2008-11-04 3 views
13

Я не спрашиваю о конкретных реализациях, я не спрашиваю о глобальном мировоззрении механизмов единого входа для одного сайта, я просто хочу знать, что сообщество думает о базовом удобстве использования OpenID. Считаете ли вы, что использование URL-адреса, выпущенного (нетехническим наблюдателем) случайным ассортиментом поставщиков вместо фактического имени пользователя, является тем, что люди предпочитают? Если нет, у кого-нибудь есть лучший механизм? Если будет достаточно интереса, я последую за более общим вопросом SSO.Является ли OpenID ошибочной концепцией?

+0

@MrGumbe, если вы думаете, что вы собираетесь получить SO упасть OpenID, вы тратите свое время. Более умные разработчики подняли более серьезные возражения, и они все еще здесь. – 2008-11-04 19:46:15

+0

Действительно, преданность Джеффу для OpenID удивляет меня. Он считает себя прагматиком: http://www.codinghorror.com/blog/archives/000845.html , но он очень целеустремлен относительно OpenID. – 2008-11-04 19:53:53

+2

Поскольку это прямо сейчас, для меня это примерно вдвое больнее, чем использование традиционного имени и пароля. Я вхожу на SO в * несмотря * OpenID, буквально. – 2008-11-04 21:36:02

ответ

1

Думайте, что лучше получить более конкретный, чем общий, с этими вопросами.

На ваш вопрос, я не думаю, что он ошибочен, но вы правы, что он может не понравиться кому-то. Однако, как только люди поймут это, как в понимании этого, тогда они могут больше использовать его. Разумеется, лучше всего запоминать меньшее количество паролей, так как каждый из них делает их слабее, чем они должны быть.

1

Вам необходимо иметь уникальный UserID в таком szenario. Другим вариантом может быть действительный адрес электронной почты, но затем со спамом.

Поэтому я предпочитаю идентификатор пользователя на основе URL. И для меня удобство использования с OpenID (в моем случае myOpenId) отлично.

3

Google, похоже, так думает. Их недавнее вступление в пространство OpenID и немедленный последующий развилок протокола, имеют две вещей, чтобы сказать о проблеме:

  1. OpenID полезно, особенно когда она связана с сайтами с очень большим количеством пользователей для использования с сайтами, которые могут поддерживать большое количество пользователей и, вероятно, не будут их рисовать. Зачем изобретать колесо в системе аутентификации, когда кто-то вроде Google или тех, кто работает с OID, уже покрыл это?
  2. OpenID, поскольку он стоит грязно, поскольку у людей уже есть большое количество разных имен пользователей со многими участвующими провайдерами. Тем не менее, у многих пользователей была отличная возможность, когда GMail появился, чтобы получить свое имя в качестве своего адреса электронной почты и иметь довольно бесконечное количество учетных записей, которые они могут создавать. Google кажется, что их учетная система сама по себе достаточно для всех пользователей Open ID. Я бы, наверное, согласился с этим.
+1

Google предпринял некоторые беспрецедентные решения по внедрению, но не раскодировал протокол. Это все еще для спецификации OpenID 2.0. – keturn 2008-11-07 23:23:33

0

Я думаю, что есть аспекты OpenID, которые создают проблемы удобства использования для многих пользователей, но, вероятно, могут быть решены с помощью улучшений пользовательского интерфейса. Например, URL почти неприменим для большинства пользователей. Но нет причин, которые не могут быть абстрагированы, поэтому пользователь просто выбирает своего провайдера и вводит имя пользователя, которое они используют у этого провайдера. Более того, необходимость перехода в отдельное место для входа в систему - это огромная проблема удобства использования, и правильно устанавливает красные флаги пользователям о том, какие данные они предоставляют кому. Это будет гораздо сложнее решить.

7

Я уже говорил об этом раньше, и я, вероятно, скажу это еще раз, но идея URL-адреса представляет собой принципиально ошибочную идею. Они должны были иметь формат адреса электронной почты или формат Jabber [email protected] Это позволит существующим провайдерам электронной почты предлагать идентификатор, не требуя от пользователя запоминания какого-либо тайного URL-адреса.

