mboost-dp1
OpenID
Jamen kan vi så please ikke få det i stedet for "Digital Signatur".
Efter jeg kom over traumet af at blive totalt hadsk, ondskabsfuld og fik lyst til at slå både Lars Bom og Søren Fauli ihjel pga. af deres fucked op reklamer og "Ipo opper ipo opper ipo opper" eller hvad den overgearede, frustrerende og sindssygt irriterende temasang den sagde, har jeg brugt Digital Signatur en gang. Så har jeg glemt koden og det er så hvad det er. Så skal man rent faktisk have tilsendt et stykke papir med sin kode på? Fordi det er mere sikker at sende den i plain writing gennem det tyvagtige postvæsen? Har I mistet forstanden?
Så jeg er en af dem der altid ringer til skat og kommunen.
#1 Kunne egentlig godt finde på at kikke forbi.
Efter jeg kom over traumet af at blive totalt hadsk, ondskabsfuld og fik lyst til at slå både Lars Bom og Søren Fauli ihjel pga. af deres fucked op reklamer og "Ipo opper ipo opper ipo opper" eller hvad den overgearede, frustrerende og sindssygt irriterende temasang den sagde, har jeg brugt Digital Signatur en gang. Så har jeg glemt koden og det er så hvad det er. Så skal man rent faktisk have tilsendt et stykke papir med sin kode på? Fordi det er mere sikker at sende den i plain writing gennem det tyvagtige postvæsen? Har I mistet forstanden?
Så jeg er en af dem der altid ringer til skat og kommunen.
#1 Kunne egentlig godt finde på at kikke forbi.
#2 som #3 nævner, så er det ikke en mulighed, da sikkerheden ikke er høj nok. Problemet er også at vi reelt ikke ved om OID helt overholder dansk lov eller andre landes love, og så kan der komme juridisk fnidder som kan ende med at de ikke kan bruges alligevel. Det er en god idé, men at overbevise forbrugerne om at det er sikkert, varetager deres interesser og så gør det nemt nok, der er lang vej endnu.
Det er faktisk (vil jeg påstå) lettere at lære folk god pssword-kultur, og så lære dem, at de ikke behøver være medlem på ALLE sider på nettet de surfer forbi. Jeg har med succes lært mange ældre at huske flere forskellige kodeord som kan modstå dic-attacks osv. Det er ikke engang svært. Og så bliver OID jo overflødig.
Det er faktisk (vil jeg påstå) lettere at lære folk god pssword-kultur, og så lære dem, at de ikke behøver være medlem på ALLE sider på nettet de surfer forbi. Jeg har med succes lært mange ældre at huske flere forskellige kodeord som kan modstå dic-attacks osv. Det er ikke engang svært. Og så bliver OID jo overflødig.
Jeg tror sagtens OpenID kunne erstatte Digital Signatur, hvis det skulle være.. Sikkerheden ligger ikke i selve OpenID-protokollen, men hos OpenID-udbyderne.. OpenID bestemmer ikke hvordan man skal logge ind; Det behøver ikke engang at være med password.. Det er blot en metode til at bevise overfor en webside at man ejer den OpenID-URL man angiver..
#8
Jeg har aldrig haft problemer med newz' openid-login.... og jeg loggede også på med openid for at skrive denne besked.
Jeg har aldrig haft problemer med newz' openid-login.... og jeg loggede også på med openid for at skrive denne besked.
#9 > Så må det vel være en fejl, der er opstået for nyligt.. Jeg har ikke prøvet på at logge ind med OpenID før i dag.. Min udbyder sender mig tilbage til
http://newz.dk/user/create/ hvor den nok skulle ha sendt mig til http://newz.dk/user/create (altså uden / til sidst)
Jeg bruger myopenid.com
http://newz.dk/user/create/ hvor den nok skulle ha sendt mig til http://newz.dk/user/create (altså uden / til sidst)
Jeg bruger myopenid.com
Er det rent faktisk sådan det foregår med OpenID, at hvis nogen finder ens pass på en side, så har de det til alle ens sider? For er det sådan, så vil jeg hellere sammenligne det med en nøglering, der gør det muligt for nogen at få adgang til alle mine ting, istedet for kun en enkelt..Troffel (4) skrev:Kan faktisk godt lide ikke at have samme pass/login til alle services.. kald det en sikkerhedsmæssig spredning ;d
http://supergenpass.com/ - Til dem som er paranoide over at give det samme password til alle sites og ikke vil have dem gemt i en password-manager og for glemsom til at huske mere en ét password.. :p
Der er i øvrigt ingen tvivl om, at det til enhver tid vil være sikrere at benytte forskellige brugernavne, e-mail-adresser og adgangskoder overalt, men den løsning er ikke bekvemt nok for de fleste.
Som jeg ser det, har OpenID netop en stor force i anvendelse i forhold til ting, der ikke har særlig stor betydning. Det kræver i hvert fald en god portion tillid at anvende den samme udbyder til Facebook og til ens netbank.
