BrowserID поштова адреса як ID користувача
Mozilla закінчила розробку BrowserID - єдиної децентралізованої системи аутентифікації, яка використовує HTML5, криптографію з відкритим ключем та цифрові підписи. Вона ґрунтується на спрощеній інтерпретації Verified Email Protocol.
Крім відсутності паролів, ключовою перевагою BrowserID є захист приватності — на відміну від OpenID та всіх подібних систем, провайдер identity у BrowserID не отримує даних про те, на якому сайті залогінився користувач. Для підтримки BrowserID достатньо включити бібліотеку include.js, додавши наступний рядок у заголовок сторінки:
Замість кастомної кнопки можна поставити одну із стандартних, які пропонуються для BrowserID.
На другому етапі вам потрібно верифікувати assertion та отримати email користувача. Це робиться запитом до https://browserid.org/verify з двома параметрами POST (assertion і audience) - запит підписаний вашим підписом. Верифікатор перевіряє валідність assertion.
Перевірку assertion можна здійснювати і на власному сервері, див. специфікації та вихідники верифікатора. У цьому випадку забезпечується абсолютний захист інформації - провайдер identity не отримує даних про те, на якому сайті залогінився користувач.
Хардкорна конфа за С++. Ми запрошуємо лише профі.
Читають зараз
Авторизація на сайтах через Z-Payment (OAuth 2.0)
Пишемо собі трохи Open > +59 6,7k 107 18
Швидкий старт з Open > +41 12k 163 61
Коментарі 44
Значить із такоюсистемою будуть терти.
приклад - вхід на сайті за логіном і паролем викрали у мене допустимо пошту на яку зареген акк, поки людина не додумається відновити пароль (якщо він взагалі додумається що на цю пошту може бути зареген хто-то) я вже зможу зайти на сайт та поміняти пошту
Людям не пояснили взагалі нічого, і вони на це чекають — це факт.
Можливо я щось упускаю з уваги, але поки все виглядає так: BrowserID у плані безпеки швидше гірше OpenID, а в плані інтерфейсу користувача зручніше тим, що замість необхідності набирати свій url-ідентифікатор OpenID можна мишкою вибрати свій email-ідентифікатор BrowserID. І щось мені підказує, що використовуючи ті ж самі технології HTML5, які використовує BrowserID, можна реалізувати вибір мишкою свого ідентифікатора і для OpenID.
Але, вважаю, доки BrowserID не буде підтриманий двома-трьома провайдерами, він так і залишиться експериментом.
Немає необхідності в підтримці BrowserID для «всіх email», достатньо підтримки для «всіх користувачів».
А у чому різниця між схемами? Ось ви бачите на сайті, що якесь повідомлення залишене powerman%[email protected] Вам все одно доведеться довіритися browserid.org у тому, що це та сама людина, що і powerman@powerman. name
Мінуси вашої пропозиції: 1. Коли powerman.org почне підтримувати BrowserID нативно, ваш логін зміниться, і не всі сайти зможуть коректно відпрацювати цей перехід. 2. У нинішній схемі, якщо browserid.org завтра вимкнеться, то сайт буде мати справжній email, за яким він надішле ваш пароль. У вашій схемі сайту не буде вашого справжнього email, а редирект з browserid.org буде вимкнений. 3. Велике навантаження ляже на browserid.org, причому пустенавантаження - не потрібне пересилання email.
Все так. Тим не менш, у розробці таких протоколів начебто ключовий момент це безпека. Більше того, вже є OpenID, і BrowserID в теорії повинен бути більш захищеним, ніж OpenID, для отримання конкурентної переваги ... а наявність у протоколі secondary authority сильно послаблює безпеку, на мій погляд.
BrowserID більш захищений: у фінальній повністю розвиненій версії протоколу немає жодного спілкування між сайтами без участі користувача, тільки через нього.
Про інтерфейс користувача: для людини нелогічно сприймати як ідентифікатор себе URL: email в цьому плані звичніше і відповідає давнім традиціям уявлення: я такий-то звідти.