Quantcast
Channel: Komentáře k příspěvku: OpenID: Identity, aliasy a vlastní poskytovatel
Viewing all 20 articles
Browse latest View live

Od: drsnacek

0
0

OpenID vs. digit. certifikat
Omlouvam se za lamersky dotaz… Pro prihlaseni na ruzne zabezpecene servery (banky apod.) pouzivam digitalni certifikat(-y), lze s nim i podepisovat, sifrovat apod. Proc neni vytvoren jakysi digitalni certifikat, ktery by identifikoval cloveka (on vlastne je – zaruceny digitalni "podpis") a pomoci nehoz bych se mohl kamkoliv prihlasit (jako do te banky)? Je to z duvodu slozitosti zpracovani na strane serveru pozadovane sluzby?

OpenID jsem pochopil jako univerzalni autorizacni server, na ktery se prihlasim a on me autorizuje u sluzby, kterou pozaduji…


Od: Jan Tvrdík

0
0

Re: OpenID vs. digit. certifikat
Pokud vím, tak specifikace OpenID nedefinuje způsob autorizace, takže v budoucnu by mělo být něco podobného možné.

Od: drsnacek

0
0

Re: OpenID vs. digit. certifikat
Aha, takze bych se pomoci certifikatu prihlasil na server poskytovatele OpenID. Ale slo by udelat system, ktery by poskytovatele OpenID vynechal? Ze bych se prihlasoval certifikatem rovnou do jednotlivych sluzeb? Co by potom spravce sluzby musel mit k dispozici?

Od: petr_p

0
0

Re: OpenID vs. digit. certifikat
Drobný problém s českým zaručeným certifikátem je, že s ním můžete pouze podepisovat. Takže autentizaci tímto certifikátem lze udělat pouze krkolomným způsobem, kdy server pošle text, uživatel si jej přečte, podepíše, a podpis odešle zpět.

Od: drsnacek

0
0

Re: OpenID vs. digit. certifikat
Toje zajimave, to jsem nevedel… ale jak tedy bude narocne provozovat sluzbu (dejme tomu webove rozhrani pro mailovy server nebo webove forum), do ktere by se uzivatele prihlasovali certifikatem? Jak probehne vyhodnoceni autentizace z pohledu serveru, co vsechno budu muset na serveru mit a co pozadovat odjinud?

Od: drsnacek

0
0

Re: OpenID vs. digit. certifikat
Nasel jsem zpusob pouziti certifikatu SSH pro autentizaci – prijde mi to na strane serveru neprilis slozite (kdyztak me vyvedte z omylu…):

In brief, certificate authentication works in the following way:

* The client sends the user certificate (which inludes the user's public key) to the server.
* The server uses the CA certificate to check that the user's certificate is valid.
* The server uses the user certificate to check from its mapping file(s) whether login is allowed or not.
* Finally, if connection is allowed, the server makes sure that the user has a valid private key by using a challenge.

Porad mi prijde, ze kdyby se zavedlo pouzivani jednotneho overeneho certifikatu pro prihlasovani k ruznym sluzbam, tak je to jednoduzsi, nez OpenID a spol. ?? Neco ve stylu certifikatu overeneho digit. podpisu, ktery by ale umoznoval vice funkci, nez jen podepisovat maily…

Od: Martin Malý

0
0

Re: OpenID vs. digit. certifikat
Ano, šlo by to, ale správce každé služby, do níž byste se chtěl přihlásit, by musel podporovat NĚJAK autentizaci a implementovat mechanismus pro přihlašování via certifikát.

