mboost-dp1
Yahoo
I forbindelse med denne nyhed må jeg hellere nævne, at jeg netop har lanceret en dansk udbyder. Den er stadig ikke helt fin i kanten, men det vigtigste fungerer. De største fordele bliver med tiden nogle mere sikre godkendelsesformer end den klassiske adgangskode, som de fleste benytter. Selvom man allerede nu kan købe "sikkerhed via SMS", er den væsentligste fordel indtil videre dog, at man kan være med til at præge tjenesten, og at den er noget hurtigere at få fat på end udenlandske udbydere. Jer, der hidtil ikke har brugt OpenID, må derfor meget gerne lege alt det, I vil med den (og det må I andre egentlig også). En konto er selvfølgelig gratis, og jeg vil ikke udelukke, at der kommer en bonus til de første brugere, hvis jeg har mulighed for at tilbyde det. Kig ind på LoginBuzz.
For de af jer, der aldrig har hørt om OpenID tidligere eller er lidt usikker på begreberne, kan jeg anbefale [url= YouTube-klip[/url].
At Yahoo implementerer OpenID er rigtig spændende og tegner særdeles godt for udbredelsen, men det gør desværre ikke OpenID endnu mere anvendeligt, fordi Yahoo kun vælger at være udbyder (det er ihvertfald, hvad jeg umiddelbart tolker). I forvejen ser jeg det som et plus, at man kunne bruge det på mange mindre sider, hvor man måske ikke ville tilmelde sig. Desværre frygter jeg lidt, at Microsoft og Google vil udelukke hinanden således, at hvis Microsoft kommer først, beholder Google deres eget og omvendt. Det behøver selvfølgelig ikke at ske, men OpenID gør det meget lettere at prøve konkurrende tjenester, og det er jo ikke så meget i virksomhedernes interesse som forbrugerens.
For de af jer, der aldrig har hørt om OpenID tidligere eller er lidt usikker på begreberne, kan jeg anbefale [url= YouTube-klip[/url].
At Yahoo implementerer OpenID er rigtig spændende og tegner særdeles godt for udbredelsen, men det gør desværre ikke OpenID endnu mere anvendeligt, fordi Yahoo kun vælger at være udbyder (det er ihvertfald, hvad jeg umiddelbart tolker). I forvejen ser jeg det som et plus, at man kunne bruge det på mange mindre sider, hvor man måske ikke ville tilmelde sig. Desværre frygter jeg lidt, at Microsoft og Google vil udelukke hinanden således, at hvis Microsoft kommer først, beholder Google deres eget og omvendt. Det behøver selvfølgelig ikke at ske, men OpenID gør det meget lettere at prøve konkurrende tjenester, og det er jo ikke så meget i virksomhedernes interesse som forbrugerens.
bare et spørgsmål: når der står fx VeriSign har været på tale som brugere af systemet, menes der så at de ikke udbyder det? (- i såfald vil jeg blot nævne at mit openID er hos VeriSign og jeg bruger det til at logge på med på newz.)
#1
Jeg tror ikke helt jeg har fattet ideen bag openID - eller fattet er så meget sagt men ikke læst nok til andet end at fatte hvad det kan bruges til. Tager jeg helt fejl hvis jeg fx siger at openID kan ses som en konkurrent til Microsoft Passport?
#1
Jeg tror ikke helt jeg har fattet ideen bag openID - eller fattet er så meget sagt men ikke læst nok til andet end at fatte hvad det kan bruges til. Tager jeg helt fejl hvis jeg fx siger at openID kan ses som en konkurrent til Microsoft Passport?
#Acro
Microsoft arbejder og har altid arbejde kraftigt for at få udbredt Passport/Windows Live ID, eller hvad de nu end kalder det idag.
Google, i samarbejde med Plaxo og Facebook og vidst nok også Bebo vælger at gå efter dataportability.org
Og nu har Yahoo så valgt side med OpenID.
