Au detail pres que OpenID est par exemple, très bien pour initier une liaison OAuth quand un des deux pairs ne peut présenter un certificat SSL vérifiable facilement ( comprendre non autosigné et non signé auprès d'une autorité nécessitant d'installer des trucs dans le navigateur ).
SSL vérifiable des deux cotés => OpenID ne sert à rien et on peut faire directement du OAUTH
SSL au mieux pour un des deux cotés => OpenID apporte une solution pour établir un échange plus fiable en évitant certaines lourdeurs.
et OpenID + mOTP/OATH + SSL vérifiable => OP "robuste".
sinon une correction pour l'article qui patche la faille monumentale sur OpenID, avec XRDS on peut présenter un autre URL que l'URL qui n'est présenté nul part ailleurs.
explication : le protocole OpenID 2 inclut une resolution XRDS.
en pratique :
quand on dit etre dépendant de l'OP "mon.exemple.com", une requete HTTP avec un "Accept: XRDS" est faite vers mon.exemple.com qui devra retourner un fichier XRDS du genre
<Service priority="10">
<Type>http://specs.openid.net/auth/2.0/signon</Type>
<URI>http://www.myopenid.com/server</URI>
<LocalID>http://example.myopenid.com/</LocalID>
</Service>
et tu sera redirigé vers example.myopenid.com qui te présentera comme mon.exemple.com auprès du consumer.
quant aux reproches sur OpenID dans ton lien, on retrouve :
- les raisons qui font la force de FaceBook ( " on s'en fout de controler son identité ! FaceBook c trop cool ! tous mes potes sont sur facebook ! " ) et qui ont fait la force de MSN ( "on s'en fout que cela soit pas libre ! MSN c trop cool ! personne n'utilise XMPP ! " ),
- la méconnaissance du checkid_immediat qui permet de mettre en oeuvre un "remember me" et eviter les va et viens dans l'UI meme après 6 mois d'absence, meme après expiration du cookie.
OpenID N'est PAS une UI, PAS un scénario/workflow.
OpenID est juste une lib, un protocole.
si il y a une mauvaise expérience pour les personnes utilisatrices, alors le probleme est au niveau du scénario ou de l'UI pas du protocole.
OpenID est implémentable en JS, on pourrait même mettre un OP dans le navigateur en s'arrangeant un peu. ( il me semble meme que cela existe déjà dans FF sous forme d'extensions ).
Le soucis principal que je vois, est que les gars derrières ont poussé une technologie "ouverte en théorie" mais qui en pratique a été maintenu fermée par des artifices, les meilleurs faisceaux de preuves sont les libs libres non maintenu depuis plusieurs années alors qu'ils maintiennent le produit non libre commercialisé, et les gars du board de la fondation OpenID soient en partie ceux de JanRain le vendeur de solutions.
Maintenant au niveau pratique, si on utilise par exemple, Google en tant que OP, c'est transparent et sans soucis et l'on peut meme présenter une identité exemple.com sans faire apparaitre la moindre référence explicite à google ! ( encore merci à XRDS, XRI et .well-known ;) ).
Au sein d'une entreprise, OpenID permet aussi de déployer des techno buzzword du net 2.0 comme des blogs ou des wikis sans avoir à maintenir des millions d'identités si l'on fait le produit collaborateurs x services autonomes.
sinon de manière ironique, le couple OpenID + Attribute Exchange, permet d'informer de l'avatar que l'on souhaite utiliser au moment de sa connexion ... mais encore une fois, si personne n'a pensé à faire un OP libre et correct, la confusion entre ce que fait le protocole OpenID 2 et le scénario non-fonctionnel actuel continuera de régner.
dans la liste des AX connus ( meme si axschema.org est mort cf. https://linuxfr.org/users/mouns/journaux/openid-mon-amour ), on trouve pelle-melle : Email, XMPP, photos, "texte de présentation", langues, timezone, blogs, sites, ... et le protocole précise qu'il est possible à chaque fois d'accepter, refuser, adapter la transmission pour chaque attribut au cas par cas.
en gros, il manque un OP libre et cool pour que OpenID montre son potentiel.
