Статьи

Google удаляет требование белого списка OpenID

Через день после объявления о своей поддержке OpenID Google решил отступить от требования, чтобы проверяющие стороны сначала получили разрешение от Google на прием OpenID, исходящих из Gmail. Google говорит, что причина, по которой они снимают требование, состоит в том, что к API-интерфейсу обращаются больше сайтов, чем они могли бы обработать.

Эрик Сакс из Google объясняет в своем блоге, что это значит для потребителей:

Это требование регистрации также привело к некоторой путанице, потому что пользователи хотели иметь возможность использовать существующие веб-сайты, которые принимают входные данные, совместимые с OpenID 2.0, просто введя «gmail.com» (или в некоторых случаях их полный адрес электронной почты) в поля для входа в тех веб-сайты. Как правило, после того, как пользователь ввел gmail.com, веб-сайт проверяющей стороны будет искать на серверах gmail.com файл специального типа (XRDS), который будет проверять, запускает ли Gmail провайдер идентификации OpenID. Для вчерашнего запуска мы специально решили не публиковать этот специальный файл XRDS на gmail.com, потому что если бы мы опубликовали этот файл, пользователи получили бы ошибку в Google, если бы веб-сайт, на который они пытались войти, не зарегистрировался у нас. Теперь, когда мы удалили требование регистрации, мы будем работать над тем, чтобы вытолкнуть этот файл XRDS как можно быстрее. Как только файл XRDS станет действующим, конечные пользователи должны иметь возможность использовать службу, введя gmail.com в поле OpenID любого поля входа в систему, поддерживающего OpenID 2.0, аналогично тому, как пользователи Yahoo могут вводить yahoo.com или свои Yahoo E- Почта Адрес. (В то же время, если вы чувствуете себя действительно странно, вы можете ввести «https://www.google.com/accounts/o8/id» в поле входа в систему, совместимое с OpenID 2.0 и увидеть направленный рабочий процесс идентификации в действии.)

Google также решил вопрос о том, когда и если они станут проверяющей стороной. По словам Сакса, причина, по которой они этого не делают, — техническая проблема. Эта проблема, по его словам, заключается в том, что приложения с расширенным набором клиентов сломались бы, если бы Google поддерживал федеративный вход в систему для пользователей-потребителей, потому что идея имени пользователя и пароля жестко закодирована в этих настольных и мобильных приложениях. Это именно то, что уже происходит сегодня, говорит он, для корпоративных клиентов электронной почты, которые используют своего собственного провайдера идентификации и для которого Google является проверяющей стороной.

Сакс говорит, что Google работает над этой проблемой, но не обещает, что Google станет проверяющей стороной (или говорит о сроках, чтобы это произошло).

Один из наших читателей, Дерон Меранда, поделился некоторыми интересными идеями по другим причинам, почему такой крупный поставщик OpenID, как Google или Yahoo! может не захотеть быть проверяющей стороной в комментарии вчера . Ниже приведена выдержка из версии:

Если одна из их учетных записей электронной почты будет взломана; у них может быть некоторая юридическая ответственность или, по крайней мере, плохой пиар в отношении контента. Это достаточно плохо, когда Yahoo! получает много плохой прессы, когда аккаунт [губернатора США Сары] Пэйлин был взломан; представьте, что произойдет, если сторонний ОП также был в миксе. Yahoo! все равно получит все плохое внимание, но нарушение даже не будет их ошибкой или под их контролем.

Кроме того, большие парни, как мы надеемся, гораздо более подкованы в безопасности, чем небольшие сайты. Они способны правильно и безопасно управлять логинами, шифровать пароли, заниматься восстановлением паролей, защитой от учетных записей ботов и т. Д. Также они могут быть немного более защищены от конфиденциальности пользователя (или, по крайней мере, иметь больше денег и слоев); конечно, он не идеален, но Google будет сопротивляться довольно сильно, когда какая-то компания скажет, что ей нужно имя пользователя для учетной записи; без какого-либо юридического ордера. Я не уверен, что все меньшие операционные системы являются «безопасными» или заслуживающими доверия, поэтому крупные игроки должны быть обеспокоены тем, что это может поставить под угрозу конфиденциальность его пользователя, когда он передает аутентификацию на стороне другой стороне.

Это не значит, что мы не должны оказывать на них давление, чтобы они стали RP, но мы должны понимать, что для них существуют особые обстоятельства, которые требуют тщательного осмысления. Я думаю, что кое-что из этого — только вопрос времени, позволяющий OpenID созревать больше.

Кроме того, если вы не один из немногих крупных игроков (Google, Yahoo!), вы должны быть RP. Аргументы для того, чтобы быть только OP, не столь оправданны.

Другими словами: это политика.

Какова бы ни была причина, я по-прежнему буду придерживаться своего утверждения, что OpenID не будет работать и не будет легкой продажей для потребителей, пока они не будут по-настоящему доверять тому, что их ID будет работать как логин везде, независимо от того, кто их провайдер. является. Попытки Yahoo! и Google, чтобы запутать бренд OpenID, поощряя разработчиков добавлять кнопки «Войти через Yahoo! / Google», также не помогают. Надеюсь, однако, что большая тройка действительно хочет стать доверяющими сторонами, а не контролировать фирменный универсальный опыт идентичности. Это одна вещь, в которой я бы хотел ошибиться.