Microsoft arbejder og har altid arbejde kraftigt for at få udbredt Passport/Windows Live ID, eller hvad de nu end kalder det idag.
Google, i samarbejde med Plaxo og Facebook og vidst nok også Bebo vælger at gå efter dataportability.org
Og nu har Yahoo så valgt side med OpenID.
#2 Kian:
Ja, det er et alternativ til Microsoft Passport. Det er et bedre alternativ, fordi det ikke afhænger af Microsoft og deres interesse i at drive det videre. Microsoft Passport (nu Windows Live ID) eksisterede jo i mange år, men uden en ret stor opbakning. Jeg tror faktisk kun, jeg er stødt på en håndful sider, der har anvendt det, og det har været sider rettet imod udviklere eller meget tætte associerede med Microsoft.
#3 Cloud02:
Det er aldrig lykkes Microsoft at få den opbakning, de håbede på, og de har da, så vidt jeg husker, også talt om integration til OpenID, men det kan være, at de vælger Yahoo-modellen og gør det som udbyder alene. Deres CardSpace ligger også ret tæt på, og der kan laves noget ordentlig integration imellem teknologierne, så vi må nok bare vente og se, hvad der sker.
Plaxo understøtter i øvrigt OpenID og har gjort det et stykke tid...
Ja, det er et alternativ til Microsoft Passport. Det er et bedre alternativ, fordi det ikke afhænger af Microsoft og deres interesse i at drive det videre. Microsoft Passport (nu Windows Live ID) eksisterede jo i mange år, men uden en ret stor opbakning. Jeg tror faktisk kun, jeg er stødt på en håndful sider, der har anvendt det, og det har været sider rettet imod udviklere eller meget tætte associerede med Microsoft.
#3 Cloud02:
Det er aldrig lykkes Microsoft at få den opbakning, de håbede på, og de har da, så vidt jeg husker, også talt om integration til OpenID, men det kan være, at de vælger Yahoo-modellen og gør det som udbyder alene. Deres CardSpace ligger også ret tæt på, og der kan laves noget ordentlig integration imellem teknologierne, så vi må nok bare vente og se, hvad der sker.
Plaxo understøtter i øvrigt OpenID og har gjort det et stykke tid...
Hvorfor bruges der ikke mere energi på den digitale signatur? Det er efter min mening en bedre løsning end OpenID og de andre teknologier der nævnes.
Digital signatur har specielt den fordel at man har en virkelig person bag brugeren og dermed mindsker misbrug fra brugerens side.
Digital signatur har specielt den fordel at man har en virkelig person bag brugeren og dermed mindsker misbrug fra brugerens side.
#8 tblaster:
De fleste signaturer beskyttes af en adgangskode, og så er 2-vejs godkendelse altså noget mere sikkert. Med OpenID er det op til udbyderen at godkende dig. Det kan sagtens ske med et klientcertifikat; det er helt forskelligt. OpenID er jo en teknologi, der lader det være op til dig og din udbyder at bestemme, hvordan du skal godkende din identitet. Og så er fordelen, at det er noget lettere at implementere en alternativ godkendelsesprocedure hos en OpenID-udbyder, hvor sikkerheden er det eneste fokus, end det er for mindre hobbysites.
For at nævne et eksempel har jeg på min egen tjeneste lavet, så man efter validering med brugernavn og adgangskode - mod betaling - kan modtage en SMS. Den indeholder en engangskode, der skal indtastes for at logge på. Jeg vil umiddelbart vurdere, at det er noget sikrere end et certifikat, men det er nok ikke noget, jeg kan forvente, at alle websteder ville implementere af sig selv - ligesom jeg ikke ville betro alle websteder mit mobilnummer.
De fleste signaturer beskyttes af en adgangskode, og så er 2-vejs godkendelse altså noget mere sikkert. Med OpenID er det op til udbyderen at godkende dig. Det kan sagtens ske med et klientcertifikat; det er helt forskelligt. OpenID er jo en teknologi, der lader det være op til dig og din udbyder at bestemme, hvordan du skal godkende din identitet. Og så er fordelen, at det er noget lettere at implementere en alternativ godkendelsesprocedure hos en OpenID-udbyder, hvor sikkerheden er det eneste fokus, end det er for mindre hobbysites.
For at nævne et eksempel har jeg på min egen tjeneste lavet, så man efter validering med brugernavn og adgangskode - mod betaling - kan modtage en SMS. Den indeholder en engangskode, der skal indtastes for at logge på. Jeg vil umiddelbart vurdere, at det er noget sikrere end et certifikat, men det er nok ikke noget, jeg kan forvente, at alle websteder ville implementere af sig selv - ligesom jeg ikke ville betro alle websteder mit mobilnummer.
#9 Kan ikke følge din argumentation, specielt fordi den digitale signatur er en 2-vejs godkendelse. Jeg tror du misforstod min kommentar. Jeg henviser til Digital Signatur.
OpenID har ingen sikkerhed for at der er en fysisk person bag en bruger. I din løsning forsøger du at sikre dette med en sms verifikation hvilket i bedste tilfælde knytter et telefonnr på din bruger men dette kan jo være et taletidskort og derfor er der ingen information om den fysiske bruger. Ved den digitale signatur er brugeren verificeret med såvel email som cpr-nummer (og dermed også adressen). Der er derfor efter min mening langt stører sikkerhed for at brugeren er den han udgiver sig for ved en digital signatur.
OpenID har ingen sikkerhed for at der er en fysisk person bag en bruger. I din løsning forsøger du at sikre dette med en sms verifikation hvilket i bedste tilfælde knytter et telefonnr på din bruger men dette kan jo være et taletidskort og derfor er der ingen information om den fysiske bruger. Ved den digitale signatur er brugeren verificeret med såvel email som cpr-nummer (og dermed også adressen). Der er derfor efter min mening langt stører sikkerhed for at brugeren er den han udgiver sig for ved en digital signatur.
#10 tblaster:
Min pointe er, at der skal ikke mere end en trojan på din maskine til at anvende både dit certifikat og opsnappe din adgangskode. Det er noget sværere at installere en trojan, der får adgang til din mobiltelefon. Og så er løsningen med et certifikat i øvrigt slet ikke portabel. Du mister fuldstændigt muligheden for at logge på fra offentlige steder.
Der er mange måder at sikre, om det er fysiske brugere (reCAPTCHA, Bot Bouncer og Asirra er nogle af dem). Certifikater er ikke en af dem. Du kan ikke nøjes med at godkende digital signatur, fordi det kun er i Danmark, vi har dem. newz.dk har flere danske brugere bosat i udlandet, som din model ville udelukke. Her ville almindelige certifikater ikke sikre, at det var mennesker, og det ville ikke være en betydeligt sikrere løsning.
Min pointe er, at der skal ikke mere end en trojan på din maskine til at anvende både dit certifikat og opsnappe din adgangskode. Det er noget sværere at installere en trojan, der får adgang til din mobiltelefon. Og så er løsningen med et certifikat i øvrigt slet ikke portabel. Du mister fuldstændigt muligheden for at logge på fra offentlige steder.
Der er mange måder at sikre, om det er fysiske brugere (reCAPTCHA, Bot Bouncer og Asirra er nogle af dem). Certifikater er ikke en af dem. Du kan ikke nøjes med at godkende digital signatur, fordi det kun er i Danmark, vi har dem. newz.dk har flere danske brugere bosat i udlandet, som din model ville udelukke. Her ville almindelige certifikater ikke sikre, at det var mennesker, og det ville ikke være en betydeligt sikrere løsning.
#10 tblaster:
I øvrigt er det en misforståelse, at du får folks CPR-nummer, fordi de logger på med deres digitale signatur. Sådan forholder det sig - heldigvis - slet ikke. Og hvis det gjorde, mener jeg faktisk, at det var et glimrende argument for ikke at anvende digital signatur. Hvor der ikke sker så meget ved, at min OpenID URL er gemt i 100 databaser, ville jeg have det lidt skidt, hvis mit personnummer var gemt i 100 databaser.
Desuden er der slet ikke noget ønske om at kunne identificere alle brugere. Det er langt mere overvågning og kontrol, end vi ønsker og har behov for. På en side som newz.dk skal folk kunne være anonyme. Jeg respekterer langt mere de folk, der fortæller, hvem de er, men andre skal ikke fratages muligheden. Jeg tvivler på, at mange online community havde bare en brøkdel af deres størrelse, hvis man let kunne knytte ens online identitet til ens fysiske.
Igen mener jeg, at fordelen med OpenID er, at du selv vælger. Hvis du gerne vil identificeres med din digitale signatur, så kan du vælge (eller udvikle) en sådan tjeneste. Hvis andre bare vil skrive "secret" i et tekstfelt, så skal de også have lov til det. Du vælger selv, hvor sikker du vil være.
I øvrigt er det en misforståelse, at du får folks CPR-nummer, fordi de logger på med deres digitale signatur. Sådan forholder det sig - heldigvis - slet ikke. Og hvis det gjorde, mener jeg faktisk, at det var et glimrende argument for ikke at anvende digital signatur. Hvor der ikke sker så meget ved, at min OpenID URL er gemt i 100 databaser, ville jeg have det lidt skidt, hvis mit personnummer var gemt i 100 databaser.
Desuden er der slet ikke noget ønske om at kunne identificere alle brugere. Det er langt mere overvågning og kontrol, end vi ønsker og har behov for. På en side som newz.dk skal folk kunne være anonyme. Jeg respekterer langt mere de folk, der fortæller, hvem de er, men andre skal ikke fratages muligheden. Jeg tvivler på, at mange online community havde bare en brøkdel af deres størrelse, hvis man let kunne knytte ens online identitet til ens fysiske.
Igen mener jeg, at fordelen med OpenID er, at du selv vælger. Hvis du gerne vil identificeres med din digitale signatur, så kan du vælge (eller udvikle) en sådan tjeneste. Hvis andre bare vil skrive "secret" i et tekstfelt, så skal de også have lov til det. Du vælger selv, hvor sikker du vil være.
Syntes det er en genial ide, overvejer selv om jeg bruge det ved mit næste projekt, men jeg har nogle problemer med det et par steder bla her på newz.dk så er lidt skepisk ved det..
Arco: Du lyder til at være inde i det, så jeg har lige et spøgsmål...
I youtube videoen fremhæver de at man ikke skal indtaste personlige oplysninger mere.. såsom email mm. men bare sige ja til at man stoler på siden...
Det indebærer da et kæmpe problem, hvis alle sider har alle ens rigtige oplysninger.. Og en søgning på ens navn i google ville vise alle de steder man har en profil... eller er det forkert..?
Jeg siger da netop til min datter, at man ALDRIG skal skrive sit navn, fødsels dato også vidre i disse profiler, da det ( som vi hørte med facebook ) kan misbruges..
Altarnativet er vel, at lave et personligt profil navn som f eks. kim(nogetdansk)hip og en kode med 8 ciffer og bogstaver, som så kan oprettes næsten alle steder. eller hvad??
I youtube videoen fremhæver de at man ikke skal indtaste personlige oplysninger mere.. såsom email mm. men bare sige ja til at man stoler på siden...
Det indebærer da et kæmpe problem, hvis alle sider har alle ens rigtige oplysninger.. Og en søgning på ens navn i google ville vise alle de steder man har en profil... eller er det forkert..?
Jeg siger da netop til min datter, at man ALDRIG skal skrive sit navn, fødsels dato også vidre i disse profiler, da det ( som vi hørte med facebook ) kan misbruges..
