openid

Single SignOn distrubuito? O alternativa a LDAP?

Lo strumento sembra carino… devo approfondirlo appena ho un minuto.

6 thoughts on “openid

  1. No, perchè in questo caso non si tratta di autenticazione, ma di autorizzazione…
    Un attaccante potrebbe infatti mettere in piedi il proprio server OpenID (che non è altro che una pagina html…) e dirti che le sue credenziali stanno li…

  2. Beh, tante grazie… pero’ intanto eviti di avere in giro 450.000 accoppiate username/password. Anche se… che cosa intendi esattamente? L’accoppiata server/openid è univoca… uno non può mettere in piedi un altro server e fornire lo stesso openid… è una stringa/URL univoca.

    La tua ipotesi non sta in piedi…

  3. La comodità è certamente quella di non dover inserire i propri dati ogni qual volta ci si logga su un sito (anche username e password, perchè no), non dover riempire noiosi formulari per ogni sito a cui ci si vuole registrare, poter controllare QUALI dati vengono forniti alle diverse entità, e via dicendo.

    Quello che però openID _non_fa_ è autenticazione.

    Se voglio differenziare i privilegi agli utenti loggati tramite openID e quelli anonimi, devo tener conto del fatto che un openID non è altro che un link ad una pagina che contiene una serie di dati relativi all’utente, e che quindi non da nessuna garanzia sull’autenticità di QUEI dati.

    Oltretutto, trattandosi di un URL, espone il server alla necessità di reperire dati su un sistema remoto, non piu locale o in lan (come spesso accade con i database) e quindi potenzialmente manipolabile tramite diversi tipi di MITM…

  4. Tutto quello che dici è giusto in mancanza di una Registration Authority. Sta a chi fornisce il servizio, una volta che uno si è registrato fornendo l’OpenId, verificare i dati prima di proseguire nella registrazione. Banalmente, fosse una banca, pretendendo che chi ha fornito quell’OpenId si presenti con carta d’identità allo sportello in modo da verificare i dati associati all’OpenId.

    Se ogni qual volta un ente di questo tipo fa questo tipo di verifica, o se addirittura l’OpenId server fosse di una banca o di un provider internet, vedi che l’OpenId diventa garanzia di tracciabilità e univocità della persona. E quindi una valida alternativa distribuita ai sistemi tipo Passport di Microsoft o al “login” di Google.

    Secondo me può avere futuro… stiamo a vedere chi seguirà dopo AOL.

  5. Futuro ne ha di sicuro, anche perchè sia Drupal che WordPress stanno migrando il proprio sistema di login distribuito proprio su OpenID. Livejournal, flickr e via dicendo offrono già questo tipo di riconoscimento.

    Il problema è che non deve passare come “la soluzione di tutti i mali” (non è naturalmente il tuo caso :P) prima che qualche giornale se ne esca con “TROVATA L’ALTERNATIVA ALLE PASSWORD” o cose del genere:/

  6. claro…

    Anche perchè già stavo pensando a come fotterlo… DNS Hijacking … ma in tal caso dovrei anche recuperare la chiave privata SSL del server in questione… (sperando che sia su SSL… se no SI sono veramente dei folli)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s