Na navigaci | Klávesové zkratky

Odmítám OpenID

Články nebývají kontroverzní svým obsahem, ale nevhodnou dobou zveřejnění. Ještě než padne první věta, že OpenID je uměle vyhypovaná záležitost, poprosím všechny, kterým to způsobí rudé vidění nebo přezíravý povzdech, aby se pokusili článek přečíst se snahou porozumět.

OpenID je technologickými fandy uměle vyhypovaná záležitost. Připomíná vzestup Firefoxe, prohlížeče, který běžným uživatelům nechyběl, ale který jim jejich počítačově zdatné ratolesti instalovaly místo Exploreru, a to z důvodů, které spíš než v logice měly oporu v přesvědčení. Abych nebyl špatně pochopen: je moc dobře, že se Firefox dostal tam, kde nyní je, ale v době vzestupu to nebyla killer application, dokonce ani lepší volba, pro masového uživatele to byl jen krapet pomalejší a hardwarově náročnější prohlížeč, který uměl zobrazit o něco méně stránek.

Co je vlastně OpenID? Je to technologie, která umožňuje lidem přihlašovat se na různé weby stejným loginem, bez opakovaných registrací a vymýšlení hesla. Zbavuje návštěvníky neoblíbených registračních a přihlašovacích formulářů. Hovoří se o ní jako o univerzální internetové občance. Přesto o ní mluví jen několik nadšenců a žádná revoluce se nekoná. Proč?

Uživatelská nepřívětivost

Dnešní prohlížeče velice usnadňují vyplňování klasických přihlašovacích i registračních formulářů. Nenabízejí však žádnou podporu pro přihlašování přes OpenID.

Registrační formulář představuje notoricky známý vzor, jehož vyplnění zvládá běžný uživatel jako samozřejmost (byť se mu to snaží řada webových tvůrců setsakramentsky zkomplikovat). Prohlížeče si hesla pamatují a celý proces přihlášení redukují na kliknutí na ikonku nebo tlačítko, neprobíhá-li automaticky zcela.

Vedle toho registrace přes OpenID je krokem do neznáma vyžadující značné úsilí. Poprvé jsem si to vyzkoušel na blogu asi největšího popularizátora OpenID u nás, Martina Malého, který běží na Drupalu. Registrace přes OpenID se skládala z mnohem více kroků, než registrace klasická, na některé obrazovky jsem nechápavě zíral a snažil se odhadnout, co se po mně probůh chce.

Čímž pochopitelně nekritizuju Martina, který byl z chování Drupalu taky nešťastný. Jde jen o ukázku toho, že Drupal vyvíjejí programátoři, nikoliv experti na použitelnost. Ano, tyto skupiny vnímám jako protikladné. Ano, sám jsem výjimka 🙂

Další problém nastává při přihlašování. Prohlížeč nijak nespolupracuje, magická hůlka v Opeře nefunguje. Je potřeba kliknout na ovládací prvek přepínače, ručně vyplnit OpenID login, dostat se na stránky OpenID providera a tam se lze teprve přihlásit s hůlkou. Pokud se potřebujete přihlásit v okamžiku, kdy se chystáte odeslat komentář (což je prakticky ve 100% připadů), spáchá na vás Drupal ještě horší kulišárnu – komentář si musíte uložit do schránky, manuálně se přihlásit, poté znovu najít místo, na které reagujete a znovu komentář vložit.

Samozřejmě lituju toho, že jsem se s OpenID vůbec přihlašoval, a jelikož to nejde zvrátit, přestal jsem psát komentáře – pro Misantropa má OpenID nečekané pozitivum ;)

Implementace především

Říkáte, že pláču na špatném hrobě, že argumentace se netýká OpenID ale jedné zmršené implementace? Máte samozřejmě pravdu. Jde však o výbornou ukázku toho, jak slibná technologie může být zásadním krokem zpět z pohledu uživatelů.

Jsem přesvědčen o tom, že budoucnost OpenID závisí na podpoře za strany prohlížečů. Pokud přijdou s vestavěným OpenID přihlašováním na jeden klik, bude vyhráno. Aby stačilo přímo v prohlížeči nastavit svou identitu. Aby nedocházelo k žádným přesměrováním na providera, aby všechno proběhlo v rámci aktuální stránky, doprovázeno nanejvýš dialogovým oknem prohlížeče.

Podpora prohlížeče je klíčová i pro vývojáře webových aplikací. OpenID protokol je šíleně složitý, o schopnosti Běžného Programátora ™ napsat přívětivé chování webové aplikace si nedělám iluze. Pokud se však opráší cca koncept HTTP autentifikace, šikovně implementovat ho dokáže i začátečník.

