Статьи Новости Контакты

03.12.2008
Игорь Крейн

Почем OpenID для народа

обзор технологии открытых идентификаторов с точки зрения интернет-пользователей

OpenID

Статья написана совместно с Владиславом Михеевым

С тех пор как блоги практически вытеснили с просторов Сети многочисленные персональные странички, прошло уже немало времени. Для кого-то интернет-дневники стали оперативным источником информации со всех концов света, для кого-то — своего рода портфолио, а для кого-то — отличным средством общения.

Но существует одна проблема, с которой рано или поздно сталкивается любой блогер: сервисов для ведения блогов довольно много, на каждом из них есть что почитать и есть что откомментировать. Однако зачастую без регистрации комментарии оставлять нельзя. Хорошо, если вы не бываете нигде, кроме "Живого журнала". Но как быть, если вы читаете дневники на "Я.ру", Li.ru и Blogger? Неужели регистрироваться на всех этих сайтах сразу?

Проблему усугубляет и развитие так называемых «стенделон-блогов» — то есть самостоятельных блогов на отдельных доменах. В целях борьбы со спамом владельцы таких интернет-дневников нередко разрешают комментирование только зарегистрированным пользователям, но процедура регистрации, как правило, отпугивает не только спамеров, но и многих вполне добропорядочных посетителей.

OpenID позволяет обходиться без ненужных регистраций
К счастью, существует технология, позволяющая во многих подобных случаях обойтись без утомительной регистрации. Речь идет об OpenID. На страницах .hostinfo эта технология уже освещалась ранее, но сейчас мы бы хотели подробнее остановиться на том, что она означает для обычных пользователей.

Как говорит "Википедия", OpenID — это — "открытая децентрализованная система единого входа, которая позволяет использовать один логин и пароль на большом количестве сайтов". Проще говоря, это означает, что вам нужно один-единственный раз зарегистрироваться на одном-единственном сайте (такой сайт называется "провайдер OpenID"), после чего вы получаете уникальный идентификатор, указывая который на сторонних сайтах, вы можете входить на них без всяких регистраций, логинов и паролей. Слово "децентрализованная" подразумевает, что провайдеров OpenID может быть великое множество. По сути дела, любой желающий может стать таким провайдером, даже ваша горячо любимая теща — для этого ей нужно лишь иметь собственный сайт, а также желание и возможность "прикрутить" к нему комплект специального программного обеспечения.

Если у вас есть OpenID и вы хотите, к примеру, оставить комментарий на сайте, поддерживающем эту технологию, для начала вам потребуется ввести этот идентификатор в соответствующее поле. После этого от данного сайта (он называется также "зависимой стороной") к провайдеру OpenID поступает запрос, целью которого является выяснить, действительно ли этот идентификатор ваш. Если до этого вы успели залогиниться на сайте провайдера под этим идентификатором, то процедура проверки от вас может быть скрыта. В противном случае, прежде чем вы залогинитесь на сайте зависимой стороны, вас перенаправят на страницу провайдера для идентификации. Также OpenID-провайдер может уточнить, доверяете ли вы зависимой стороне и позволяете ли передавать ей те или иные данные (например, электронный адрес). Если все прошло успешно, провайдер связывается с зависимой стороной и подтверждает вашу "личность".

(Приведенная выше схема при практическом применении может отличаться в некоторых деталях, что зависит от реализации OpenID-функциональности как со стороны провайдера, так и со стороны сервиса.)

