Identitet na web-u

[bluesman]

Danas, posle priče na eTrgovina, u kolima na povratku kući razmisljam o konceptu indentiteta korisnika na net-u. Ne znam da li svi znate o čemu je reč, glavno pitanje je cenralizovanje ličnih podataka ili neki servise, kao što je recimo pokušao Microsoft svojim Passport servisom u kojem pomoću centralnih podataka pristupate mnogobrojnim servisima. Microsoft je to ograničio na svoje servise (koliko se ja secam) MSN, hotmail...

Google ima nešto slično sa svojim gmail account-om koji je username i password za mnoge google servise uključujući i adsense i analytics.

Kako bi moglo da izgleda neko globalno rešenje i kolika je uopšte verovatnoća da će mnogi servisi prihvatiti korišćenje takvog jednog centralnog identiteta osobe na netu.

Znači, na primer, ja se registrujem na nekom servisu koji se zove DPTPassport i onda, gde god da odem na bilo koji servis, umesto registracije i unošenja gomile podataka iznova svaki put i pamćenja stotine passworda (ako ne koristite uvek isti svuda) jednostavno koristim svoj DPTPassport. Znači pri registraciji, jednostavno unesem svoj DPTPassport username i password i već sam registrovan za taj novi servis, pri čemu servis pristupa mojim podacima kao što je ime, prezime, email...

Šta recimo sa kupovinom online? Da recimo čuvam broj kreditne kartice na takvom nekom servisu, i onda kada kupujem nešto, umesto unošenja podataka ne neke potencijalno nesigurno sajtove, jedostavno cela transakcija ode preko mog centralnog identiteta. Taj nesiguran servis nikada neće saznati moje podatke o kreditnoj kartici, svo obavlja taj neki DPTPassport i samo isporučuje rezultat transakcije ovom servisu.

Naravno, priča je mnogo kompleksnija, ovo su samo neke nabacane ideje, čisto za početak

[nixa]

Pa generalno je odlicno ,Google implementacije je po meni najbolja ,.NET passport je pain in a ass da pokrenes ( mada kasnije on ok radi ).E sad pitanje je da li ce prosecan korisnik da prihvati to resenje,evo uzevsi Google kao uspesan primer ,oni su to uradili neprimetno preko GMail account'a ... jako dobra tema ...

[bojan_bozovic]

Zaboravismo Yahoo! koji to ima odvajkada, ali, ionako ti browser pamti passworde, to je jedno, a, verujem, imas i hihg-security passworde za vrlo bitne stvari. Sa aspekta bezbednosti, to je nightmare. Dalje, cak i da se uredi centralna baza na nekom sajtu za sve servise, prvo pricaj o Verisign certifikatu ($100000 depozita), a onda o svemu ostalom, uz, svakako, kako bi taj servis mogao i da bude profitabilan. Da li bi ti placao takvom sajtu da tvoji cPanel passwordi budu u bazi? Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi? Nije mi jasno kako je uopste ovo moglo ikome da padne na pamet.

[marinowski]

Nije tu reč samo o passwordima, nego o mnogo široj slici. Svakodnevno popunjavamo upitnike na webu, a te informacije posle nekog vremena mogu da zastare, a mi nemamo načina da ih promenimo. Takođe, nemamo dovoljno jasnu predstavu šta se zna o našim identitetima na Webu. Ne mislim tu samo na ime/prezime/rodjenje/posao/plata parametre, nego i na praćenje aktivnosti pojedinog korisnika koje ne moraju biti vezane uz ime.

U odličnoj prezentaciji Steve Majstorovića pomenuti su glavni igrači na ovom polju: Microsoftov InfoCard i Sxip. Tu je i OpenID.

[borstale]

Onako "na prvu loptu" (još pijem prvu jutarnju kafu), rekao bih da ne samo da zvuči kao dobra ideja, nego i da je to nešto što se ne može izbeći u relativno bliskoj budućnosti.