Som jeg ser det, har OpenID netop en stor force i anvendelse i forhold til ting, der ikke har særlig stor betydning. Det kræver i hvert fald en god portion tillid at anvende den samme udbyder til Facebook og til ens netbank.
OpenID kan ikke erstatte Digital Signatur på samme måde som en hammer ikke kan erstatte en spade. Teknologierne løser to forskellige problemer (hhv. login og autentisering). Til gengæld kunne man kombinere dem så man kan bruge sin Digitale Signatur til at logge ind via OpenID, men det er jo en anden snak.
Magten (11) skrev:Er det rent faktisk sådan det foregår med OpenID, at hvis nogen finder ens pass på en side, så har de det til alle ens sider?
Ikke helt. Du logger ind hos en udbyder som du selv har valgt og har tillid til - du kan sågar være din egen udbyder hvis du har kompetencerne til det. Den udbyder autentiserer dig så overfor det site du logger ind på.
Anders Feder (17) skrev:Ikke helt. Du logger ind hos en udbyder som du selv har valgt og har tillid til - du kan sågar være din egen udbyder hvis du har kompetencerne til det. Den udbyder autentiserer dig så overfor det site du logger ind på.
Risikoen er dog reel. Hvis andre får adgang til ens udbyder (IdP), har de adgang til alting, man benytter den pågældende udbyder til. Det betyder dog ikke, at det er en reel risiko, og der findes mange forskellige løsninger.
Acro (18) skrev:Risikoen er dog reel. Hvis andre får adgang til ens udbyder (IdP), har de adgang til alting, man benytter den pågældende udbyder til.
Ja, men det er jo lidt som at sige at hvis andre får adgang til TDC's interne systemer så har de adgang til alt man benytter sin internetforbindelse hos TDC til. Risikoen er reel nok, især hvis man er hemmelig agent eller noget i den stil, men det er nok ikke noget de fleste almindelige forbrugere vil bekymre sig om.
Anders Feder (16) skrev:Til gengæld kunne man kombinere dem så man kan bruge sin Digitale Signatur til at logge ind via OpenID, men det er jo en anden snak.
Det var lidt der jeg ville hen med mit forslag.. Staten kunne oprette deres egen ID-provider, som virker sikkert og pålideligt.. Så kunne man logge ind på en borger-service kun med en OpenID fra statens ID-provider.. Og folk kunne så vælge at bruge samme ID til andre sites, hvis de ville..
KarmicMind (20) skrev:Det var lidt der jeg ville hen med mit forslag.. Staten kunne oprette deres egen ID-provider, som virker sikkert og pålideligt.. Så kunne man logge ind på en borger-service kun med en OpenID fra statens ID-provider.. Og folk kunne så vælge at bruge samme ID til andre sites, hvis de ville..
Ja, men du ville jo så stadig bruge Digital Signatur eller noget lign. overfor statens IdP - derfor er der ikke tale om at det ene erstatter det andet.
Anders Feder (21) skrev:Ja, men du ville jo så stadig bruge Digital Signatur eller noget lign. overfor statens IdP - derfor er der ikke tale om at det ene erstatter det andet.
Jo, hvis det er "eller noget lign.", som du siger.. :p
Men ellers nej, så er det måske ikke lige frem en "erstatning", men en udvidelse, der gør det muligt at logge ind på en hvilken som helst website(med OpenID-login) med sin Digital Signatur.. Det kunne f.eks. bruges til at garantere sin alder på f.eks. Arto..
KarmicMind (22) skrev:Jo, hvis det er "eller noget lign.", som du siger.. :p
Nej, for så vil det være "eller noget lign." der erstatter Digital Signatur - ikke OpenID.
KarmicMind (22) skrev:Men ellers nej, så er det måske ikke lige frem en "erstatning", men en udvidelse, der gør det muligt at logge ind på en hvilken som helst website(med OpenID-login) med sin Digital Signatur.. Det kunne f.eks. bruges til at garantere sin alder på f.eks. Arto..
Det er allerede muligt med Digital Signatur - dem der administrerer DS tager bare en masse penge for det, så derfor er der ikke nogen virksomheder der gider implementere det.
At det ville være smart at de gjorde det gratis så stats-sikret ID kunne bruges over hele nettet kan vi derimod sagtens blive enige om.
I et mere teknisk topic hvor jeg brokkede mig over det at implementere openid, var der en pointe jeg slog mig fast på.
OpenID er meningsløst, medmindre man kan oprette en bruger med det.
Fordi hvis man allerede er tvunget til at oprette en bruger og dertilhørende password, så er en senere tilknytning af et OpenId overflødigt.
Desværre er der ingen fast standard for hvilke oplysninger der bliver udleveret på et openid request, så det er meget svært at bygge ordenlige bruger-oprettelses formularer på baggrund af de informationer man får tilbage.
Personligt synes jeg at det er en meget løs standard, og der mangler nogle klare implementationskrav. Jeg er stadig utilfreds med at der skal crawles en HTTP page for at finde et <meta> (eller var det <link>) element før man kan lave det reele krav.
