• Какво е OpenID и как да увеличим сигурността му.

    Ето част от видеото от лекцията ми по време на OpenFest 2008 в София. Тя обхваща какво е това OpenID, малко за Diffe-Hellman алгоритъма за размяна на ключове, малко за електронната идентичност, след това теория на елиптичните криви и как може да се използват за увеличаване на сигурността на OpenID посредством SIM картата на телефона ви.

    За четящите по RSS има видео и слайдове в публикацията :)

    Видео

    Слайдове

    .

    Aко искате да свалите видеото за IPod, можете да го направите от тук.

    Гласуване
    Ако този материал ви е харесал, можете да гласувате за него, като натиснете, малкото бутонче с надпис ‘свежо’. Благодаря.

  • OpenID – малко повече информация

    Какво е OpenID

    OpenID e лесен бърз и сигурен (при някои обстоятелства) начин за представяне в Интернет. Потребителят може да влиза в много сайтове само с един идентификатор.

    Освен това, потребителя може да вижда какви данни изисква уеб-сайта от него и да решава дали да ги даде или не

    Така потребителя, може да знае във всеки един момент, кои и за какво използва данните му, поради факта, че само той позволява това да се случи.

    Погледнато от друга страна, когато потребителя си асоциира OpenID, всеки ще знае, че това е той, без да става объркване от имена или прякори или потребителски имена в различни услуги.

    На какво ниво е сигуростта в момента на OpenID
    На каквото е и положението с паролите – openid идентификацията в повечето сличаи става с име/парола или с openid идентификатор/парола. Има частични решения със сертификати, но те зависят от браузъра на потребителя и в чести случаи това означава, че тази идентификация, може да става само от един компютър – този на който е инсталиран сертификата.

    В СЕП ще въведем още едно ниво на сигурност, като позволим на потребителя да управлява достъпа до профила и информацията си в openid частта през мобилния си телефон.

    Какво е и какво не е OpenID

    Идентификация
    OpenID показва на собственика на сайта, този който иска вие да се представите, че сте същия идентификатор преди когато сте го ползвали сайта и сега. Тоест OpenID не гарантира и не представя личност, а само идентификация, която не е потвърдена, но така функционира Интернет :)

    В СЕП ще гарантираме, че зад този СЕП openID идентификатор стои човек , с определен телефонен номер и с определени удостоверени лични данни, но само ако потребителя пожелае това да се случи.

    Одит
    ОpenID се използва за вход в сайтовете и единствената информация, която се пази е кога и от кой сайт е била изисквана информация. Целта на този протокол е да идентифицира, в различна степен, а не да събира данни за това кой какво прави в Интернет.

    В СЕП, ще му предоставяме и съхраняваме данни, точно за това – в кои сайтове е влизано с openid идентификатора на потребитела, по кое време и от кое IP.

    Използване
    Ако потребителят не е използвал досега openid, може би ще му е малко трудно, но протокола позволява така да се направи, че само с 2 реда, да можете да използвате собствен домейн или страницата си в Интернет като идентификатор. Нея няма как да я забрави нали?

    Няма и ограничение в използването като местоположение. Може потребителя да използва своя идентификатор и във фирмения портал и в интернет клуб на другия края на света и в библиотеката в Лисабон, ако тези електронни системи използват OpenID, а към момента го правят огромен брой сайтове и приложения.

    Пример:
    Ако идентификатора на потребителя е :
    http://bogomil.mobisafe.bg

    А, потребителят има уеб-сайт, примерно:
    http://bogomil.info

    Той може да използва този свой адрес за да управлява идентичността си и няма нужда да помни http://bogomil.mobisafe.bg

    От друга страна, ако се налага да се помнят много пароли и потребителски имена в различни сайтове, социални мрежи, корпоративни профили, библиотеки и т.н, то алтернативата да помниш само един идентификатор, изглежда доста примамлива, нали?

    Сигурност
    Така или иначе абсолютна сигурност няма. Единственото, което потребителя, трябва да прецени добре и избора на своя доставчик на OpenID идентификация. Доверието в този доставчик е най-важното и е основата на сигурността на този тип комуникация.

    Използване на ОpenID

    Aко погледнем пак примерната схема:

    виждаме основния модел на комуникацията.

    1.Потребителя отива на сайта some.bg
    2.Потребителя иска да се представи на сайта, за да може да работи с него, ако сайта изисква това
    3.Потребителя въвежда своя OpenID идентификатор, който е URL адрес (http://bogomil.info, aко искаме да работим с примера по-горе)
    4.Потребитела бива насочен към OpenID сайта, където може да се отиризира и да види какви данни some.bg иска от него и да реши дали да продължи или да отмени този процес
    5.Ако реши да продължи потребителят бива пренасочен към some.bg вече със оторизиран и може да използва всички функционалнсоти на сайта.

    Мислете за openID, като за име и парола на сайта, който сте решили да използвате. A сега си помислете за друг сайт. Може би имате еднакво име и парола на другия. С OpenID ще имате СЪЩОТО. Ако случайно решите да смените паролата си, няма нужда да ходите на всичките сайтове, а само на един – този на доставчика ви на уеб-идентичност.