[Dušan Dželebdžić]

MSN Passport u početku nije bio ograničen samo na MS web servise, već je bio predviđen da radi baš onako kao što si i ti zamislio (sad vadim iz malog mozga, ali čini mi se da je jedno vreme i Ebay koristio njihove usluge). Problem je bio u (ne)pouzdanosti njihovog sistema, pa su na kraju svi osim MSa odustali od Passporta.

[noviKorisnik]

... pa globalno - ne. Korisnički sistemi nastaju zbog interesa osnivača sistema - kako postoje različiti interesi (različiti džepovi) to postoje i različiti sistemi. Jeste jedna lepa utopija, svakako.

[Goran Aničić]

Što nK kaže, svi ti centralizovani identity sistemi nastali su iz potreba samih pokretača (MSN, YAhoo...) gde se najmanje mislilo na benefite za krajnje korisnike (naravno u PR-u to ističu kao komparetivne prednosti).

Osnovno, da bi imali jedan takav "centralni registar" on mora biti zasnovan na interesu, a potom se postavlja vrlo osetljiva pitanja, kotrole, pristupa, identifikacije itd. Da, tu je i sindrom "velikog brata".

[Dejan Bizinger]

Za izbegavanje popunjavanje silnih formulara to je dobra ideja ali meni samo nije jasno kako napraviti dovoljno, da kazem uopsten sistem gde ces jednom upisati sve potrebne podatke. Na koliko bi pitanja bilo dovoljno odgovoriti u taj "centralan registar" kako vise ne bi morali da se upisuju formulari. Neki sajt moze da zahteva od korisnika da upise samo najosnovnije podatke a neko moze da trazi npr. Social Security Number.

Neko resenje bi bilo da se napravi dovoljno usaglasen sistem od strane sajtova za pitanja na formularima ili ce ici po principu: "iz vaseg registra smo uzeli te i te podatke a treba da upisete jos to i to". Sto se tice informacija o kreditnim karticama, na mnogim mestima gde nesto kupujemo online oni se cuvaju tako da ne vidim razlog zasto se ne bi i tu cuvalo.

Mozda je pravo resenje da se koristi neka kombinacija hardverskog uredjaja kao npr. smart card u kombinaciji sa "centralnim registrom" sto bi donekle obezbedilo neporecivost transakcije.

Samo, kao sto je Goran spomenuo "velikog brata" to lici na to. Necu ni da pomislim sta bi se desilo kada bi neko upao u takav sistem.

[bluesman]

Citat:

Originalno napisao bojan_bozovic

Zaboravismo Yahoo! koji to ima odvajkada, ali, ionako ti browser pamti passworde, to je jedno, a, verujem, imas i hihg-security passworde za vrlo bitne stvari. Sa aspekta bezbednosti, to je nightmare. Dalje, cak i da se uredi centralna baza na nekom sajtu za sve servise, prvo pricaj o Verisign certifikatu ($100000 depozita), a onda o svemu ostalom, uz, svakako, kako bi taj servis mogao i da bude profitabilan. Da li bi ti placao takvom sajtu da tvoji cPanel passwordi budu u bazi? Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi? Nije mi jasno kako je uopste ovo moglo ikome da padne na pamet.

Mislim da nisu uopste ukapirao pricu. Ne kaci se Passport servis na tvoj sajt nego ti na njegov kako bi proverio identitet neke osobe. Znaci kada unosi neko kod tebe username i password, ti se saljes request na njegov identitet i dobijas true / false ili sta god i tako znas da je ok. Sta ces ti kasnije da radis sa tim, to je tvoja stvar. Da li ces da kreiras session ili nesto - to nema veze sa servisom.

Ne razumem "placanje takvom sajtu da passwordi budu u bazi"? i "Da li bi ti dozvolio tom sajtu remote pristup tvojoj bazi?". Korisnik sam odlazi na takav sajt i kreira svoj identitet a kod tebe on unosi samo svoj username i password iz svog identiteta a ti onda radis upite za sve ostale podatke. On nikada ne "svrlja" po tvojoj bazi nego ti po njegovoj.