Grunden til dette er nok meget fin, men jeg tvivler på at konceptet bag dette holder i det lange løb.
Så hvor OpenID er en rigtig god ide, synes jeg den nuværende implementation er horribel.
Og for at det skal virke ordenligt, så skal Google og Micrsoft vælge at være providers, så folk kan bruge deres Windows Live eller Google IDs som OpenID.
OpenID er meningsløst, medmindre man kan oprette en bruger med det.
Fordi hvis man allerede er tvunget til at oprette en bruger og dertilhørende password, så er en senere tilknytning af et OpenId overflødigt.
Desværre er der ingen fast standard for hvilke oplysninger der bliver udleveret på et openid request, så det er meget svært at bygge ordenlige bruger-oprettelses formularer på baggrund af de informationer man får tilbage.
Personligt synes jeg at det er en meget løs standard, og der mangler nogle klare implementationskrav. Jeg er stadig utilfreds med at der skal crawles en HTTP page for at finde et <meta> (eller var det <link>) element før man kan lave det reele krav.
Grunden til dette er nok meget fin, men jeg tvivler på at konceptet bag dette holder i det lange løb.
Så hvor OpenID er en rigtig god ide, synes jeg den nuværende implementation er horribel.
Og for at det skal virke ordenligt, så skal Google og Micrsoft vælge at være providers, så folk kan bruge deres Windows Live eller Google IDs som OpenID.
Windcape (24) skrev:OpenID er meningsløst, medmindre man kan oprette en bruger med det.
Nah.
Fx:
Når jeg sætter mig ved en computer et eller andet sted, og logger mig ind én gang på en site med openid, så skal jeg på alle andre sites med openid kun angive min id, og så er jeg inde. Det gælder også hvis jeg har oprettet mig manuelt, og tilknyttet min openid-id senere.
Windcape (24) skrev:Desværre er der ingen fast standard for hvilke oplysninger der bliver udleveret på et openid request, så det er meget svært at bygge ordenlige bruger-oprettelses formularer på baggrund af de informationer man får tilbage.
Og som jeg sagde den gang, jeg mener det er helt modsat. Det er et krav at jeg ikke SKAL oplyse alle mulige mærkelige ting til en hjemmeside via openid. Og en oprettelsesformular er nem at lave. Ikke lige så nem som at lade være, men det kan man jo sige om hele den hjemmeside du arbejder på.
Anders Feder (19) skrev:Ja, men det er jo lidt som at sige at hvis andre får adgang til TDC's interne systemer så har de adgang til alt man benytter sin internetforbindelse hos TDC til. Risikoen er reel nok, især hvis man er hemmelig agent eller noget i den stil, men det er nok ikke noget de fleste almindelige forbrugere vil bekymre sig om.
Jeg driver min egen OpenID-udbyder, LoginBuzz, så vi er formentlig helt enige. Pointen er dog, at man selvfølgelig skal passe på, hvem man vælger som udbyder. Præcis som man skal passe på, hvor man udlever ens adgangskode, hvis man ikke anvender forskellige.
OpenID er for de fleste brugere end langt mere sikker løsning, end hvad de er vant til. I stedet for at have tillid til 10 forskellige websteder, skal man kun have tillid til én udbyder.
Windcape (24) skrev:I et mere teknisk topic hvor jeg brokkede mig over det at implementere openid, var der en pointe jeg slog mig fast på.
OpenID er meningsløst, medmindre man kan oprette en bruger med det.
Det har intet at gøre med protokollen, men med implementeringen. Mange sider, herunder newz.dk, laver ikke en usynlig oprettelse, når man første gang logger på med OpenID, og det er lidt ærgerligt. Der er dog også sider, der gør, så det er på ingen måde umuligt.
Windcape (24) skrev:Desværre er der ingen fast standard for hvilke oplysninger der bliver udleveret på et openid request, så det er meget svært at bygge ordenlige bruger-oprettelses formularer på baggrund af de informationer man får tilbage.
Der er heller ingen standard for, at du kan forvente at få data tilbage fra en bruger, der udfylder en oprettelsesformular. Data skal altid valideres. Der er ingen undtagelse.
Windcape (24) skrev:Personligt synes jeg at det er en meget løs standard, og der mangler nogle klare implementationskrav. Jeg er stadig utilfreds med at der skal crawles en HTTP page for at finde et <meta> (eller var det <link>) element før man kan lave det reele krav.
Der findes mange måder, og den, du nævner, er et levn fra den første specifikation og er derfor også prioriteret lavest i forhold til afsnittet om opslag i specifikationen.
Windcape (24) skrev:Og for at det skal virke ordenligt, så skal Google og Micrsoft vælge at være providers, så folk kan bruge deres Windows Live eller Google IDs som OpenID.
Din Google-konto virker allerede som OpenID, og Microsoft er i øjeblikket i gang med at teste det (og de har intet argument for ikke at tilbyde det). MySpace, AOL og Yahoo! er også, så de fleste mennesker har altså allerede et OpenID, om de ved det eller ej.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund