czy OpenID jest naprawdę taki zły?

31

Widziałem to pytanie na Quora, gdzie wielu ludzi zgadza się, że OpenID jest zły, nawet idąc tak daleko, że:

OpenID jest najgorszym możliwym „rozwiązaniem”, jakie kiedykolwiek widziałem w moim życiu na problem, którego większość ludzi tak naprawdę nie ma

Potem widziałem artykuły i tweety odnoszące się do tego pytania, mówiąc, że OpenID przegrał, a Facebook wygrał.

Smutno jest czytać, ponieważ podoba mi się OpenID (a przynajmniej pomysł za nim). Dosłownie nie znoszę uzyskiwania kolejnego loginu / hasła do strony (i tak zapomnę) - to dla mnie dość poważny problem i znam wiele osób z tym samym problemem. Dlatego pomyślałem, że OpenId to świetne rozwiązanie, ale nie jestem już pewien.

Pytanie brzmi: czy powinienem nadal zadawać sobie trud z implementacją OpenID, czy nie warto? Jaki jest najbardziej niezawodny i wygodny (z perspektywy użytkownika) sposób identyfikacji i uwierzytelnienia użytkownika?

DoPPler
źródło
7
OpenID ma swoje wady, ale ponieważ nie słyszałem o niczym lepszym do zastąpienia go, nie powiedziałbym, że przegrał. Facebook nie jest alternatywą dla OpenID, ponieważ jest scentralizowany, a wiele osób po prostu nie chce mieć konta na Facebooku. Czy warto? Moim subiektywnym zdaniem jest.

Odpowiedzi:

13

Ta dyskusja zawsze pojawia się z powodu jednego, w dużej mierze ignorowanego faktu: OpenID nigdy nie został zaprojektowany jako protokół logowania. To późniejszy błąd.

OpenID został pomyślany jako usługa weryfikacji adresu URL strony głównej . I do tego było wykonalne. Ale z powodu braku alternatyw szybko zmieniono jego przeznaczenie na ogólny protokół logowania. Niektóre funkcje zostały opracowane na (prosty rejestr, wymiana atrybutów), aby to ułatwić. Ale u podstaw OpenID leży schemat weryfikacji uprawnień do adresów URL.

Stąd pochodzą błędy związane z użytecznością i wdrażaniem. Zaleta wielokrotnego logowania ma znaczenie tylko dla zaawansowanych użytkowników, a nie dla zwykłych użytkowników. (Nie zaczynaj od solidności; po prostu uratowałem mój login Stackoverflow.)
Ale wciąż nie ma szeroko rozpowszechnionej ani technicznie lepszej alternatywy (były pewne wcześniejsze OpenID, ale brakowało modnego hasła i wprowadzenia marketingowego). Jako zagorzały zwolennik otwartego oprogramowania, rozważałbym nawet paszport Microsofts lub Cardspace, cokolwiek innego, ale obecnie nie jest to możliwe.

Powrót do pytania: Trzymaj się OpenID. Dla zwykłych użytkowników należy umożliwić parom nazwa / hasło oldschool, a opcjonalne OpenID. Być może OpenID3 znajduje powszechne zastosowanie i rozwiązuje niektóre problemy. A może pojawia się coś innego. Ogólna idea tej koncepcji była fajna.

Mario
źródło
To interesujący fakt, nie wiedziałem o tym. Dzięki za odpowiedź Jak już wspomniałem, obawiam się, że wdrożenie „wszystkiego” (zgodnie z moim komentarzem do posta @DeveloperArt) odstraszy i / lub wprowadzi użytkowników w błąd, ale być może się mylę i jeśli zrobi się to dobrze, to najlepsze rozwiązanie?
DoPPler
11

Nie możesz wdrożyć OBA?

Każdy wybiera opcję na podstawie swoich preferencji i stanu paranoi.

OpenID zapewnia dużą wygodę. Zapewnia również jeszcze większe zagrożenie bezpieczeństwa.

[Ryzyko użytkownika] Co jeśli Facebook / Google / itp. zdecydować, że Twoje konto zostało przejęte i musisz podać swój numer telefonu lub kopię paszportu, aby go ponownie włączyć? Poszedłbyś na to?

[Ryzyko firmy] Co jeśli Facebook / Google / itp. zdecydujesz się zamknąć usługę lub rozpocząć pobieranie opłat? Jako właściciel witryny jesteś poważnie wkręcony.

[Szpiegostwo danych] Dlaczego pozwalają im gromadzić szczegółowe statystyki z wielu witryn konsumenckich i pomagają im budować osobiste profile ludzi? Kto wie, co z tym zrobią? Sprzedać, użyć go, aby dostosować taktykę marketingową, przesłać do CIA?

Człowieku, to takie proste i proste - unikaj uzależnienia się od nikogo i sam decyduj, co i kiedy ci się stanie.


źródło
Mógłbym wdrożyć oba, to prawda. Mogę dodać obsługę dowolnego dostawcy OpenID za pośrednictwem adresu URL, następnie wymienić 3-4 najbardziej popularnych, następnie dodać obsługę OAuth dla Facebooka i Twittera, a następnie dodać swój stary (dobry?) Login / hasło / rejestrację e-mail / formularz logowania dla użytkowników, którzy nie mam nic przeciwko kolejnym hasłom. Chodzi o to, że nie chcę straszyć moich użytkowników - chcę tylko, aby mogli się szybko zalogować. Jeśli chodzi o wspomniane zagrożenia bezpieczeństwa - czy naprawdę są one tak ogromne ?
DoPPler
Prawdopodobieństwo ich wystąpienia nie jest ogromne, ale jeśli tak się stanie, ich konsekwencje będą ogromne.
4
W każdym razie pamiętaj, że wiele osób nie ma konta na Facebooku i nie chce go utworzyć. Nie jest mądrze odmawiać im dostępu.
Wiele dobrych punktów tutaj @Developer Art o tym, że nie zależy od jednego dostawcy, dla biznesu i dla osoby fizycznej. Systemy komentarzy Disqus i Wordpress zdały sobie sprawę, że dają administratorom (i użytkownikom) wybór OpenID, Yahoo, Google, Facebook, Twitter, a może więcej. I oferują możliwość powiązania identyfikatorów, ale nie wymagają tego. Druga dobra uwaga: nie pozwól jednemu podmiotowi agregować twoich informacji! Tak prawdziwe. Tak czy inaczej może się zdarzyć. Po co ułatwiać korzystanie z usług tego samego dostawcy za każdym razem? Ponadto: tylko na Facebooku, TYLKO świat na Facebooku NIE jest rozwiązaniem! Chciałbym dać ci więcej pozytywnych opinii.
Ellie Kesselman,
Twoje argumenty przeciwko OpenID są w rzeczywistości argumentami na rzecz OpenID! Każdy może uruchomić własne uprawnienia OpenID. Nie muszę tworzyć konta Google ani Facebook, aby zalogować się na stronie korzystającej z OpenID. Teraz, gdy Google wyciągnęło wtyczkę z OpenID, aby promować swoje usługi Google+, inni prawdopodobnie również to zrobią i przegraliśmy bitwę o naprawdę otwarty standard logowania do stron.
Brad
5

Właściwie uważam, że głównym problemem związanym z OpenID nie jest implementacja lub łatwość obsługi jest zła. Nie uważam też, że są to problemy bezpieczeństwa związane z OpenID. Myślę, że głównym problemem jest to, że jest to rozwiązanie problemu - problemu, który dla większości użytkowników i tak naprawdę nie jest wielkim problemem.

Lepszym rozwiązaniem problemu konieczności zapamiętywania wielu haseł itp. Jest użycie aplikacji do zarządzania hasłami. Menedżer haseł uprości nawet proces rejestracji, ponieważ automatycznie zapełni wszystkie wspólne pola (nazwa itp.) I automatycznie wygeneruje losowe hasło. Jedyną rzeczą, którą zazwyczaj musisz zrobić, to zweryfikować swój adres e-mail.

Dean Harding
źródło
Jest to bardzo zbliżone do ogólnej opinii w Quora, ale słyszałem to wiele razy od moich technicznych i niezbyt technicznych przyjaciół, że mają problem z śledzeniem wielu haseł, więc nie sądzę jest to problem, który „nie istnieje” (jednak może być mniej uciążliwy niż ja to robię). Z pewnością użycie menedżera haseł jest pewnym rozwiązaniem (nie bez wad), ale szukam technologii, którą mógłbym wdrożyć, aby pomóc moim odwiedzającym uzyskać lepsze wrażenia podczas śpiewania.
DoPPler
1

Problem z openid, lub bardziej ogólnie, z wyborem dostawców kont na stronie internetowej do logowania się na twojej stronie internetowej, polega na tym, że użytkownicy zapominają, który dostawca wybrał wcześniej. Pewnego dnia mogą korzystać z Google, w następnym miesiącu mogą korzystać z Facebooka, a trzy miesiące później może Twitter. W przypadku witryny będzie to wyglądało jak trzech różnych użytkowników. W takim przypadku użytkownicy są sfrustrowani, ponieważ mogą zalogować się do twojego systemu, ale nie na to samo konto, co poprzednio.

Marcin
źródło
1
Jesteś tego pewien? Zastanawiałem się nad tym samym, gdy tylko usłyszałem o OpenID. Próbowałem się sprawdzić, czy to, co opisałeś, jest prawdą. Czasami jest tak, jak w StackExchange, z ich implementacją OpenID. Ale inne strony internetowe poprawnie dokonują powiązania z wcześniejszymi danymi logowania lub pytają, czy mam wcześniejsze konto, i ogólnie wskazują przeszłego dostawcę OpenID. Może to z powodu połączonego logowania OpenID-OAuth? Nie wiem Ale zgadzam się z tobą, użytkownicy NIE zapominają, który dostawca wybrali wcześniej! To prawdziwy problem.
Ellie Kesselman,
0

Główne problemy z OpenID, jak widzę, to dwa:

  • A) Nie jest przyjazny dla użytkowników nietechnicznych
  • B) Nie jest tak szeroko stosowany jak alternatywy

Na A dla użytkownika, który widzi przycisk „Zaloguj się przez Facebook”, jest łatwy i łatwy do zdobycia. Widzenie kontrolki z 10 ikonami (Google, Yahoo, AOL itp.) Jest mylące. Co więcej, fakt, że „login” jest adresem URL, wiele osób nie wie, że istnieje, ponieważ jedyne co robią, to wpisuje wyszukiwanie w Bing / Google i podąża za linkami. Znam wiele osób, które odwiedzając Facebooka, szukają Facebooka w Google i klikają link, nie próbuj wyjaśniać im pojęcia domeny!

Na B Facebook jest standardem. To trochę jak PayPal i alternatywy: w przypadku handlu elektronicznego PayPal może nie być najlepszą opcją pod względem ceny ze względu na opłaty za transakcje, ale jeśli nie korzystają z PayPala, ryzykują wielu potencjalnych klientów. Logowanie jest takie samo: Facebook otwiera twoją sieć 500 milionom użytkowników, którzy są aktywnymi użytkownikami Internetu i mają wystarczającą wiedzę techniczną, aby prawdopodobnie „dostać” twoją stronę. Szczerze mówiąc, dlaczego warto spędzać więcej czasu na wspieraniu innych rzeczy? Poświęć ten czas na rozwój produktu!

Z powodu B, A pogarsza się, gdy użytkownicy oczekują logowania na Facebooku, a Open Id bardziej ich myli.

I nie zaczynam od problemów omówionych już w Code Horror, dotyczących logowania użytkowników w tej samej witrynie przy użyciu różnych kont Open ID i problemów, które może to powodować ...

Podsumowując, podoba mi się pomysł na Open ID, ale (niestety?) Facebook zrobił to lepiej.

Pere Villega
źródło
4
Widziałem wiele implementacji, które są naprawdę złe. Ale moim zdaniem wdrożenie tutaj na Stack Exchange jest całkiem dobre. Prawdopodobnie możesz pójść o krok dalej i sprawić, aby korzystanie z niego było bardzo podobne do korzystania z funkcji logowania się przez Facebooka (również Google i Yahoo obsługują pewnego rodzaju hybrydę OAuth lub OpenID / OAuth). Całkowicie zgadzam się z faktem, że widzenie wielu dostawców może wprowadzać w błąd i powodować dodatkowe problemy, ale z drugiej strony daje Twojemu użytkownikowi największą elastyczność (znam też osoby, które nie korzystają z Facebooka).
DoPPler
Fakt, że muszę się logować za każdym razem, gdy przechodzę do innej gałęzi SE, sprawia, że ​​czuję się źle. FFS, jeśli użyłem mojego identyfikatora OpenID do rejestracji w SO i Prog, dlaczego, do diabła, muszę się zalogować na obu podczas tej samej wizyty? To jest postęp?!?
Drew