[^] # Re: C'est quoi le problème OpenID
Posté par Mouns . En réponse au journal État des lieux d'un internet décentralisé. Évalué à 5.
Au detail pres que OpenID est par exemple, très bien pour initier une liaison OAuth quand un des deux pairs ne peut présenter un certificat SSL vérifiable facilement ( comprendre non autosigné et non signé auprès d'une autorité nécessitant d'installer des trucs dans le navigateur ).
et OpenID + mOTP/OATH + SSL vérifiable => OP "robuste".
sinon une correction pour l'article qui patche la faille monumentale sur OpenID, avec XRDS on peut présenter un autre URL que l'URL qui n'est présenté nul part ailleurs.
explication : le protocole OpenID 2 inclut une resolution XRDS.
en pratique :
quand on dit etre dépendant de l'OP "mon.exemple.com", une requete HTTP avec un "Accept: XRDS" est faite vers mon.exemple.com qui devra retourner un fichier XRDS du genre
<Service priority="10">
<Type>http://specs.openid.net/auth/2.0/signon</Type>
<URI>http://www.myopenid.com/server</URI>
<LocalID>http://example.myopenid.com/</LocalID>
</Service>
et tu sera redirigé vers example.myopenid.com qui te présentera comme mon.exemple.com auprès du consumer.
quant aux reproches sur OpenID dans ton lien, on retrouve :
- les raisons qui font la force de FaceBook ( " on s'en fout de controler son identité ! FaceBook c trop cool ! tous mes potes sont sur facebook ! " ) et qui ont fait la force de MSN ( "on s'en fout que cela soit pas libre ! MSN c trop cool ! personne n'utilise XMPP ! " ),
- la méconnaissance du checkid_immediat qui permet de mettre en oeuvre un "remember me" et eviter les va et viens dans l'UI meme après 6 mois d'absence, meme après expiration du cookie.
OpenID N'est PAS une UI, PAS un scénario/workflow.
OpenID est juste une lib, un protocole.
si il y a une mauvaise expérience pour les personnes utilisatrices, alors le probleme est au niveau du scénario ou de l'UI pas du protocole.
OpenID est implémentable en JS, on pourrait même mettre un OP dans le navigateur en s'arrangeant un peu. ( il me semble meme que cela existe déjà dans FF sous forme d'extensions ).
Le soucis principal que je vois, est que les gars derrières ont poussé une technologie "ouverte en théorie" mais qui en pratique a été maintenu fermée par des artifices, les meilleurs faisceaux de preuves sont les libs libres non maintenu depuis plusieurs années alors qu'ils maintiennent le produit non libre commercialisé, et les gars du board de la fondation OpenID soient en partie ceux de JanRain le vendeur de solutions.
Maintenant au niveau pratique, si on utilise par exemple, Google en tant que OP, c'est transparent et sans soucis et l'on peut meme présenter une identité exemple.com sans faire apparaitre la moindre référence explicite à google ! ( encore merci à XRDS, XRI et .well-known ;) ).
Au sein d'une entreprise, OpenID permet aussi de déployer des techno buzzword du net 2.0 comme des blogs ou des wikis sans avoir à maintenir des millions d'identités si l'on fait le produit collaborateurs x services autonomes.
sinon de manière ironique, le couple OpenID + Attribute Exchange, permet d'informer de l'avatar que l'on souhaite utiliser au moment de sa connexion ... mais encore une fois, si personne n'a pensé à faire un OP libre et correct, la confusion entre ce que fait le protocole OpenID 2 et le scénario non-fonctionnel actuel continuera de régner.
dans la liste des AX connus ( meme si axschema.org est mort cf. https://linuxfr.org/users/mouns/journaux/openid-mon-amour ), on trouve pelle-melle : Email, XMPP, photos, "texte de présentation", langues, timezone, blogs, sites, ... et le protocole précise qu'il est possible à chaque fois d'accepter, refuser, adapter la transmission pour chaque attribut au cas par cas.
en gros, il manque un OP libre et cool pour que OpenID montre son potentiel.