Комментарии участников:
1. Проблемы среднестатистических владельцев. Я за несколько вечеров отлично прикрутил его к одному форуму, причем большее время боролся со странностями в поведении Perl на хосте (тот же cpan не работал, пришлось все руками делать), и изучал кишки форума чем разбирался что есть OpenID.
2. Что значит — "не исследована"? Там давно известные в криптографии алгоритмы и их применения. Обмен ключами по Диффи-Хеллману (с рекомендацией ключи хранить локально, чтобы избежать последующего подлога, скажем, man-in-the-middle атаки) и, основное — HMAC-SHA1 для подписей. Использование HMAC и SHA-1 там нормальное.
Кроме того, во многих местах указаны потенциальные проблемы. И в спецификации и в реализациях (по крайней мере одной). Скажем, в описании Net::OpenID::Consumer четко написано, что потребители без хранилища данных неустойчивы к атакам-повторениям (забыл "правильное" название атаки — когда злоумышленник перехватывает подпись и сам с ней авторизуется) в течении небольшого интервала времени… Или там же дана рекомендация использовать не LWP::UserAgent, а LWPx::ParanoidAgent и рассказано в двух словах почему. Про другие реализации, правда, не знаю, не смотрел.
3. OpenID вообще не механизм доверия/авторизации. Это механизм аутентификации. Ну, собственно, на openid.net четко написано: "This is not a trust system. Trust requires identity first."
4. Тогда и e-mail сосет. "GMail? А что тогда за mail.ru?..."
5. Это не баг OpenID, это, скорее, недочет WordPress. И чтобы не переписывать WP сделан "хак", который создает специальных локальных пользователей. Хотя я практически не копался в коде и логике работы WP — оно как-то мне не сильно нравится, так что, может, и ошибаюсь.
6. См. п.3. Для банковских систем нужна не только система аутентификации, но и система авторизации.
А сравнивать OpenID и TypeKey или MS Passport вообще не сильно корректно (и это разбирали по интернетам сотни раз). Читайте про различия распределенных и централизованных систем.
2. Что значит — "не исследована"? Там давно известные в криптографии алгоритмы и их применения. Обмен ключами по Диффи-Хеллману (с рекомендацией ключи хранить локально, чтобы избежать последующего подлога, скажем, man-in-the-middle атаки) и, основное — HMAC-SHA1 для подписей. Использование HMAC и SHA-1 там нормальное.
Кроме того, во многих местах указаны потенциальные проблемы. И в спецификации и в реализациях (по крайней мере одной). Скажем, в описании Net::OpenID::Consumer четко написано, что потребители без хранилища данных неустойчивы к атакам-повторениям (забыл "правильное" название атаки — когда злоумышленник перехватывает подпись и сам с ней авторизуется) в течении небольшого интервала времени… Или там же дана рекомендация использовать не LWP::UserAgent, а LWPx::ParanoidAgent и рассказано в двух словах почему. Про другие реализации, правда, не знаю, не смотрел.
3. OpenID вообще не механизм доверия/авторизации. Это механизм аутентификации. Ну, собственно, на openid.net четко написано: "This is not a trust system. Trust requires identity first."
4. Тогда и e-mail сосет. "GMail? А что тогда за mail.ru?..."
5. Это не баг OpenID, это, скорее, недочет WordPress. И чтобы не переписывать WP сделан "хак", который создает специальных локальных пользователей. Хотя я практически не копался в коде и логике работы WP — оно как-то мне не сильно нравится, так что, может, и ошибаюсь.
6. См. п.3. Для банковских систем нужна не только система аутентификации, но и система авторизации.
А сравнивать OpenID и TypeKey или MS Passport вообще не сильно корректно (и это разбирали по интернетам сотни раз). Читайте про различия распределенных и централизованных систем.
а как можно поставить "РЕСПЕКТ" на коммент в виде плюсика справа, чтобы каждый раз не писать оффтопы?
Э… Не знаю. Что-то надо сделать — какого-то рейтинга достичь, наверное. У меня сразу после регистрации не было, и только потом, через какое-то время, появились две кнопки " " и "-".