Budou to prohlížeče umět? A kdy?

Bezpečnost (ještě víc) především

Musím zmínit ještě jednu filosofickou stránku. Dosud byla počítačová veřejnost vychovávána k tomu, aby na každém webu používala jiné heslo. Sám jsem to zvládl jen díky udělátku a dnes skutečně mám všude jiné a velmi silné heslo (a jsem tomu rád).

OpenID razí opačnou filosofii – jedno heslo platí všude.

Je potřeba připustit, že to není s pravidlem „jiné heslo pro každý web“ v rozporu, protože ono jedno heslo se zadává jen u jednoho OpenID providera. Na druhou stranu, ztráta takového hesla má řadově větší dopad a s rozmachem OpenID se dá očekávat, že se útočníci na tyto hesla zaměří.

Sumárum: dovedu si představit budoucnost v OpenID, ale zatím každému webdeveloperovi radím, ať je na stránkách nepoužívá. Ale oni stejně nemají zájem. Třeba stran OpenID nepadl pod článkem o Přihlašování uživatelů v Nette ani jeden dotaz – a že jsem pár rýpavých očekával ;)

před 16 lety v rubrice PHP | blog píše David Grudl | nahoru

Mohlo by vás zajímat

Komentáře

  1. Aleš Roubíček #1

    avatar

    Metodu přihlašování kterou popisuješ má v sobě Windows Vista potažmo .net framework 3.0 a novější, ovšem nikdy nedosáhla nějakého většího rozšíření. Pro zájemce technologies se jmenuje Windows CardSpace a její podstatně schopnější nástupce Geneva. Díky modelu providerů lze tyto použít i jako obálku nad OpenID, podstatné však je, že identity se drží na uživatelově počítači.

    před 16 lety
  2. DiGi #2

    avatar

    Mozilla Weave v aktuální verzi 0.3.2 má openId login jedním klikem myši. Zcela změní přihlašovací dialog a zbyde jen „Login using Weave“.

    https://web.archive.org/…_the_Browser

    před 16 lety
  3. jiri #3

    avatar

    Nemůži si pomoci, ale to co píšeš o Firefoxu mi přijde trošku zcestné (a srovnání s OpenID už úplně). Až tě podezírám, že jsi to takhle bulvárně napsal schválně a čekáš, kdo se chytne ;)

    Tenkrát v době jeho „rebelského“ kouzla přece jen několik výhod přinášel. To, že ty výhody měli i jiné minoritní prohlížeče je věc druhá. Narozdíl od tehdejšího IE měl záložky, pluginy a nepřímo díky nízkému podílu na trhu i vyšší bezpečnost. Nebyla to killer aplikace, ale lepší volba určitě.

    Dnes už se jeho existence obhajuje o dost hůře :)

    před 16 lety
  4. Radek Hulán #4

    avatar

    Přesně pro tyto důvody je vhodné používat Live ID. To má totiž „Live ID Login Assistent“, což je plugin pro IE, který si tě pamatuje (klidně více identit), a namísto abys zadával jméno, heslo a 100 údajů, jen klikneš na svoji fotku a je hotovo 🙂

    před 16 lety | reagoval [8] VfB
  5. v6ak #5

    Chce to více implementací na serveru, aby se tím zabývali vývojáři prohlížečů.

    před 16 lety
  6. Martin Malý #6

    avatar

    Verisign, takto poskytovatel OpenID, nabízí plugin, který přihlášení na jeden klik (a samozřejmě i držení údajů) umí. Stejně tak existují single-click implementace OpenID – například RPX od JanRain. OpenID samosebopu může být pohodlné – např. podpora na Bloguje je minimal-intrusive, na Blogspotu taky (Drupal není tímto způsobem POHODLNÝ, protože jeho filosofie je JINÁ – není to blogovací systém a nutnost být přihlášen před odesláním komentáře nevyplývá z NEŠIKOVNOSTI OpenID, ale z jiného přístupu Drupalu).

    „jelikož to nejde zvrátit“ – jde, samosebou. Ne že by to nešlo zvrátit. Stačí se zeptat…

    „Podpora prohlížeče“ by měla vypadat jak? OpenID je serverová technologie, zní mi to asi jako „podpora prohlížeče pro XML-RPC“.

