Identitet na web-u

[bluesman]

Danas, posle priče na eTrgovina, u kolima na povratku kući razmisljam o konceptu indentiteta korisnika na net-u. Ne znam da li svi znate o čemu je reč, glavno pitanje je cenralizovanje ličnih podataka ili neki servise, kao što je recimo pokušao Microsoft svojim Passport servisom u kojem pomoću centralnih podataka pristupate mnogobrojnim servisima. Microsoft je to ograničio na svoje servise (koliko se ja secam) MSN, hotmail...

Google ima nešto slično sa svojim gmail account-om koji je username i password za mnoge google servise uključujući i adsense i analytics.

Kako bi moglo da izgleda neko globalno rešenje i kolika je uopšte verovatnoća da će mnogi servisi prihvatiti korišćenje takvog jednog centralnog identiteta osobe na netu.

Znači, na primer, ja se registrujem na nekom servisu koji se zove DPTPassport i onda, gde god da odem na bilo koji servis, umesto registracije i unošenja gomile podataka iznova svaki put i pamćenja stotine passworda (ako ne koristite uvek isti svuda) jednostavno koristim svoj DPTPassport. Znači pri registraciji, jednostavno unesem svoj DPTPassport username i password i već sam registrovan za taj novi servis, pri čemu servis pristupa mojim podacima kao što je ime, prezime, email...

Šta recimo sa kupovinom online? Da recimo čuvam broj kreditne kartice na takvom nekom servisu, i onda kada kupujem nešto, umesto unošenja podataka ne neke potencijalno nesigurno sajtove, jedostavno cela transakcija ode preko mog centralnog identiteta. Taj nesiguran servis nikada neće saznati moje podatke o kreditnoj kartici, svo obavlja taj neki DPTPassport i samo isporučuje rezultat transakcije ovom servisu.

Naravno, priča je mnogo kompleksnija, ovo su samo neke nabacane ideje, čisto za početak

[nixa]

Pa generalno je odlicno ,Google implementacije je po meni najbolja ,.NET passport je pain in a ass da pokrenes ( mada kasnije on ok radi ).E sad pitanje je da li ce prosecan korisnik da prihvati to resenje,evo uzevsi Google kao uspesan primer ,oni su to uradili neprimetno preko GMail account'a ... jako dobra tema ...

[bojan_bozovic]

Zaboravismo Yahoo! koji to ima odvajkada, ali, ionako ti browser pamti passworde, to je jedno, a, verujem, imas i hihg-security passworde za vrlo bitne stvari. Sa aspekta bezbednosti, to je nightmare. Dalje, cak i da se uredi centralna baza na nekom sajtu za sve servise, prvo pricaj o Verisign certifikatu ($100000 depozita), a onda o svemu ostalom, uz, svakako, kako bi taj servis mogao i da bude profitabilan. Da li bi ti placao takvom sajtu da tvoji cPanel passwordi budu u bazi? Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi? Nije mi jasno kako je uopste ovo moglo ikome da padne na pamet.

[marinowski]

Nije tu reč samo o passwordima, nego o mnogo široj slici. Svakodnevno popunjavamo upitnike na webu, a te informacije posle nekog vremena mogu da zastare, a mi nemamo načina da ih promenimo. Takođe, nemamo dovoljno jasnu predstavu šta se zna o našim identitetima na Webu. Ne mislim tu samo na ime/prezime/rodjenje/posao/plata parametre, nego i na praćenje aktivnosti pojedinog korisnika koje ne moraju biti vezane uz ime.

U odličnoj prezentaciji Steve Majstorovića pomenuti su glavni igrači na ovom polju: Microsoftov InfoCard i Sxip. Tu je i OpenID.

[borstale]

Onako "na prvu loptu" (još pijem prvu jutarnju kafu), rekao bih da ne samo da zvuči kao dobra ideja, nego i da je to nešto što se ne može izbeći u relativno bliskoj budućnosti.

[Dušan Dželebdžić]

MSN Passport u početku nije bio ograničen samo na MS web servise, već je bio predviđen da radi baš onako kao što si i ti zamislio (sad vadim iz malog mozga, ali čini mi se da je jedno vreme i Ebay koristio njihove usluge). Problem je bio u (ne)pouzdanosti njihovog sistema, pa su na kraju svi osim MSa odustali od Passporta.

[noviKorisnik]

... pa globalno - ne. Korisnički sistemi nastaju zbog interesa osnivača sistema - kako postoje različiti interesi (različiti džepovi) to postoje i različiti sistemi. Jeste jedna lepa utopija, svakako.

[bluesman]

Citat:

Originalno napisao bojan_bozovic

Zaboravismo Yahoo! koji to ima odvajkada, ali, ionako ti browser pamti passworde, to je jedno, a, verujem, imas i hihg-security passworde za vrlo bitne stvari. Sa aspekta bezbednosti, to je nightmare. Dalje, cak i da se uredi centralna baza na nekom sajtu za sve servise, prvo pricaj o Verisign certifikatu ($100000 depozita), a onda o svemu ostalom, uz, svakako, kako bi taj servis mogao i da bude profitabilan. Da li bi ti placao takvom sajtu da tvoji cPanel passwordi budu u bazi? Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi? Nije mi jasno kako je uopste ovo moglo ikome da padne na pamet.

Mislim da nisu uopste ukapirao pricu. Ne kaci se Passport servis na tvoj sajt nego ti na njegov kako bi proverio identitet neke osobe. Znaci kada unosi neko kod tebe username i password, ti se saljes request na njegov identitet i dobijas true / false ili sta god i tako znas da je ok. Sta ces ti kasnije da radis sa tim, to je tvoja stvar. Da li ces da kreiras session ili nesto - to nema veze sa servisom.

Ne razumem "placanje takvom sajtu da passwordi budu u bazi"? i "Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi?". Korisnik sam odlazi na takav sajt i kreira svoj identitet a kod tebe on unosi samo svoj username i password iz svog identiteta a ti onda radis upite za sve ostale podatke. On nikada ne "svrlja" po tvojoj bazi nego ti po njegovoj.

[jablan]

Možda bi jedno od mogućih rešenja bilo da rešenje bude globalno, ali ne i centralizovano. Zapravo, nešto slično kao jabber IM sistem: protokol je jedinstven, ali ne postoji jedan jabber server. To jest, ja kao korisnik mogu da biram da li ću svoje podatke čuvati kod Pere, Žike ili ću podići sopstveni authorization server.

BTW, ideja mi deluje suviše banalno, tako nešto sigurno već postoji.

[bluesman]

Pa postoji, ali nije ni globano ni centralizovano

Sto se identiteta tice, kradja identiteta na internetu je kriminal koji najbrze raste, a ja mislim da je to najvise zbog toga sto svi ostavljaju svuda svoje podatke. Ovakvim sistemom bi se i to u velikoj meri onemogucilo. Recimo neki Pera Peric ode na neki sajt i unese tvoje podatke, kada bi postojao centralni sistem nebi nikako mogao to da uradi osim ako nema tvoj username/password/ili bilo koji drugi metod autorizacije. i dpt.com bi ga odbio "sorry, prema nasim informacijama ti nisi Pera Peric".

Ne znam zasto mislis "banalno", ovo je sve samo nije banalno. Cak je suvise kompleksno da bi mogli da odemo korak dalje od samo neke teoretske rasprave tipa "sta bi bilo kad bi bilo". Ova tema je zapoceta vise kao neki brainstorming...