+1

Я полностью согласен. Это одна вещь в OpenID, которая мне не нравится. К счастью, WebFinger может очень хорошо решить эту проблему, просто предоставив вам возможность делегировать ваш OpenID из более запоминающегося и узнаваемого идентификатора. – 2009-09-20 01:12:14

1

ДА.

Есть еще несколько входов в систему. Мне нужно пойти и войти в мой провайдер OpenID, затем мне нужно перейти на сайт и снова войти в систему с помощью URL OpenID. Нет необходимости делать больше работы, а OpenID - намного больше.

Я не знаю никого, кто не находится в поле компьютера, использующего OpenID. OpenID все еще слишком сложный. Средний пользователь не должен путать другой слой абстракции.

Существует также проблема отслеживания, куда идут пользователи OpenID. Я использую VeriSign, доверенное имя, но как насчет тех, кто использует менее надежных поставщиков. Нет, я не буду называть имена и начинать пламенную войну.

Существует лучший ответ, он называется RoboForm (или один из многих нокаутов). Все пароли пользователей и имена хранятся на их машине и зашифрованы. Он прост в использовании, более безопасен и FASTER.

+0

Я никогда не использовал RoboForm ... но если вы потеряете свои данные, и у вас есть несколько паролей имен, вы можете легко их забыть, и вы потеряли доступ (если я правильно понял). OpenID - это запоминание одной вещи. – Grundlefleck 2008-11-05 21:41:47

+0

Как и любой другой файл, сделайте резервную копию. Хотя, если вы работаете в некоторых компаниях и во многих офисах в Федеральной резервной системе США, хранить свой пароль на RoboForm достаточно, чтобы получить один уволенный или выступить против судебного иска. Это не идеально, просто лучше OpenID. – WolfmanDragon 2008-11-07 19:13:34

+0

Итак, резервное копирование всех ваших UID и паролей является решением проблемы, которая не существует при единичном входе? – Grundlefleck 2008-11-10 13:21:42

14

Да.

Во-первых, выбрать поставщика сложно. Если бы я был менее опытным пользователем, я бы спросил: «Почему мне нужно делиться своей информацией с X, чтобы использовать сайт под управлением Y?» И затем, как только вы справитесь с этим, вы должны выбрать, кому доверять вашу информацию. Я лично пошел с Verisign, потому что доверяю Verisign. Но некоторые люди, возможно, никогда не слышали о некоторых из этих поставщиков и не были бы в состоянии принять обоснованное решение.

Во-вторых, вход в систему затруднен. Вместо ввода имени пользователя я должен ввести URL-адрес (хотя StackOverflow упрощает выбор поставщика и вашего имени пользователя поставщика, и он делает URL-адрес для вас).

В-третьих, если мой OpenID скомпрометирован, то все учетные записи на сайтах, на которых я использую OpenID, также скомпрометированы. Некоторые люди предлагают иметь несколько OpenID для преодоления этого, но я думаю, что это побеждает всю цель OpenID.

1

Я думаю, что некоторые из реализаций OpenID оставляют желать лучшего.

Я предполагал, что Yahoo исправит это, но их микросайт OpenID (информация и реализация) - это мусор, на мой взгляд. Макет запутан, они не дают понять, как open-id относится к стандартной учетной записи Yahoo.

Как только я выяснил, какой экран был необходим для запуска моего запроса на вход в систему, yahoo выпустила подпись OpenID, которая включала рандомизированную строку. Это не было принято с помощью stackoverflow. Мне пришлось создать новый псевдоним, который также должен был быть установлен по умолчанию. Без столь же упорное желание работать это, я думаю, что много пользователей сдавался.

На мой взгляд, необходимо разработать более строгие руководящие принципы для осуществления, и кампания должна быть широко освещена для обучения потенциальных пользователей.

Возможно, технология может быть включена в реализацию браузера?

2

Не было бы лучше иметь такие вещи, встроенные в браузер?

Например, ваши данные содержатся в настройках вашего браузера. Затем сайт может запрашивать личные данные с помощью вызова JavaScript, и браузер показывает вам диалог с запросом подтверждения. Конечно, JavaScript API должен быть стандартизован.