Altarnativet er vel, at lave et personligt profil navn som f eks. kim(nogetdansk)hip og en kode med 8 ciffer og bogstaver, som så kan oprettes næsten alle steder. eller hvad??
#14 Den situation har ikke meget at gøre med openID. OpenID er en *let* måde at logge ind på sider og give dem dine oplysninger.
Jeg har fx en konto hos myopenid.com, når jeg logger ind på en side første gang foregår det sådan her.
1) jeg indtaster mit openID på siden jeg vil logge ind på (lad os sige det er newz.dk).
2) newz.dk sender mig så videre til myopenid.com
3) her spørger myopenid.com mig så. "newz-dk vil have følgende oplysninger af dig" sammen med en liste af de oplysninger myopenid.com er igang med at sende.
4) Jeg trykker "giv tilladelse" og myopenid.com sender mig tilbage til newz.dk sammen med en besked om at "han er god nok" og newz.dk logger mig ind.
Hvad du er nervøs for her er vel at myopenid.com sender alle dine private oplysninger til newz.dk?
Det er heldigvis ikke en del af openid.com specifikationerne *hvilke* oplysninger der skal sendes tilbage til newz.dk så det må de enkelte udbydere af openid helt selv om.
myopenid.com har fx gjort det på den måde at du kan oprette lige så mange profiler du har lyst til.
Jeg har en standartprofil der indeholder alle mine oplysninger som jeg normalt bare bruger. Skal jeg imidlertid ind på en side der vil have e-mail, navn mm af mig, men som jeg ikke har lyst til at give ud vælger jeg bare en anden profil (som jeg passende har kaldt "random junk hoax") der bare indeholder en masse skidt).
Hvilke data du ønsker at sende til siden bestemmer du selv i "punkt 3" (jvf. min beskrivelse overfor). OpenID sikrer dig ikke mod hvilke data diverse sider vil have fra dig, men sørger for at de ikke ligger inde med dit password, og giver dig mulighed for at have samme login over det hele
NB: så er der mad og jeg gider ikke læse denne post igennem for uforståelige sætning og slavefejl
Jeg har fx en konto hos myopenid.com, når jeg logger ind på en side første gang foregår det sådan her.
1) jeg indtaster mit openID på siden jeg vil logge ind på (lad os sige det er newz.dk).
2) newz.dk sender mig så videre til myopenid.com
3) her spørger myopenid.com mig så. "newz-dk vil have følgende oplysninger af dig" sammen med en liste af de oplysninger myopenid.com er igang med at sende.
4) Jeg trykker "giv tilladelse" og myopenid.com sender mig tilbage til newz.dk sammen med en besked om at "han er god nok" og newz.dk logger mig ind.
Hvad du er nervøs for her er vel at myopenid.com sender alle dine private oplysninger til newz.dk?
Det er heldigvis ikke en del af openid.com specifikationerne *hvilke* oplysninger der skal sendes tilbage til newz.dk så det må de enkelte udbydere af openid helt selv om.
myopenid.com har fx gjort det på den måde at du kan oprette lige så mange profiler du har lyst til.
Jeg har en standartprofil der indeholder alle mine oplysninger som jeg normalt bare bruger. Skal jeg imidlertid ind på en side der vil have e-mail, navn mm af mig, men som jeg ikke har lyst til at give ud vælger jeg bare en anden profil (som jeg passende har kaldt "random junk hoax") der bare indeholder en masse skidt).
Hvilke data du ønsker at sende til siden bestemmer du selv i "punkt 3" (jvf. min beskrivelse overfor). OpenID sikrer dig ikke mod hvilke data diverse sider vil have fra dig, men sørger for at de ikke ligger inde med dit password, og giver dig mulighed for at have samme login over det hele
NB: så er der mad og jeg gider ikke læse denne post igennem for uforståelige sætning og slavefejl
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund