Danas, posle priče na eTrgovina, u kolima na povratku kući razmisljam o konceptu indentiteta korisnika na net-u. Ne znam da li svi znate o čemu je reč, glavno pitanje je cenralizovanje ličnih podataka ili neki servise, kao što je recimo pokušao Microsoft svojim Passport servisom u kojem pomoću centralnih podataka pristupate mnogobrojnim servisima. Microsoft je to ograničio na svoje servise (koliko se ja secam) MSN, hotmail...

Google ima nešto slično sa svojim gmail account-om koji je username i password za mnoge google servise uključujući i adsense i analytics.

Kako bi moglo da izgleda neko globalno rešenje i kolika je uopšte verovatnoća da će mnogi servisi prihvatiti korišćenje takvog jednog centralnog identiteta osobe na netu.

Znači, na primer, ja se registrujem na nekom servisu koji se zove DPTPassport i onda, gde god da odem na bilo koji servis, umesto registracije i unošenja gomile podataka iznova svaki put i pamćenja stotine passworda (ako ne koristite uvek isti svuda) jednostavno koristim svoj DPTPassport. Znači pri registraciji, jednostavno unesem svoj DPTPassport username i password i već sam registrovan za taj novi servis, pri čemu servis pristupa mojim podacima kao što je ime, prezime, email...

Šta recimo sa kupovinom online? Da recimo čuvam broj kreditne kartice na takvom nekom servisu, i onda kada kupujem nešto, umesto unošenja podataka ne neke potencijalno nesigurno sajtove, jedostavno cela transakcija ode preko mog centralnog identiteta. Taj nesiguran servis nikada neće saznati moje podatke o kreditnoj kartici, svo obavlja taj neki DPTPassport i samo isporučuje rezultat transakcije ovom servisu.

Naravno, priča je mnogo kompleksnija, ovo su samo neke nabacane ideje, čisto za početak

Pa generalno je odlicno ,Google implementacije je po meni najbolja ,.NET passport je pain in a ass da pokrenes ( mada kasnije on ok radi ).E sad pitanje je da li ce prosecan korisnik da prihvati to resenje,evo uzevsi Google kao uspesan primer ,oni su to uradili neprimetno preko GMail account'a ... jako dobra tema ...

Zaboravismo Yahoo! koji to ima odvajkada, ali, ionako ti browser pamti passworde, to je jedno, a, verujem, imas i hihg-security passworde za vrlo bitne stvari. Sa aspekta bezbednosti, to je nightmare. Dalje, cak i da se uredi centralna baza na nekom sajtu za sve servise, prvo pricaj o Verisign certifikatu ($100000 depozita), a onda o svemu ostalom, uz, svakako, kako bi taj servis mogao i da bude profitabilan. Da li bi ti placao takvom sajtu da tvoji cPanel passwordi budu u bazi? Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi? Nije mi jasno kako je uopste ovo moglo ikome da padne na pamet.

Nije tu reč samo o passwordima, nego o mnogo široj slici. Svakodnevno popunjavamo upitnike na webu, a te informacije posle nekog vremena mogu da zastare, a mi nemamo načina da ih promenimo. Takođe, nemamo dovoljno jasnu predstavu šta se zna o našim identitetima na Webu. Ne mislim tu samo na ime/prezime/rodjenje/posao/plata parametre, nego i na praćenje aktivnosti pojedinog korisnika koje ne moraju biti vezane uz ime.

U odličnoj prezentaciji Steve Majstorovića pomenuti su glavni igrači na ovom polju: Microsoftov InfoCard (http://msdn.microsoft.com/winfx/reference/infocard/default.aspx) i Sxip (http://www.sxip.com/). Tu je i OpenID (http://www.openid.net/).

Onako "na prvu loptu" (još pijem prvu jutarnju kafu), rekao bih da ne samo da zvuči kao dobra ideja, nego i da je to nešto što se ne može izbeći u relativno bliskoj budućnosti.

MSN Passport u početku nije bio ograničen samo na MS web servise, već je bio predviđen da radi baš onako kao što si i ti zamislio (sad vadim iz malog mozga, ali čini mi se da je jedno vreme i Ebay koristio njihove usluge). Problem je bio u (ne)pouzdanosti njihovog sistema, pa su na kraju svi osim MSa odustali od Passporta.

... pa globalno - ne. Korisnički sistemi nastaju zbog interesa osnivača sistema - kako postoje različiti interesi (različiti džepovi) to postoje i različiti sistemi. Jeste jedna lepa utopija, svakako.

Što nK kaže, svi ti centralizovani identity sistemi nastali su iz potreba samih pokretača (MSN, YAhoo...) gde se najmanje mislilo na benefite za krajnje korisnike (naravno u PR-u to ističu kao komparetivne prednosti).

Osnovno, da bi imali jedan takav "centralni registar" on mora biti zasnovan na interesu, a potom se postavlja vrlo osetljiva pitanja, kotrole, pristupa, identifikacije itd. Da, tu je i sindrom "velikog brata".

Za izbegavanje popunjavanje silnih formulara to je dobra ideja ali meni samo nije jasno kako napraviti dovoljno, da kazem uopsten sistem gde ces jednom upisati sve potrebne podatke. Na koliko bi pitanja bilo dovoljno odgovoriti u taj "centralan registar" kako vise ne bi morali da se upisuju formulari. Neki sajt moze da zahteva od korisnika da upise samo najosnovnije podatke a neko moze da trazi npr. Social Security Number.

Neko resenje bi bilo da se napravi dovoljno usaglasen sistem od strane sajtova za pitanja na formularima ili ce ici po principu: "iz vaseg registra smo uzeli te i te podatke a treba da upisete jos to i to". Sto se tice informacija o kreditnim karticama, na mnogim mestima gde nesto kupujemo online oni se cuvaju tako da ne vidim razlog zasto se ne bi i tu cuvalo.

Mozda je pravo resenje da se koristi neka kombinacija hardverskog uredjaja kao npr. smart card u kombinaciji sa "centralnim registrom" sto bi donekle obezbedilo neporecivost transakcije.

Samo, kao sto je Goran spomenuo "velikog brata" to lici na to. Necu ni da pomislim sta bi se desilo kada bi neko upao u takav sistem.

Zaboravismo Yahoo! koji to ima odvajkada, ali, ionako ti browser pamti passworde, to je jedno, a, verujem, imas i hihg-security passworde za vrlo bitne stvari. Sa aspekta bezbednosti, to je nightmare. Dalje, cak i da se uredi centralna baza na nekom sajtu za sve servise, prvo pricaj o Verisign certifikatu ($100000 depozita), a onda o svemu ostalom, uz, svakako, kako bi taj servis mogao i da bude profitabilan. Da li bi ti placao takvom sajtu da tvoji cPanel passwordi budu u bazi? Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi? Nije mi jasno kako je uopste ovo moglo ikome da padne na pamet.

Mislim da nisu uopste ukapirao pricu. Ne kaci se Passport servis na tvoj sajt nego ti na njegov kako bi proverio identitet neke osobe. Znaci kada unosi neko kod tebe username i password, ti se saljes request na njegov identitet i dobijas true / false ili sta god i tako znas da je ok. Sta ces ti kasnije da radis sa tim, to je tvoja stvar. Da li ces da kreiras session ili nesto - to nema veze sa servisom.

Ne razumem "placanje takvom sajtu da passwordi budu u bazi"? i "Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi?". Korisnik sam odlazi na takav sajt i kreira svoj identitet a kod tebe on unosi samo svoj username i password iz svog identiteta a ti onda radis upite za sve ostale podatke. On nikada ne "svrlja" po tvojoj bazi nego ti po njegovoj.

Samo, kao sto je Goran spomenuo "velikog brata" to lici na to. Necu ni da pomislim sta bi se desilo kada bi neko upao u takav sistem.

Ti kao korisnik i vlasnik identiteta biras koje ces podatke da ostavis. Koliko je to nesigurnije od ostavljanja istih podataka na milion drugih sajtova. Sigurno si registrovan bar na 10 foruma i svuda imas iste podatke, zar ne? Zar nije lakse da imas to na jednom mestu, jednom uneto i sacuvano, a kada se logujes na forum, taj forum samo radi query na tvoj identitet i skuplja podatke koje si tamo ostavio.

To cak moze i po sistemu nekih permissions, recimo da ti dozvoljavas ili ne dozvoljavas da neki sajt cita tvoje podatke, pa neki log da vidis ko je i kada pristupao kojim podacima sa tvog identiteta... Ne mislim da je cak i malo nesigurnije nego ostavljanje gomile istih podataka na stotinama sajtova gde se trazi tvoja autorizacija.

Sto vise razmisljam sve vise mislim da moze da se odradi dobar sistem, jedino kriticno pitanje je kako ubediti vlasnike sajtova da implementiraju takav feature, odnosno da umesto da te maltretiraju da se registrujes na svakom posebno jednostavno prihvate da citaju podatke sa tvog identiteta. Najveci adut u prilog tome je sto bi u slucaju da se koristi centralni identitet znali sa najvecom sigurnoscu da su podaci tacni i ispravno uneti jer sam servis brine o tome.

Možda bi jedno od mogućih rešenja bilo da rešenje bude globalno, ali ne i centralizovano. Zapravo, nešto slično kao jabber IM sistem: protokol je jedinstven, ali ne postoji jedan jabber server. To jest, ja kao korisnik mogu da biram da li ću svoje podatke čuvati kod Pere, Žike ili ću podići sopstveni authorization server.

BTW, ideja mi deluje suviše banalno, tako nešto sigurno već postoji.

Tehnicki gledano, nije to tesko napraviti. Podaci se mogu organizuaovati poprincipu koji je uveo XML (postoji jasno definisan skup podataka, ali i mogucnost da se namenski taj skup moze prosiriti). Na sajtu samo ukucas svoj GlobalID a on na osnovu njega od servera ID-ova procita one podatke koji mu trebaju.

Promocija ne bi morala dabude komplikovana jer bise ovaj servis mogao nuditi kao opcioni: umesto da popunjava podatke u formualru, korisniku se ponudi opcija da navede svoj GlobalID i time automatski da sve potrebne podatke.

Problem je tu pre svega u poverenju. Morala bi da postoji opcija da korisnik moze da definise koji servisi smeju da citaju njegove podatke i to tako da po default-u nijedan servis ne moze da cita podatke dok mu korsinik to ne odobri.

U praksi: korisnik ukuca na sajtu GlobalID, a tada ga sajt prebaci na GlobalID servis koji ga obavesti da taj i taj sajt zeli da pristupi njegovim podacima i ponudi mu opcije za podesavanje odobrenja (da li uopste sme da cita podatke i koje), pa kada korsinik to odobri, bude vracen na pocetni sajt...

I to sve lepo moze da funkcionise dok se ne pojave zlonamerni, koji bi jedva docekali. Oni bi vrlo lako mogli da "prevare" sistem i dodju do podataka.

Dovoljno je, recimo, da onaj servis koji dobije dozvolu da cita podatke, te podatke distribuira dalje (posto to ne moze da se kontrolise). I eto nove forme za prikupljanje proverenih podataka o zrtvama. To bi recimo sa phishing bila pravameka, jer ne samo da bi podaci o zrtama ili dostupni, nego i o tome koje servise koriste tako da bi phishing bio mnogo efikasniji jer bi lazirao servise koje korisnik zaista upotrebljava (za razliku od danasnjeg phishing-a koji puca na slepo).

Kada su podaci o kreditnim karticama upitanju, njih GlobalId servis nikako ne bi smeo da daje bilo kome, vec bi morao prakticno da implementira kompletan sopstveni sistem placanja.

I na kraju, na koliko sajtova vi ostavljate tacne podatke? Zlatno pravilo opstanka je da dajes minimum tacnih infomacija o sebi, cak i na sajtovima kojima verujes.

Pa postoji, ali nije ni globano ni centralizovano :)

Sto se identiteta tice, kradja identiteta na internetu je kriminal koji najbrze raste, a ja mislim da je to najvise zbog toga sto svi ostavljaju svuda svoje podatke. Ovakvim sistemom bi se i to u velikoj meri onemogucilo. Recimo neki Pera Peric ode na neki sajt i unese tvoje podatke, kada bi postojao centralni sistem nebi nikako mogao to da uradi osim ako nema tvoj username/password/ili bilo koji drugi metod autorizacije. i dpt.com bi ga odbio "sorry, prema nasim informacijama ti nisi Pera Peric".

Ne znam zasto mislis "banalno", ovo je sve samo nije banalno. Cak je suvise kompleksno da bi mogli da odemo korak dalje od samo neke teoretske rasprave tipa "sta bi bilo kad bi bilo". Ova tema je zapoceta vise kao neki brainstorming...

Zlatno pravilo opstanka je da dajes minimum tacnih infomacija o sebi, cak i na sajtovima kojima verujes.

Znao sam da ti nisi iz Uzica i da se samo foliras svo ovo vreme... :) Pitanje je da li si uopste Pedja?

OpenID i Sxip imaju otvorene protokole, pa se mogu praviti 'klonovi', ukoliko je to dopusteno. Takodje, trebalo bi videti koliko su jaki, i sta se sve moze traziti od servera. Samo authentifikacija, ili i demografske informacije koje su dopustene za taj servis.

Ovde je (kao i na drugim mestima) potrebna kriticna masa prihvatanja protokola.

Igore, hvala na ključnim rečima. ;)

Na lokaciji http://openid.net/ postoji jako lepo objašnjenje kako sve funkcioniše, kao i sekcija sa naslovom "Why not _______?" :)

@bluesman

Ne shvatas, prvo ce to biti nocna mora za bezbednost. Ja odredjujem na kome cu sajtu ostaviti svoje licne podatke. Meni ne treba nikakva pomoc da izbegnem phishing, a novi browseri ionako imaju dobru zastitu od toga. Ovako ce svako moci da dodje do vise informacija nego sto treba (hint: DPT do moje adrese, broja telefona, itd.) osim ako ne odredjujem posebno pristup za svaku informaciju za svaki sajt, a lakse je upisati username BB i nesto kratko kao pass, ionako ce browser zapamtiti. Zaboga, ja imam sajt sa loginom, koliko ima fake e-mail adresa ne pitaj, ljudi umeju da se paze, ne brini se. Browser ionako pamti lozinke.
Ko god pokrene servis, mora i biti profitabilan, nekako zaraditi. Dalje, monopol na lozinke nije dobra stvar. To ce biti raj za phishing, jer ne moras imati poverenje posetioca da dodjes do njegovih podataka (to moze da se spreci opet sa dozvolama, ali podesavanje istih je veci problem nego staviti informaciju za username i pass)
Saobracaj: Ocekujes da webmasteri pune neciji dzep? Login facility svako moze napraviti, zar stvarno mislis da je webmaster glup da anulira vrednost svoje promocione kampanje i SEO, pa da nekom passport sajtu da sav svoj saobracaj?

Recimo, passport sajt, bilo koji, bi prakticno meni trebao da placa uslugu koju ja cinim passport sajtu - login tamo, logout tamo, reklame tamo, saobracaj tamo. Inace, koju ja vajdu imam od passport sajta? Bas nikakvu. Ko hoce, registrovace se kod mene, ko nece, cao. A to vazi jos i vise za vrlo veliki sajt, koji milione zaradjuje.

postavlja se pitanje koliko je to (ne)sigurnije od ovoga kako se sada radi?

Jer ti i dalje kad se registrujes negde moras da uneses username i pass za taj centralni registar, da bi doticni sajt na koji se npr. registrujes mogao da pristupi tvojim podacima, jel tako? A to znaci da ako taj password procuri svi mogu da pristupe tvojim podacima.. a pri tome umesto sadasnje situacije gde na razne sajtove unosis razne passworde, ovde bi stalno koristio jedan te isti sto bi znatno povecalo sansu da taj password bude provaljen... a i koja bi bila usteda unosis jedan password da ne bi morao da unosis drugi, ne zvuci mi kao nesto potrebno, pogotovo sto svi browseri pamte passworde, a imaju i te form wizarde koji automatski popune podatke (mada to radi vrlo diskutabilno, jer je izuzetno tesko za realizaciju)

Ono sto ima buducnost je jedna varijacija na tu temu gde postoji servis za verifikaciju identiteta, sto donekle vec postoji (javne arhive public kljuceva npr..), i varijanta koju radi google, a to je da se jednom ulogujes i automatski imas pristup na vise njihovih servisa (ali u toj varijanti onaj ko radi autorizaciju ima mogucnost da te prati po netu, sto znaci mnogo podataka i mnogo para, i cisto sumnjam da bi se veliki igraci odrekli takvog zlatnog rudnika u korist nekog centralnog registra).

i na kraju, mozda sam ja paranoican, ali mi se to bas ne svidja kao ideja. Ne tako davno je bio onaj slucaj kad su americke agencije trazile od google-a da omoguci potpuni pristup svim podacima iz baze, pa je (navodno) google to odbio, pa su se sudili... znaci zamisli situaciju u kojoj ti odes da trazis vizu za ameriku, a sluzbenik izvuce tvoj fajl i kaze ti: "a ne moze, vi ste tog i tog dana pretrazivali aranzmane za Kubu i Tunis, pa ste nam sumnjivi." Ili internacionalniji scenario, da odes npr. u banku da uzmes polisu zivotnog osiguranja, a oni ti kazu ne moze jer ste posecivali sajtove o extremnim sportovima ili nesto slicno.. To su sve vrlo pipave stvari...

Bojane, ajd malo pojasni kako ce DPT doci do tvog telefona? Svaki servis ima pristup samo na podskup informacija koje su mu stvarno neophodne, i samo na te ima pristupa.

Ovakav brainstorming bi bio jos interesantniji da se desio neposredno nakon izlaganja Steve Majstorovica.

Bilo je jos radova na e-trgovini koji su pominjali privatnost podataka, i skupljanje informacija o korisniku. Konkretno je toga bilo i u mom radu, posto se radilo o direktnom marketingu, a i u radu neposredno iza mog, koji je bio u bigbrother fazonu, neko moze da zna sve o nama, a da mi to ne znamo.

Ako neko i skuplja informacije o mom delovanju na Internetu, nema veze. Ono sto mogu dobiti je sto vise personalizovanog contenta.

Takodje, mislim da vam je jasno da zbog Interneta mozete biti anonimni vise nego ikada, i da postanete ono sto ste oduvek hteli. Registrujes se kao batman, kazes da si visok 190, i da volis zivotinje, narocito sismiseve, i srce ti je na mestu.

"a ne moze, vi ste tog i tog dana pretrazivali aranzmane za Kubu i Tunis, pa ste nam sumnjivi." Ili internacionalniji scenario, da odes npr. u banku da uzmes polisu zivotnog osiguranja, a oni ti kazu ne moze jer ste posecivali sajtove o extremnim sportovima ili nesto slicno..

E, ovo ne moze. Svako ima pravo samo na podatke koje je sam pokupio od korisnika. Govorim to iz licnog iskustva. Radimo sa milionima e-mail adresa koji dolaze sa raznih izvora, radi se o stotinama demografskih informacija sa raznoraznih izvora, i podaci se nikada, naglasavam nikada ne razmenjuju. Ako si na jednom mestu prijavio telefon, a kasnije na drugom mestu ispravio telefon, prirodno je da se i na prvom mestu ispravi telefon. Ali ako si na drugom mestu prijavio da pusis drinu bez filtera, a taj podatak nije bio pitan na prvom mestu, nema sanse da ti prvi servis sazna tu informaciju.

One koji rade sa tim podacima ne interesuju bas vasi licni podaci, njih interesuje samo 'oblak' podataka sa slicnim karakteristikama, radi racunanja trendova, izvlacenja analiza zbog daljnjih koraka, te targetovanja odredjene grupe korisnika novim contentom.

@bluesman
Ne shvatas, prvo ce to biti nocna mora za bezbednost. Ja odredjujem na kome cu sajtu ostaviti svoje licne podatke. Meni ne treba nikakva pomoc da izbegnem phishing, a novi browseri ionako imaju dobru zastitu od toga.
Mislim da ti ne shvatas celu pricu, ali necemo da prebacujemo loptice :)

Onda (slučajno) zaboravljaš jednu važnju činjenicu: jedno si "ti" a drugo su milioni drugih korisnika koji jedva da znaju šta se od njih traži na nekom sajtu i nemaju pojma o bezbednosti. Vidim da mnogi koji su pisali na ovoj temi pričaju iz svog ugla, nekoga ko se profesionalno bavi web-om, a ne iz ugla prosečnog korisnika koji je daleko ispod zadovoljavajućeg nivoa znanja.

Jedno rešenje je da sam servis vodi računa o sajtovima, odnosno da sajt mora da se prijavi i dobije neku zvaničnu potvrdu, sertifikat da je "bla-bla verified" i slično. To je obično i dobar publicitet za sam sajt.

Zašto ti recimo, na svom globalnom identitetu, ne bi mogao da definišeš sajtove kojima dozvoljavaš ne samo pristup podacima nego i koje podatke dozvoljavaš da pročitaju. Zašto sam servis, na osnovu sajta koji traži podatke, nebi mogao da odluči šta da servira. Napravi se klasifikacija sajtova... klasa A dobija sve podatke koje traži a tu su samo posebni sajtovi... klasa Z može da dobije samo email adresu.

Samim tim, ti odmah vidiš u koju klasu spada neki sajt, skoro kao neki rejting.

Zašto korisnik nebi mogao da definiše nekoliko email adresa i da odluči kojoj klasi sajtova ide koja adresa?

Ovako ce svako moci da dodje do vise informacija nego sto treba (hint: DPT do moje adrese, broja telefona, itd.) osim ako ne odredjujem posebno pristup za svaku informaciju za svaki sajt, a lakse je upisati username BB i nesto kratko kao pass, ionako ce browser zapamtiti. Zaboga, ja imam sajt sa loginom, koliko ima fake e-mail adresa ne pitaj, ljudi umeju da se paze, ne brini se. Browser ionako pamti lozinke.

To sa browserom radi samo u situaciji kada si sam za računarom. Zamisli na poslu, gde ima još 20 ljudi ti da čuvaš sve passworde u browseru? Vrlo glupo.

Sajt ima svoj neki key, user ima svoj key. Uspešno je samo ako se dobije match kod oba, čime se potrvđuje da je i sajt koji traži podatke, kao i user koji obezbeđuje podatke, validan.

Ko god pokrene servis, mora i biti profitabilan, nekako zaraditi. Dalje, monopol na lozinke nije dobra stvar. To ce biti raj za phishing, jer ne moras imati poverenje posetioca da dodjes do njegovih podataka (to moze da se spreci opet sa dozvolama, ali podesavanje istih je veci problem nego staviti informaciju za username i pass)

Ti ideš klasično srpskom logikom: monopol, prevare, ko drugi od toga ima koristi... pa sve vreme pričamo o servisu koji IMA poverenje korisnika, a ne "mali perica napravio sajt pa hajde, po srpski, da drpamo narod".

Saobracaj: Ocekujes da webmasteri pune neciji dzep? Login facility svako moze napraviti, zar stvarno mislis da je webmaster glup da anulira vrednost svoje promocione kampanje i SEO, pa da nekom passport sajtu da sav svoj saobracaj?
Kakav saobraćaj? Ne razumem. Ne šalješ ti ljude tamo nego imaš opciju da se kod tebe uloguje čovek koji ima definisan identitet. On unese svoj username, password i preko nekog key se proverava identitet. Nikoga ti ne šalješ, ti ostvaruješ direktnu konekciju sa servisom, šalješ unete podatke i primaš rezultat. Korisnik ne odlazi sa tvog sajta.