Таким образом, пользователю не нужно регистрироваться в любом месте, и вся его личная информация хранится на его собственной машине. Кроме того, сообщения с подтверждением выглядят как остальная часть вашей операционной системы, а не как веб-сайт, которому вы, возможно, не доверяете.

0

Неужели это не приведет к компрометации личности человека, если оно украдено или потеряно? Это моя главная забота. Анонимность имеет свои преимущества и недостатки. Я верю в то, что у меня есть оба. У меня есть близкие друзья, которые боятся присоединиться к сообществу Facebook, потому что он настолько открыт, что он становится легкой мишенью, если база данных когда-либо атакуется.

0

Я не хочу, чтобы какая-то другая система владела моими идентификаторами для моих приложений.

Я получу концепцию проще для пользователя и более единообразную.

Однако UserID настолько важен для опытных посетителей сайта, что вы не хотите помещать все яйца в одну корзину (Microsoft Passport, OpenID и т. Д.). Если все изменится, вы перепутали все свои учетные записи пользователей.

16

NO.

Я не думаю, что это принципиально недостаточная система. Что касается удобства использования, я бы сказал, что он ошибочен, поскольку он является отходом от нормы и с трудом привыкнуть, то есть к URL вместо имени пользователя, нужно выбрать поставщика. Но я думаю, что это единственные проблемы, и все может быть и сделано, чтобы улучшить их (юзабилити-настройки на страницах входа в систему, Yahoo и Google повышают осведомленность об этой идее).

Кроме того, я думаю, что это отличная система:

  • Я помню один счет комбинации ID пароля (не нужно полагаться на программные решения для многих id-> проблема пароля)
  • Мне не нужно заполнять форму, когда я перехожу на новый веб-сайт, и ждать регистрационных писем, чтобы подтвердить это.
  • Если я не доверяю провайдеру OpenID, я могу стать моим собственным провайдером, относительно легко, что я лично считаю большим достижением для стандарта. Сделать что-то настолько универсальное, и (AFAIK) легко для меня, действительно что-то.
  • Он отделяет ответственность за создание веб-сайта из хранилища паролей и безопасности, когда обе работы становятся все труднее.
  • Я не знаю много об этом следующем моменте, но я думаю, что очень просто использовать одну учетную запись OpenID для размещения нескольких персонажей, которые могут использоваться для разных веб-сайтов, например. «Это моя персональная работа, вот что я представляю, когда я подписываюсь на ilovemyjob.com. И это моя знакомая, я использую ее для facebook», а разные персоны имеют различную информацию, привязанную к ним. Как я уже сказал, я мало знаю о том, как это делается, или о том, почему это было бы полезно ... но я узнаю, для чего это может быть полезно.

Это основные преимущества, которые я вижу с OpenID. Что касается недостатков, есть аспект удобства использования, который, как я признаю, является проблемой. Основной другой момент, который люди критикуют OpenID, заключается в том, что если учетная запись скомпрометирована, то многие логины скомпрометированы. На мой взгляд, это не хуже нынешней системы привязки электронных писем к учетным записям, которые могут быть аналогично скомпрометированы и использованы для этого «забыл ваше имя пользователя»? функции на многих веб-сайтах. Я также хотел бы отметить, что OpenID не предназначен для решения этой проблемы - это решение проблемы с несколькими ID/паролями. Тем не менее, наличие одного пароля дает большую лицензию на обновление его для дополнительной безопасности - без необходимости полагаться на программное обеспечение, помнящее его для вас, или забывать все время.

Итак, у OpenID есть проблемы, но я бы сказал, что это хорошее решение проблемы с несколькими ID/паролями.

Ссылки:
Interesting Google Talk on the subject

2

Я не думаю, что это некорректная концепция. Я просто думаю, что это новое, и люди не привыкли к этому.

Но OpenID следует использовать в сочетании с локальной системой регистрации, так что пользователь имеет возможность выбора. Говоря пользователю, чтобы перейти на X.com, чтобы зарегистрироваться, а затем вернуться на ваш сайт после - это просто глупо и запутанно. Но если пользователь уже имеет учетную запись GMail/AOL/YMail/etc, то позволить им использовать это очень удобно.

Я думаю, что мы, как разработчики, должны использовать специальные формы для входа. То есть вместо «Введите свой URL OpenID» он должен быть стандартным «введите ваше имя пользователя», и они могут выбрать Gmail/AOL/YMail/etc и за кулисами, которые мы создаем URL. Идея URL-адреса, которая является именем входа, немного назад, поэтому помощь людям с переходным периодом приветствуется.

9

Я не понимаю, что происходит с OpenID.

Мой опыт работы с подписью на этот сайт (по общему признанию, единственный открытый идентификатор, с которым мне приходилось иметь дело) был прост. Я видел обязательную вещь OpenID, и у меня было смутное понимание того, что мое подписывание на сайт будет передано кому-то другому, к которому я доверял, и у меня уже был идентификатор. Низкая ссылка, была ссылка на поставщика моего текущего интернет-провайдера электронной почты. Нажмите, следуйте процессу, который был достаточно прост, что я даже не помню, как это делалось.

Теперь, когда установлено соединение с открытым идентификатором, это не сложнее, чем любой другой сайт, с которым я сталкиваюсь, и волшебство заключается в том, что мне не нужно было добавлять еще одну учетную запись на сайт, который я понятия не имел Я собирался использовать когда-либо снова и, вероятно, забыл бы имя пользователя или пароль.

Мне нравится, концепция и исполнение.

4

Нет, я не считаю, что OpenID является ошибочной концепцией.

Если вы посмотрите на history OpenID, оно изначально предназначалось для того, чтобы люди могли сопоставлять себя через URL-адрес, принадлежащий им в блогах. Эта идея была расширена и стала единой системой регистрации, которой она является сегодня.

Я бы сказал, что OpenID идеально подходит для сайтов, у которых нет учетных записей пользователей, чтобы хранить основную информацию, которая не считается действительной конечному пользователю. Таким образом, хорошим примером может служить сайт комиксов, который помогает с оценками вашей коллекции комиксов. Поскольку в качестве конечного пользователя OpenID вы можете зайти на сайт (не создавая еще имя пользователя/пароль, который может отличаться от любого другого, созданного вами из-за существующих пользователей в системе) и проверить, как они работают. Если вам это нравится, вы можете продолжать использовать систему как обычно. Или, если вы не полностью влюблены в сайт, но решили проверить их позже, то вместо того, чтобы пытаться вспомнить, какая комбинация имени пользователя и пароля вы использовали для сайта, который, по вашему мнению, вы не могли бы вернуться, может быть разочаровывающим. OpenID обращается к типу ситуации отлично.

Это, как говорится, я лично не использовал бы OpenID для входа в свой банковский счет, поскольку многие вещи, которые были указаны в отношении безопасности перенаправлений. Однако многое из этого меняется, и есть большой прогресс в продвижении безопасности OpenID посредством обмена атрибутами (especially in Japan).

Другое примечание, которое многие люди не знают, это то, что вам не нужно использовать URL-адрес, чтобы иметь OpenID, есть технология, называемая i-names, которая больше похожа на имя пользователя, то есть мое i-name равно "= true ", это может быть намного проще, чем набрать что-то вроде« http://true.myopenid.com ».Стоимость отдельных i-имен составляет 12 долларов США в год, поэтому для некоторых людей это может быть барьером, однако существуют free alternatives, если вы хотите поиграть с ними.

В последней заметке OpenID пропагандирует идею обнаружения (если это слово). Это концепция, которая, казалось, сидела чуть ниже поверхности. Открытость - это как социальная сеть на уровне протокола, если вы можете :). Есть tonnes of work going on in that area, что, я думаю, приведет к лучшим реализациям OpenID или, по крайней мере, идее OpenID. Что, надеюсь, приведет к лучшему интернету для всех нас.

Отказ от ответственности Я нахожусь в комитете XRI TC и запускаю запуск, сосредоточившись на продаже и предоставлении услуг по XRI.

FreeXRI - это не стартап, с которым я связан.

0

Концепция отлично, однако конструкция позволяет зияющие эксплойтов ...