Аутентификация «Яндекс OpenID»
OpenID-провайдер (''Яндекс'') уточняет доверие к зависимой стороне (''Живой журнал'')

В теории это все выглядит весьма заманчиво, однако на практике без мощной поддержки со стороны влиятельных компаний вся эта теория может вызвать лишь академический интерес. Поначалу, когда в середине 2005 года протокол OpenID был только разработан, с поддержкой, конечно же, было туго. Правда, поскольку разработал его Брэд Фитцпатрик, являвшийся к тому же отцом — основателем «Живого журнала», то он тут же оснастил этот сервис новой функциональностью. С тех пор "ЖЖ" выступает как в роли OpenID-провайдера, так и в роли зависимой стороны. На практике это означает, что, во-первых, каждый зарегистрированный пользователь "ЖЖ" автоматически получает открытый идентификатор вида [username].livejournal.com, а во-вторых, тот, у кого нет "ЖЖ"-аккаунта, может оставлять комментарии, залогинившись под идентификатором OpenID другого провайдера.

У многих пользователей уже есть один или несколько идентификаторов OpenID
К настоящему моменту ситуация с поддержкой этого стандарта весьма благоприятная. В частности, в игру уже вступили такие гиганты, как Microsoft и Google, что само по себе означает, что этот протокол фактически обречен на успех. И самое примечательное, что обычному интернет-пользователю вряд ли придется куда-то бежать за получением своего идентификатора OpenID: такой идентификатор уже сейчас есть почти у каждого, и зачастую не один.

Действительно: каждый интернетошатающийся зарегистрирован на ряде сервисов вроде блого-, фото- или видеохостинга, и почти наверняка хотя бы один из этих сервисов по совместительству является OpenID-провайдером. О "Живом журнале" мы уже говорили, но он далеко не единственный такой "неявный" провайдер. Русскоязычным пользователям полезно будет узнать, что, помимо "ЖЖ", в роли провайдеров OpenID выступают, в частности, «Яндекс», «Рамблер» и LiveInternet.

Так, если вы регистрировались на одном из сервисов "Яндекса", это автоматически означает, что у вас есть "Яндекс.Паспорт", что, в свою очередь, говорит о том, что у вас уже есть открытый идентификатор вида openid.yandex.ru/[username]. При этом пользователи блог-сервиса "Я.ру" обладают еще более коротким идентификатором — [username].ya.ru. Если же у вас есть учетная запись на "Рамблере", то вы смело можете пользоваться идентификатором id.rambler.ru/users/[username]/. Ну а к аккаунту на "лирушечке" вы в нагрузку получаете и OpenID вида www.liveinternet.ru/users/[username]/ — кратенько и со вкусом.

Однако надо иметь в виду, что провайдер провайдеру рознь. Для сервисов, которые мы привели в качестве примеров выше, функции по предоставлению OpenID-идентификаторов являются второстепенными, и нередко их реализация далека от совершенства. Так что тому, кто хочет завести себе OpenID, следует подумать о том, чтобы воспользоваться для этого специализированным сервисом. Тем более что некоторые из них предоставляют возможность использовать так называемую "сильную аутентификацию", то есть аутентификацию, в основе которой лежит принцип, более приемлемый с точки зрения безопасности, нежели банальный ввод символьного пароля.

Ряд провайдеров OpenID предоставляют "сильную аутентификацию"
Попытаемся пояснить на примере, зачем такая "сильная аутентификация" может понадобиться. Допустим, что у вас есть аккаунт на "Яндексе" и, соответственно, OpenID-идентификатор. Теперь предположим, что, путешествуя по просторам Сети, вы наткнулись на очаровательный частный блог, украшенный розовыми цветочками, и решили оставить комментарий под одной из записей. Вместо регистрации на сайте вам предложили воспользоваться вашим OpenID, и вы согласились с этим, в сущности, неплохим предложением. Вас переадресовывают на страницу, внешне напоминающую страницу "Яндекс.Паспорта", и просят указать свой логин и пароль. И вы вводите их, не заметив, что страница, хотя и похожа внешне, находится по совсем другому адресу. Таким образом, фишер (интернет-мошенник, выуживающий чужие пароли и другую конфиденциальную информацию) получил все, чего ему не хватало, чтобы "угнать" ваш аккаунт на "Яндексе": теперь он может стереть ваш дневник, изучить вашу почту и пересчитать остатки денег в вашем "Яндекс.Кошельке".