Specifikace OpenID 2 přišla s rozšířením PAPE, které umožňuje klientovi požadovat, aby OpenID poskytovatel ověřil člověka více způsoby – např. jménem a heslem + algoritmem challenge/response. Navíc umožňuje požadovat, aby jeden z těchto způsobů ověření byl "fyzikální", tedy pomocí nějaké hmotné věci, co uživatel musí mít (USB dongle, čtečka otisků prstů, "kalkulačka" na kódy, …)

Výhoda podobného postupu je ta, že vy si můžete vybrat poskytovatele, který vás ověří pomocí certifikátu, a takto ověřen se můžete přihlásit na LIBOVOLNOU službu, která podporuje OpenID – odpadá tedy nutnost implementace konkrétní metody ze strany služby. A pravděpodobnější je, že naleznete takového OpenID poskytovatele, než že všechny služby implementují všechny možné způsoby ověřování. :)

Od: Martin Malý

0
0

Re: OpenID vs. digit. certifikat
Technologicky to je podobné. I zde server ověřuje u někoho třetího (u CA), zda certifikát platí. Jinak ohledně výhodnosti viz výše – než implementovat přihlašování via digitální podpis (jste si jist, že US server bude znát naše CA?) na všech službách, je jednodušší implementovat OpenID a implementaci přihlašování certifikátem (a třeba čtečkou otisků, USB donglem, čtečkou sítnice, …) požadovat od OpenID poskytovatelů.


Od: xzajox

0
0

Re: OpenID vs. digit. certifikat
aj podla mňa by namiesto rozširovania certifikátu bolo lepšie opačný postup –
pridať ku OpenID certifikaciu.

Najlepšie by bolo asi takto –
1. Relying party by komunikovala s Providerom že či je to moje OpenID,
2. potom, ak by chcela aj certifikát, skontaktovala by Certifikačnú autoritu v mojej krajine a overila či moj OpenID je aj certifikovaný (tam by som musel ist raz realne s občiankou)
3. uznala a použila by moje certifikované OpenID napr. na digitálny podpis

:) ak som úplne mimo, pls ignorujte

Od: Magnesium2

0
0
<p>Chtěl bych se zeptat čím to, že když zadám svůj vlastní alias, tak se to přepíše na <a href="http://mojeID.myopenid.com/xrds">http://mojeID.myopenid.com/xrds</a>.<br /> Chtěl jsem tohle řešení používat kvůli případné změně providera, ale když bych chtěl změnit providera, tak bych stejně potom musel všude měnit svůj identifikátor místo aby tam zůstal alias mého webu a jenom se přihlašoval přes někoho jiného a smysl mého aliasu by se vytratil ...</p>

Od: drsnacek

0
0

OpenID vs. digit. certifikat
Omlouvam se za lamersky dotaz… Pro prihlaseni na ruzne zabezpecene servery (banky apod.) pouzivam digitalni certifikat(-y), lze s nim i podepisovat, sifrovat apod. Proc neni vytvoren jakysi digitalni certifikat, ktery by identifikoval cloveka (on vlastne je – zaruceny digitalni "podpis") a pomoci nehoz bych se mohl kamkoliv prihlasit (jako do te banky)? Je to z duvodu slozitosti zpracovani na strane serveru pozadovane sluzby?

OpenID jsem pochopil jako univerzalni autorizacni server, na ktery se prihlasim a on me autorizuje u sluzby, kterou pozaduji…

Od: Jan Tvrdík

0
0

Re: OpenID vs. digit. certifikat
Pokud vím, tak specifikace OpenID nedefinuje způsob autorizace, takže v budoucnu by mělo být něco podobného možné.

Od: drsnacek

0
0

Re: OpenID vs. digit. certifikat
Aha, takze bych se pomoci certifikatu prihlasil na server poskytovatele OpenID. Ale slo by udelat system, ktery by poskytovatele OpenID vynechal? Ze bych se prihlasoval certifikatem rovnou do jednotlivych sluzeb? Co by potom spravce sluzby musel mit k dispozici?

Od: petr_p

0
0

Re: OpenID vs. digit. certifikat
Drobný problém s českým zaručeným certifikátem je, že s ním můžete pouze podepisovat. Takže autentizaci tímto certifikátem lze udělat pouze krkolomným způsobem, kdy server pošle text, uživatel si jej přečte, podepíše, a podpis odešle zpět.

Od: drsnacek

0
0

Re: OpenID vs. digit. certifikat
Toje zajimave, to jsem nevedel… ale jak tedy bude narocne provozovat sluzbu (dejme tomu webove rozhrani pro mailovy server nebo webove forum), do ktere by se uzivatele prihlasovali certifikatem? Jak probehne vyhodnoceni autentizace z pohledu serveru, co vsechno budu muset na serveru mit a co pozadovat odjinud?


