenID, openid.yahoo.com

    • Microsoft je v preteklosti s svojo tehnologijo Passport (zdaj Microsoft Windows Live ID) že poskušal ponuditi podobno rešitev za enkratno prijavo, vendar je poskus spodletel predvsem zaradi centraliziranosti storitve. Nihče si ni želel, da bi imel Microsoft možnost spremljati uporabnikove navade in da bi morebiti imel možnost prijave v uporabniške račune, ki smo jih naredili z Windows Live ID.

    Na voljo je tudi slovenski ponudnik mojID.com, za katerega skrbijo pri Domenci.

    Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

    Komentirajo lahko le prijavljeni uporabniki

    Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
     
    • Polja označena z * je potrebno obvezno izpolniti
    • Pošlji

    Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


    Več o piškotkih in nastavitve piškotkov