    PS: Jistě tě nepřekvapím, když ti napíšu, že ve svém frameworku podporu OpenID (i LiveID) mám. Spočívá v jedné funkci: „Ověř, zda je řetězec $str platným OpenID identifikátorem, a požádej o autorizaci“. Výsledkem je změna v session, která informuje o tom, že přihlášení proběhlo v pořádku. Opravdu nevím, co je na tom „šíleně složitého“… Kdybys na mé přednášce nevyrušoval, tak to víš! :)

    před 16 lety
  7. Tomik #7

    avatar

    Davide, nerejpej do toho, nebo nebude mít Artur o čem přednášet!

    OT: Arture, měls u sebe v pondělí ručník?

    před 16 lety
  8. VfB #8

    avatar

    #4 Radku Huláne, jenže Live ID nepodporují žádné normální weby, jen Hotmail a pár dalších MS webů, takže je pro normální lidi zbytečné, češi spíše používají Seznam, který jede na Open ID

    před 16 lety
  9. eLKa #9

    avatar

    Asi odbočím, ale na tomhle článku mě zaujalo jediné: jak máš dělané ty obrázkové nadpisy? Přece nevytváříš pro každý článek vlastní nadpis a ke všemu ještě zvlášť obrázek pro každé slovo. Že je v tom nějaký chyták? ;)

    před 16 lety
  10. eLKa #10

    avatar

    …a odpovím si sám slovy Arthura Denta: https://web.archive.org/…/cufon/about

    před 16 lety
  11. Qar #11

    avatar

    K bezpečnosti – Verisign u své pip.verisignlabs.com nabízí za pár dolarů možnost dokoupit ověřovací token, což mnohonásobně zvýší bezpečnost a je to určitě bezpečnější mít tento token registrovaný u jednoho OpenID poskytovatele než u všech různých webů, kde se chci přihlašovat…

    před 16 lety
  12. heptau #12

    Srovnani s Firefoxem komentovat nebudu, ale nazor na OpenID vznikl podle me tou spatnou prvni zkusenosti. Moje prvni zkusenost byla ta, ze jsem na nejakem webu (netusim kde to bylo ani co tam bylo za redakcni system) chtel napsat prispevek a v miste kde bych jinak napsal jmeno jsem si mohl vybrat OpenID a pod tim byla ikoka AIM (mimo jinych), tak jsem jen klikl na ikonku (AIM jsem si kdysi zalozil misto ICQ, protoze se siti ICQ normalne komunikuje a navic nemam pridelene cislo, ale nazev ktery jsem si zvolil) a do OpenID policka se mi predvyplnila adresa a zvyraznil jen muj login, ktery jsem prepsal, dopsal jsem prispevek a klikl na ‚odeslat‘ – byl jsem presmerovan na AIM stranku, kde jsem jen dopsal heslo a potvrdil ze souhlasim s tim, ze si stranka zada me jmeno a po potvrzeni jsem se vratil zpet a prispevek byl odeslan pod mym jmenem – coz je presne to co jsem chtel (a dokonce od te doby tam mam pri pristupu ze stejneho pocitace i to OpenID predvyplneno). Takze ja na tom serveru nemusim vystupovat jako anonym, nemusim se registrovat a nemusim si pamatovat dalsi heslo – nevidim tudiz duvod proc OpenID na weby nedavat.
    Prikladem jsou treba potrebne registrace na nekterych serverech pro moznost psat prispevky. Osobne se nikde neregistruji – to je pro me prilis velke obtezovani, a to ja bych mel alespon tolik rozumu ze bych zvolil na ruznych serverech ruzna hesla, ktera bych byl schopen znovu vydedukovat i na jinem pocitaci, ale vetsina lidi by jen zadala to heslo, co maji ted zrovna oblibene a vubec by neresila, ze stejne maji i v praci pro pristup do site a ze se do te site da prihlasit i vzdalene by ignorovala, pokud by o tom vubec vedela. Takze ja OpenID povazuji jednoznacne za prinos, zejmena bezpecnostni. Nejakou podporu v prohlizecich bych take uvital, ale nemyslim ze by se to o moc zlepsilo oproti tomu co jsem zazil ja, snad jen ze by bylo lepe zajisteno ze ona prihlasovaci stranka nebude podvrzena.

    před 16 lety
  13. David Grudl #13

    avatar

    Musím všem poděkovat za velice vstřícnou diskusi (i pod minulým článkem). A to i navzdory mé zálibě v bulvárních titulcích a provokativních úvodech ;)

    před 16 lety
  14. šťoural #14

    ratolesti instalovalY kdyžtak

    před 16 lety | reagoval [15] David Grudl
  15. David Grudl #15

    avatar

    #14 šťourale, máš recht

    před 16 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.


phpFashion © 2004, 2024 David Grudl | o blogu

Ukázky zdrojových kódů smíte používat s uvedením autora a URL tohoto webu bez dalších omezení.