Recimo, passport sajt, bilo koji, bi prakticno meni trebao da placa uslugu koju ja cinim passport sajtu - login tamo, logout tamo, reklame tamo, saobracaj tamo. Inace, koju ja vajdu imam od passport sajta? Bas nikakvu. Ko hoce, registrovace se kod mene, ko nece, cao. A to vazi jos i vise za vrlo veliki sajt, koji milione zaradjuje.
Ne, on tebi čini uslugu. Prvo što potvrđuje da su podaci validni, drugo što ti postaješ verifikovan sajt koje može da se veruje, samim tim će ljudi slobodnije koristiti tvoj sajt a ne strepeti kad god treba da kliknu na submit. Zato i kažem da ne gledaš "celu sliku".

To su sve vrlo pipave stvari...
Slažem se :)

@bluesman

master password, anybody? Moze ne 20 nego sto ljudi da koristi moj komp. Dalje, browseri imaju ili ce dobiti anti-phishing npr. NN8, IE7, dalje, ti nisi uzeo u obzir cinjenicu da mnogo ljudi sasvim dobro zna da se cuva od phishinga (milijarde koriste net, milioni su budale, to razumem), dalje, kao i cinjenicu da veliki sajt nece zeleti da tek tako reklamira i promovise neki passport servis za dzabe (hint: google nece koristiti passport.net). Kad MS nije uspeo sa passport.net nece niko (dalje idu hintovi: ide mala reklamica za passport.net ili MS sto nijedan veliki sajt, a posebno Google ili Yahoo sebi nece da dozvole).
Pisi propalo.
Phishing se mnogo preuvelicava, BTW, znas li ikoga ko je naseo na phishing? Ima takvih, medjutim (jedan u 10000 ili 100000 a to je 0.1 ili 0.01 promila). To su luzeri i gotovo.
Pazi, pri phishingu korisnik najcesce nije preko SSL, sto i zna (nema mali katanac i/ili zuti addressbar i/ili kod NN8 zeleni stit na tabu, a ako jeste preko SSL zato sto sertifikat nije validan dobija ogromno upozorenje, i ako to ignorise nije bolje ni zasluzio). Dalje, uz servis passport.net ili slican koji drzi sve podatke za sve sajtove, takav koji nasedne na phishing ima da se upropasti za sva vremena.

Pa da niko ne naseda, niko se nebi ni bavio time, niti bi sajtovi obracali pažnju na to. Ponovo pričaš iz ličnog iskustva a ne gledaš širu sliku.

Evo primera sa Romance Cafe. Neka devojka se navodno muva se nekim tipom i posle par meseci dopisivanja on odluči da je pozove da dođe. Ona (naravno) nema za avioinsku kartu pa on, zaljubljeni džentlmen, šalje pare i to je bio njihov poslednji kontakt. Posle mi čovek kuka: "kako da je nađem?". Šta da mu kažem? Sorry, što si glup? Šta će čovek kada se zaljubio :)

Ja bih tada voleo da sam imao neki tool da mogu da pronađem tu osobu, neki globalni identitet i abuse prijava bi sigurno pomogla.

Onda, one situacije kada se registruju pa kažu da žive u nemačkoj, a u stvari čuči negde u nekom kućerku na klizištu u Umci i peca naivne...

Ono što hoću da ti kažem je da bi tako nešto ne samo pomoglo korisniku, nego i vlasnicima sajtova pa i svim drugim korisnicima. Ja bih na primer dozvolio da se uloguju na 2 načina:

1. standardno
2. preko tog identiteta (moramo da se dogovorimo za neko ime :) )

U oba slučaja bi imao sva prava, samo što bih za drugi slučaj, pored njegovog profila stavio neku markicu tipa "Autorizovan" ili "ovaj bar ne laže ko je i odakle je "... :)

U oba slucaja racunaj da se ne bi ni logovao na tvoj sajt. Sta ti imas da proveravas jesam li iz Krusevca ili Apatina? Sta ti to treba da znas?

Dalje, kao sto rekoh phisheri gadjaju na slepo, neki racun u Deutsche Bank - nemas racun u DB - nema problema, a ovako bi znali sta da phishuju i to bi bilo strahovito.

Bojane, naravno da je bitno. Ti registracijom potvrdjujes da si dao tacne podatke - za sve one koji su obavezni. U slucaju davanja laznih podataka ja imam pravo da ti prekinem clanarinu. A upravo sam ti objasnio kako to moze da se zloupotrebi.

Podaci koji nisu obavezni nemaju nikakvog uticaja. Na vecini "VELIKIH" dating sajtova MORAS da popunis sve, inace ne mozes postati clan. Oni naravno imaju iskustva o kojima ti samo mozes da nagadjas i da se pitas "sta ti to treba da znas?". Nista nije za dzabe.

Jos samo da shvatis da ljudi koji nasedaju na phishing ne cine to zato sto je Internet nesiguran... Vec zato sto je to malo komplikovano za njih :) Jos ce sa globalnim passportom da se unesrece nacisto :)

Dalje, sto se tice tvog clana koji je nekoj zeni na lepe oci dao pare nizasta... E, pa nemam komentar... Mislio sam da tu skolu prodje svako pre osamnaeste... :)

E, pa da se i ja malo ukljucim:
razmisljao sam o takvom sistemu pre par godina, pa je red i da se ukljucim u raspravu. Nisam hteo ranije jer nisam hteo da iznosim stavove dok se tema malo ne "zakuva", sto se definitivno i desilo. :-)
A i hteo sam prvo da se uverim da mislimo na iste (ili bar slicne) stvari.

OK, o sigurnosti, phishingu i ostalim smicalicama svi znamo, svi se bavimo njima, i zato (sto kaze blues) nismo bas idealni "korisnici interneta". Ali ajde malo da se odmaknemo od strane developera i da sagledamo celu ovu pricu iz jednog drugog ugla. Prvenstveno, ZAKONI! (fuj, znam, niko ih ne voli)

Moze li neko da kaze u cemu je razlika izmedju: Google/MS/Yahoo passporta i ovoga sto prica blues? Po meni, razlika je upravo u tome sto su to FIRME, znaci kompanije, koje imaju svoje sajtove/servise. Blues ovde prica o nekom "prstenu", ringu, kako god hocete, izmedju mnogo kompanija, a po mom misljenju to je VRLO tesko (skoro neizvodljivo). Zasto? Zato sto ako imas firmu i gomilu servisa, ti si JEDINI subjekat koji raspolaze tim podacima. Zato ove firme i imaju svoje passporte. Sta se desava kad se povezu 7 firmi u taj prsten? Znate li koliko tu novih copyright gluposti, license agreementa, disclosuresa i ostalih vratolomija tu mora da se promeni? Ove firme (G/MS/Y) nikome ne daju vase podatke, ostaju uvek kod njih (iskreno se nadamo, jeli). A u ovom slucaju, to ne pije vodu. Zakoni! Sta je onda Privacy Policy (ili sta-god) uopste? Potrebna su velika crvena slova i hiljadu obavestenja da bi se PRAVNO ZASTITIO takav prsten od svih problema koji mogu da nastanu. Tu sam ja odustao od svega toga, jer nemam svoje (bar ne javno dostupne) sisteme/servise... :-(

A koliko ljudi uopste cita takve gluposti po sajtovima (mislim na zakonske svtari)? Mi smo jos i "znatizeljni", pa i citamo. Ali iskreno mislim da preko 90% korisnika ne cita...

Izvinjavam se jer trenutno nemam vise vremena da nastavim pricu, imam o ovome da napisem joj sto-sta, ali treba i raditi nesto produktivno. :-)
U sv.slucaju, mislim da ne treba zanemarivati pravnu stranu celog ovog problema, i hteo bih da bar malo paznje obratimo i na to...
Nadam se da ce jos neko da se nadoveze na ovu perspektivu.

Nastavice se, nadam se... ;-)

Samo da se nadovezem na pricu, definitivno je pohvalno, ispravno i logicno da ovakve firme imaju svoje passporte. Ipak (sto neko lepo rece), nije to Perica koji dere ljude. Ovima to i treba!

A za izradu takvih sistema, mislim da smo mi samo sitna riba, nazalost... :-(

Dalje, sto se tice tvog clana koji je nekoj zeni na lepe oci dao pare nizasta... E, pa nemam komentar... Mislio sam da tu skolu prodje svako pre osamnaeste... :)

mislim da se ovakve stvari desavaju cesce nego sto mi mislimo...ja znam jednu ircerku koja je na tu foru opeljesila bar 5-6 amera tamo oko 99-2000-te..

A takodje znam iz vremena kad sam radio u RCUB-u da je jednom ispao prilican problem sa nekim amerom psihopatom. Prvo se kao dopisivao sa nekom studentkinjom, a onda je krenuo da joj hakuje mail, pa je na neku foru iskopao gomilu podataka na netu o njoj, smarao je, zvao telefonom, slao pakete na kucnu adresu...jako freaky stvar, i sto je najgore nista mu nismo mogli, nismo cak mogli ni da ga nadjemo..

One koji rade sa tim podacima ne interesuju bas vasi licni podaci, njih interesuje samo 'oblak' podataka sa slicnim karakteristikama, radi racunanja trendova, izvlacenja analiza zbog daljnjih koraka, te targetovanja odredjene grupe korisnika novim contentom.

Ima onih koje zanima statistika, a ima onih koji traze konkretne podatke o konkretnim ljudima...

Ajd kad sam vec krenuo sa primerima, evo ga jos jedan: ja se dosta bavim izradom spajdera i data miningom... jedan od uvrnutijih poslova je bio za advokata specijalizovanog za parnicenja oko odsteta... spajderovali smo nekoliko online izdanja lokalnih novina skupljajuci clanke o poginulima u saobracajnim nesrecama, zatim smo koristili razne fore (skroz legalne) da za ljude iz tih clanaka iskopamo sto vise podataka, ukljucujuci telefonski broj i adresu porodica i bliskih srodnika, a on je to koristio da im ponudi svoje usluge oko parnicenja... vrlo morbidno, ali je radilo posao.. a veruj mi da uopste nije bilo tesko izvesti, posto postoji gomila podataka koji leze unaokolo na netu...zapanjujuce je koliko mozes toga da saznas o bilo kome, a da cak nisi na istom kontinentu...

Ahem, slazem se, mada je internet stalking najcesce manje opasan od obicnog samo zato sto onaj koji proganja ne zna broj telefona, adresu, u ovom tvom slucaju to je bilo za policiju! Strasno!

Mozda bi to moglo da funkcionise na nekom nesto drugacijem prinicpu koij iskljucuje centralni registar. Nesto kao sto rade Voip servisi ili Jabber. Svako moze da napravi sopstveni registar korisnika, a registri mogu medjusobno da komuniciraju i razmenjuju podatke.

Prednost postojecih registara je u tome sto su oni interne prirode za odredjene subjekte koji ih koriste iskljucivo za svoje potrebe. Time su stvari znatno pojednostavljene, naricoti pitanje poverenja.

Opet, stoji da je vrlo cesta potreba za postojanje jedinstvenog resursa zajednickog za vise servisa. Svako ko imanekolko sajtova koji zahtevaju autorizaciju korsinika zna koliko znaci ako su svi ti korisnici u jednom registru.

Sve dok je to interna potreba, super, ali ako se u prsten ukljuci neko sa strane postavlja se pitanje poverenja.

Za neke druge stari to je reseno jakom pravnom regulativom, ili prosto vrlo jakim mehnizmima provere. Uzmimo na primer SSL. To je prilicno otvoren sistem, a opet nema zabelezenih primera zloupotrebe (ili bar ja za njih ne znam).


Sta bi se postiglo nekim takvim globalnim registrom? Anonimnost i dalje ne bi bila iskljucena jer bi svako mogao da otvori nalog i popuni ga podacima po zelji. Mogao bi cak i da otvori vise naloga. Olaksanje pri registraciji na nekom sajtu? Hm, s obzirom da svaki citac ume lepo da popamti kako popunjavamo obrasce na sajtovima, tu bi sasvim lepo pomoglo samo da se standardizuju nazivi polja u obrascima.

Globalni registar bi mozda imao svrhu za one web servise koji insistiraju na tacnim podacima. U tom slucaju bi registar imao svrhu da iskljuci svaki vid anonimnosti u smislu da korisnik ne moze anonimno da registruje ID (ali njegovi podaci mogu i dalje da ostanu tajni).

To bi znacajno suzilo broj sajtova koji bi takav servis koristili, ali bi to sve bili sajtovi kod kojih se ne postavlja pitanje poverenja. Tu mi na pamet pada eGovernment, odnosno komunikacija gradjana i drzavnih sluzbi elektronskim putem. Tu nema zbora da ne sme da bude anonimnosti ali i da nije tesko iskljuciti je.

Verovatno slicne servisa postoje i u komercijalnom sektoru ili, na kraju krajeva, svaki web seris moze da napravi razliku izmedju anonimonih korsinika i onih koji daju svoj globalID. I dalje servis ne mora da zna tacan identitet korisnika (ako ovaj to ne dozvoli) ali je sam ID garancija da korisnik nije anoniman i da u slucaju potrebe, odgovarajucom pravnom procedurom moze da se dodje do njegovih podataka.

Globalni registar bi mozda imao svrhu za one web servise koji insistiraju na tacnim podacima. U tom slucaju bi registar imao svrhu da iskljuci svaki vid anonimnosti u smislu da korisnik ne moze anonimno da registruje ID (ali njegovi podaci mogu i dalje da ostanu tajni).

To moze sasvim lepo da se ostvari sirim uvodjenjem sertifikata, kao sto se sad radi za SSL. Imas drzavnu agenciju koja izdaje sertifikate, i vrsi proveru identiteta, dobijes privatni kljuc, javni kljuc se nalazi na serveru te agencije i ako neko zeli da te proveri, ti enkriptujes svojim kljucem neke probne podatke, oni provere da si to zaista ti pomocu javng kljuca i to je to...

Poče sa radom (http://www.personalmag.co.yu/blog/?postid=957#dodaj) Microsoft Office Live Beta (http://www.personalmag.co.yu/blog/?postid=957#dodaj), a za potvrdu Web identiteta koristiće se podaci sa kreditnih kartica, čak i kod potpuno besplatnih naloga (https://membercenter.office.microsoft.com/misc/WhyNeedCreditCard.htm).

we still require a credit card in order to validate that every customer is a legitimate entity

Sto je katastrofalno za security :)

Ali je dobro za biznis ;)

Petar je skroz u pravu.

Potvrda identitata kreditnom karticom (http://www.ilija.biz/area51/entry/potvrda-identitata-kreditnom-karticom.html)

Goran Aničić je upravo objavio vest da Microsoft Office Live ulazi u beta fazu testiranja. Iako prilično zanimljiva vest za sve koji prate razvoj weba meni je u Goranovom teksu za oko zapela jedna druga stvar. Jedna od zanimljivosti je da se Microsoft odlučio da se pri registraciji zahtevaju podaci o korisnikovoj kreditnoj kartici (na šta je Goran odreagova sa znakom čuđenja) sa naznakom da su ti podaci potrebni čak i za besplatan paket usluga.

Ovaj korak se meni ne čini nimalo čudnim. Čak ga smatram izuzetno pametan i proračunatim. Vlasnicima komercijalne web aplikacije ovakva odluka pruža mnogo više korisi nego štete. Idemo redom:

* Nema mnogo laganja – Podatke o kreditnoj kartici nije lako lažirati jer se banke bar malo potrude da podaci o vlasniku same kartice budu ispravni prilikom izdavanja. Uz današnje sisteme gde se do računa i kartice dolazi za par (desetina) minuta i uz minimalnu proveru identiteta (dovoljna je lična karta) i ovaj sistem je moguće obići i proslediti lažne podatke, ali ovaj slučaj je više statistička greška nego pravilo.
* Korisnik je dovoljno zainteresovan za servis – Većina ljudi ne voli da ostavlja podatke o kreditnim karticama na sve strane. Samim tim što je čovek uneo te podatke pri registraciji pokazuje da je bar malo zainteresovan za sam servis. U slučaju besplatnih varijanti gde se od korisnika zahteva samo email adresa često se dešava da se ljudi registruju čisto da bi videli šta servis pruža i otišli nakon 15 minuta.
* Korisnik je u stanju da plati usluge – Unevši podatke o svojoj kartici korisnik je potvrdio da postoje sve tehničke mogućnosti (ispravna kartica) za naplatu postojećih ili dodatnih usluga.
* Štede se sistemski resursi – Iz druge i treće stavke se vidi da će sistemu imati pristup samo ljudi koju su zainteresovani za njega i u stanju su da plaćaju usluge servisa. Time se jednostavno obezbeđuje da se sistemski resursi ne raspaju na nepotrebne naloge koje se na kraju neće isplatiti. Primer toga šta se može desiti sa popularnim servisom kod koga je broj korisnika narastao preko mere koju serveri mogu da izdrže je nedavno lansiranje Google Analytics servisa. To su sigurno bilo jako zanimljivi dani za sve ljude uključene u taj projekat.

Istina je da će određen deo ljudi ostati uskraćen za mogućnost korišćenja servisa jer ne poseduje kreditnu karticu, ali koliki je taj procenat u odnosu na ciljnu grupu? Najverovatnije toliko mali da ga kompanija kao što je Microsoft zanemaruje.

Sigurnost? Pobogu Nixa, govorimo o jednoj od najjačih kompanija na svetu...

Tačno Ilija , ali ja generalno ne volim da moram negde da pokazujem svoju kreditnu karticu da bi imao mogućnost za servis ... + što mi se tako vraća dajavu
onog vremena ( valjda je to i sada mada ne posećujem takve sajtove :D ) kada si mogao da daš samo kreditnu karticu da bi te verifikovali da se iznada 18 na xxx sajtovima ... ali sa tvojim viđenjem stvari se u globalu slažem .....no zamisli da se desi nemoguće .... za 5 godina u bazi bude n miliona kartica ... i neki wunderkind se poigra malo sa sistemom ... desilo se i jačim kompanija zašto ne bi i Microsoftu ...

Kako sam i napomenuo u prezentaciji na Paliću... pojam identiteta je preširok. Na forumu pričamo o on-line identitetu, ali čak ni to nije dovoljno usko da bi se vodila "linearna" diskusija.

Lično sam uveren da će tržište osvojiti koncept koji je:


otvoren
siguran
jednostavan


Glavni inspirator mog predavanja je Dick Hardt (CEO iz Sxipa). Siguran sam da će vam novi koncepti on-line identiteta biti puno jasniji ako pogledate njegovu prezentaciju sa ETech 2006. Usput videćete kako se drži interesantna prezentacija o relativno dosadnoj temi.

http://identity20.com/media/ETECH_2006/

za 5 godina u bazi bude n miliona kartica ... i neki wunderkind se poigra malo sa sistemom ... desilo se i jačim kompanija zašto ne bi i Microsoftu ...

mislim da nema potrebe da se drze katice u bazi..tebi kartica treba samo za validaciju, inace ti treba samo CC processing interfejs prema banci da proveris podatke i onda u bazi samo zapamtis broj racuna korisnika sa koga skidas pare, kartica ti vise ne treba... naravno moras da budes sertifikovan za te stvari, ali to MS-u najmanji problem...

Znajuci kako oni to rade, smestace CC podatke negde, ne brinite :)

^ that's my point 2 :)

Kako sam i napomenuo u prezentaciji na Paliću... pojam identiteta je preširok. Na forumu pričamo o on-line identitetu, ali čak ni to nije dovoljno usko da bi se vodila "linearna" diskusija.

Postovanje Stevo, drago mi je da ste nas počastvovali svojim prisustvom pošto sam čuo da ne volite pisanje po forumima.

Nadam se da ste shvatili iz dosadašnje diskusije da je ovde više u pitanju brainstorming u vezi onoga što učesnike ovog foruma najviše interesuje, pre nego visoko-teoretska rasprava. Ja sam pokrenuo ovu temu zato što je, od onoga što sam čuo na Paliću, ovo bilo jedino o čemu sam razmišljao u kolima dok sam vozio nazad ka Beogradu jer mi je tema vrlo interesantna.

Osim toga, ovde su ljudi uglavnom developeri, ne treba očekivati previše "thinking" na taj način :) Developeri obično ostave "thinking" drugima, a oni sami vole da sednu i da naprave ono što je neko osmislio :)

Revitalizujem ovu temu zbog veoma interesantnog konceptualnog razvoja priče o nečemu što se zove Vendor Relationship Management (www.projectvrm.org), a koji u osnovi ima Web identitet.
http://www.draganvaragic.com/weblog/index.php/408/vendor-relationship-management (u ovom članku se i pozivam na ovu diskusiju)

Pogledati:
http://attentiontrust.org/
http://wiki.idcommons.net/index.php/Main_Page
http://identitygang.org/

Yahoo Implements OpenID; Massive Win For The Project

http://www.techcrunch.com/2008/01/17/yahoo-implements-openid-massive-win-for-the-project/

BTW, zasto Microsoft Passport nije uspeo, a openID uspeva? Zbog drugog imena? Zbog nekih drugih "sajtova od poverenja" (Yahoo, Wordpress) koji se ne zovu Microsoft?

Nekad na Internetu se bese pricalo o Security & Privacy, sad se samo prica o Security. Nekako je sve postalo Open ...

OpenID nije centarlizaovan i ne kontroliše ga jedna kompanija. Plus se sve kreće ka "open" tehnologijama...

Dobro, to je OK. Mozes sam sebi da budes provajder. Nego, sta je sa "obicnim" korisnicima Interneta koji ce da izaberu AOL, Yahoo, Google (u najavi) ili nekog treceg velikog "igraca" kao OpenID provajdera?

Ja razmisljam da na svom sajtu postavim OpenID auth, al' iz neke odgovornosti prema korisnicima i sindroma "Big Brother" ipak necu. Gresim li ?

OpenID je lepa ideja, sa malo rupičastom implementacijom.

Ideja je:

- dođem na sajt A i dam moj OpenID URL (recimo www.vesic.org)
- sajt A pročita mog OpenID provajdera iz URL-a (recimo myOpenID)
- A ode do myOpenID; iskoči myOpenID prozor i ja unesem uid/pwd
- myOpenID me autorizuje i potvrdi sajtu A da sam ja baš taj

To je ideja.

Međutim:

- dođem na zločesti sajt B i dam moj OpenID URL (recimo www.vesic.org)
- sajt B pročita mog OpenID provajdera iz URL-a (recimo myOpenID)
- B izbaci prozor koji je isti prozor kao myOpenID i pokupi moje credentials
- B pozove regularno myOpenID; iskoči myOpenID prozor i ja unesem uid/pwd misleći da sam omašio prvi put

I tako zločesti sajt B ima moje credentials za myOpenID i za SVE sajtove koje koristim - ode na myOpenID, uloguje se i pogleda lepo sajtove na koje se logujem i iskoristi šta i kako mu se sviđa.

Inače, upravo i koristim www.vesic.org / https://www.myopenid.com čisto kao eksperiment za nekoliko sajtova ( BaseCamp i slične) :-)

^ slazem se, mozda sam ja paranoican, ali meni se centralizovani password ne svidja..

ne mora da bude ova prevara koju Dejan pominje, moze na bilo koji staromodni nacin da bude provaljen password (haknut server, trojanci, virenje preko ramena i sl.) i odjednom umesto da ti provale samo na jedan sajt, oni imaju pristup svim tvojim nalozima...

kao prvo uopste nije tako losa ideja za pristup nekim servisima. Na primer, imam naloge na myspace i facebooku, I da budem iskren, nimalo me ne bi bila briga da mi neko provali te naloge :) A cesto imam potrebu da se negde regujem na kratko i sl, i zasto ne bih iskoristio prednosti OpenID-a :D . da se ne mucim da pamtim milion sifara i usera....
Ali za neke bitne stvari, tipa gmail naloga, ni u bunili ga ne bih koristio

Za gmail vec odavno koristis nesto jako slicno :)

pa nije bas isto jer se tu logujes samo na google servise, ne logujes se na google, yahoo i perin sajt... jer mene u toj prici najvise brinu razni sitni sajtovi koji su po pravilu veoma bushni..