Сильная аутентификация в этом плане предпочтительнее. Вместо того чтобы каждый раз требовать от вас логин и пароль, OpenID-провайдер может автоматически аутентифицировать вас с помощью SSL-сертификата, который хранится на жестком диске вашего компьютера. Добраться до этого сертификата мошеннику будет довольно-таки непросто. А главное — если с такого вот блога в розовых цветочках вас переадресуют на страницу, требующую ввода логина с паролем к вашему OpenID-провайдеру, и не предложат воспользоваться сертификатом, то это станет для вас сигналом, что дело нечисто. Ну и, раз уж мы завели разговор о мошенниках, не забывайте, что в веб-форме зависимой стороны (сервиса) не должно быть поля для ввода пароля к OpenID — только поле для идентификатора.

Служба myOpenID — один из самых крупных провайдеров OpenID
Такого рода аутентификацию с помощью клиентского сертификата предоставляет, например, служба myOpenID — один из самых крупных провайдеров OpenID. Рассмотрим для примера, какие возможности myOpenID предоставляет обычным пользователям.

С регистрацией на этом сервисе не должно возникнуть проблем даже у самого неподготовленного пользователя, тем более что сайт большей частью переведен на русский язык. Первым делом следует нажать на кнопку "Получить OpenID" и заполнить предложенную форму: задать имя пользователя (если выбранный вами логин уже кем-то занят, вы немедленно получите предупреждение об этом) и пароль, а также указать свой адрес электронной почты. Адрес нужно будет подтвердить, на чем процедура регистрации и завершится.

Регистрация на myOpenID
Регистрация на myOpenID

Вот, собственно, и все: теперь можно спокойно пользоваться идентификатором вида [username].myopenid.com для входа на любые сайты, поддерживающие OpenID.

Если вы хотите, чтобы владельцы сайтов или дневников, куда вы заходите по OpenID, могли с вами связаться, вы можете подготовить своего рода визитную карточку ("Персональную идентификационную страницу"). Соответствующий пункт вы найдете в меню "Ваша учетная запись".

Однако основное преимущество сервиса — это упомянутая выше возможность навсегда забыть о входе по логину-паролю благодаря использованию SSL-сертификатов. Причем можно получить не один, а несколько сертификатов и установить их на разных компьютерах: например, на домашнем десктопе, на офисном компьютере и на ноутбуке.

Для получения сертификата следует воспользоваться все тем же меню "Ваша учетная запись" (опция "Настройки авторизации"). В нижней части этой страницы присутствует пункт "Добавление клиентского SSL-сертификата". Требуется лишь задать имя сертификата (например, "дом", "работа", "ноутбук") и нажать кнопку "Создание сертификата". Созданный сертификат будет немедленно установлен в браузере, и с этого момента можно будет входить на сайт myOpenID без ввода пароля.

Имеет смысл создать резервную копию сертификата, однако это не обязательно: если вы вдруг потеряете сертификат, всегда можно войти на сайт по обычному паролю или с помощью другого сертификата и отозвать ненужный сертификат (это делается в один клик через все ту же страницу настроек авторизации). Отозвать сертификат также можно (и нужно!), если вы потеряете ноутбук или просто утратите доступ к компьютеру со своим сертификатом — причем сделать это следует как можно быстрее, пока им не воспользовался кто-то другой.

У службы myOpenID есть целый ряд других небесполезных функций, но они ориентированы прежде всего на владельцев сайтов. Об этих функциях, а также о том, что вообще OpenID означает для сайтовладельцев, мы постараемся рассказать во второй части статьи.




Скоро на сайте

  • Wordpress

    Серия статей о плагинах к движку WordPrress
  • AJAX

    Проекты и продукты, ориентированные на AJAX
  • Новые сервисы Google

    Обзор новых сервисов Google
 

Copyright © 2003—2018 Все права защищены

При использовании материалов сайта ссылка на hostinfo.ru обязательна

  • хостинг от .masterhost
  • Rambler's Top100