Od: drsnacek

0
0

Re: OpenID vs. digit. certifikat
Nasel jsem zpusob pouziti certifikatu SSH pro autentizaci – prijde mi to na strane serveru neprilis slozite (kdyztak me vyvedte z omylu…):

In brief, certificate authentication works in the following way:

* The client sends the user certificate (which inludes the user's public key) to the server.
* The server uses the CA certificate to check that the user's certificate is valid.
* The server uses the user certificate to check from its mapping file(s) whether login is allowed or not.
* Finally, if connection is allowed, the server makes sure that the user has a valid private key by using a challenge.

Porad mi prijde, ze kdyby se zavedlo pouzivani jednotneho overeneho certifikatu pro prihlasovani k ruznym sluzbam, tak je to jednoduzsi, nez OpenID a spol. ?? Neco ve stylu certifikatu overeneho digit. podpisu, ktery by ale umoznoval vice funkci, nez jen podepisovat maily…

Od: Martin Malý

0
0

Re: OpenID vs. digit. certifikat
Ano, šlo by to, ale správce každé služby, do níž byste se chtěl přihlásit, by musel podporovat NĚJAK autentizaci a implementovat mechanismus pro přihlašování via certifikát.

Specifikace OpenID 2 přišla s rozšířením PAPE, které umožňuje klientovi požadovat, aby OpenID poskytovatel ověřil člověka více způsoby – např. jménem a heslem + algoritmem challenge/response. Navíc umožňuje požadovat, aby jeden z těchto způsobů ověření byl "fyzikální", tedy pomocí nějaké hmotné věci, co uživatel musí mít (USB dongle, čtečka otisků prstů, "kalkulačka" na kódy, …)

Výhoda podobného postupu je ta, že vy si můžete vybrat poskytovatele, který vás ověří pomocí certifikátu, a takto ověřen se můžete přihlásit na LIBOVOLNOU službu, která podporuje OpenID – odpadá tedy nutnost implementace konkrétní metody ze strany služby. A pravděpodobnější je, že naleznete takového OpenID poskytovatele, než že všechny služby implementují všechny možné způsoby ověřování. :)

Od: Martin Malý

0
0

Re: OpenID vs. digit. certifikat
Technologicky to je podobné. I zde server ověřuje u někoho třetího (u CA), zda certifikát platí. Jinak ohledně výhodnosti viz výše – než implementovat přihlašování via digitální podpis (jste si jist, že US server bude znát naše CA?) na všech službách, je jednodušší implementovat OpenID a implementaci přihlašování certifikátem (a třeba čtečkou otisků, USB donglem, čtečkou sítnice, …) požadovat od OpenID poskytovatelů.

Od: xzajox

0
0

Re: OpenID vs. digit. certifikat
aj podla mňa by namiesto rozširovania certifikátu bolo lepšie opačný postup –
pridať ku OpenID certifikaciu.

Najlepšie by bolo asi takto –
1. Relying party by komunikovala s Providerom že či je to moje OpenID,
2. potom, ak by chcela aj certifikát, skontaktovala by Certifikačnú autoritu v mojej krajine a overila či moj OpenID je aj certifikovaný (tam by som musel ist raz realne s občiankou)
3. uznala a použila by moje certifikované OpenID napr. na digitálny podpis

:) ak som úplne mimo, pls ignorujte

Od: Magnesium2

0
0
<p>Chtěl bych se zeptat čím to, že když zadám svůj vlastní alias, tak se to přepíše na <a href="http://mojeID.myopenid.com/xrds">http://mojeID.myopenid.com/xrds</a>.<br /> Chtěl jsem tohle řešení používat kvůli případné změně providera, ale když bych chtěl změnit providera, tak bych stejně potom musel všude měnit svůj identifikátor místo aby tam zůstal alias mého webu a jenom se přihlašoval přes někoho jiného a smysl mého aliasu by se vytratil ...</p>
Viewing all 20 articles
Browse latest View live