Plop,

J'ai regardé la doc OpenID, fait pas mal de tests, implémenté un début de solution, et en définitive je suis en train de me poser la question sur son utilité réelle. Bien sûr, il y a le fait que ce soit une authentification centralisée, mais en dehors de cela, qu'est-ce que cela apporte concrètement?

Je peux accepter l'aspect positif d'authentification centralisée, mais quand je vois les sites qui supporte le standard sur l'open id directory, la moitié l'ont viré ou sont en construction, l'autre moitié le support est tout relatif.

En principe, le protocole prévoit de demander au serveur Email, nom, prénom et qqs autres éléments pour pouvoir simplifier la création du compte sur le site client. Génial! Sauf que Yahoo, sauf erreur de ma part, ne renvoie que dalle au site. Et pour ce qu'il en est de Google, il ne semble pas envoyer l'email (mais de toute façon pour le moment mon code marche pas du tout avec Google ).

Bref, il faudra l'OpenID 3 ou 4 avant que ce soit utilisable, ou j'ai loupé un truc?

Dommage, sur le principe, un compte centralisé avec les données de base, cela aurait été sympa...

Voila, c'était mon coup de gueule du jour, vous êtes pas prêt de voir le support OpenID ici tant que sais pas au moins en tirer l'email

PS: en plus, ils feraient bien de faire un effort de présentation, c'est illisible leur doc officielle

Bah deja, le gros plus que cela apporte, c'est que tu ne dois plus te soucier de gerer la securite des passwords (generation, salt grain, etc...). Tant que le serveur OpenID te renvois un "C'est bon, je garantie que la personne est bien la personne qu'elle pretend etre", tu es cense pouvoir le croire les yeux fermes.

L'autre avantage, c'est que chacun est libre de s'enregistrer a un serveur OpenID, pour toi, cela ne doit pas faire de difference, le principe d'authentification est toujours le meme (a l'url du serveur pres).

Apres, les petits plus, comme les email, noms, etc... que le serveur OpenID te renvois, c'est cherry on the cake, mais pas mandatory il me semble.

Justement, ton cherry on the cake, c'est le seul attrait que moi je vois pour le grand public

Pour un internaute moyen, la sécurité c'est déjà un terme tellement abstrait pour lui, de lui proposer l'open id si cela ne lui apporte pas une simplicité pour s'enregistrer sur les sites, il ne comprendra pas. Tu vas lui parler du mot de passe, il ne va même pas comprendre pourquoi il ne ferait pas confiance à l'un ou l'autre site.

Et alors de pouvoir faire ton serveur à toi, excuse moi, c'est ultra élitiste

Si OpenID ne doit servir que pour se branler la nouille dans un milieu ultra branché des informaticiens, la technologie ne sert à rien. La technologie doit être prévue pour améliorer et simplifier la vie des utilisateurs lambda, ça lui parle, mais de savoir que son mot de passe est géré par Facebook, Yahoo ou son forum favoris, il s'en contrefous, il comprend même pas

Marcel: Donc je dois comprendre que c'est "normal" que Yahoo ne renvoie que dalle? Alors je peux enterrer mon code?

Ah c'est sur que parler d'OpenID au grand public, il ne comprendra rien du tout (déjà que moi j'ai du mal :ddr555:)


Heureusement Wikipedia est là :

OpenID est un système d’authentification décentralisé qui permet l’authentification unique, ainsi que le partage d’attributs. Il permet à un utilisateur de s’authentifier auprès de plusieurs sites (devant prendre en charge cette technologie) sans avoir à retenir un identifiant pour chacun d’eux mais en utilisant à chaque fois un unique identifiant OpenID. Le modèle OpenID se base sur des liens de confiance préalablement établis entre les fournisseurs de services (sites web utilisant OpenID par exemple) et les fournisseurs d’identité (OpenID providers). Il permet aussi d'éviter de renseigner à chaque fois un nouveau formulaire en réutilisant les informations déjà disponibles.

Euh... L'OpenID n'a pas été fait dans l'optique d'apporter un plus "Wow effect" au grand publique. Il faut le voir comme ce qu'il est, un système d'authentification centralisée décentralisée (ouais, je sais, ca fait bizarre).

Quand tu fais une boutique en ligne, tu ne vas pas t'amuser à refaire tout le bordel pour le payement en ligne. Tu passes par des sociétés de service comme Ogone qui te garantissent une transaction selon les norme de Visa (entre autre).
Ici c'est pareil, tu ne refais pas le bordel pour la sécursation des password et la gestion des login, tu délègues cela a des sites externes qui garantissent le respect du protocole OpenID.

Maintenant, pour l'utilisateur final, la ou il y gagne, c'est qu'il a un point centralisé pour son acces. Plus besoin de se rappeler sur laquelle de ses 10 adresses email sera renvoyé le mot de passe qu'il a oublié (en priant qu'il n'ait pas oublier le mot de passe de l'adresse mail en question). Un peu comme si tu pouvais avoir bancontact et Visa sur la même carte, avec un seul et même code. Le pied pour certains, l'angoisse pour d'autres.

Ce n'est pas comparable Ogone et un service d'authenficiation. Ogone ils ont des accords avec BCC, des lignes louées, des certifications, un protocole super complexe. La centralisation d'un password ça fait un peu cheap si on ne centralise pas en plus un minimum de données comme l'email, nom et prénom. Pourquoi? Parce qu'au moins quand on change d'email on devrait pas se casser le cul a aller le changer partout.

L'argument de sécurité tu le comprends, je le comprends, mais c'est impossible à faire accepter au grand public dans son stade actuel.

Moi aussi je veux participer

En fait, l'openid c'est un truc qui ne sert à rien. Je m'explicationne ... Ici on te demande d'aller demander à un serveur si la personne qui vient te voir est bien celle qu'elle est. Très utile ... j'en conviens ...

Sauf que pour ça, il y a DEJA une technologie qui marche du feu de dieu ... Ce sont les certificats!

En plus, dans les certificats, il y a déjà la possibilité d'y mettre des attributs. Donc franchement, je ne vois vraiment pas l'intéret du bouzin. Encore une technologie pour piquer les emails

Surtout que nous les belges, nous avons tous notre certificat. Bon évidement, on ne peut pas y mettre d'email (ce qui est très con quand tu veux signer un mail parce que le programme s'attend à avoir une adresse dans le certificat mais soit ...) mais ça fonctionne au moins pour l'authentification.