Я не спрашиваю о конкретных реализациях, я не спрашиваю о глобальном мировоззрении механизмов единого входа для одного сайта, я просто хочу знать, что сообщество думает о базовом удобстве использования OpenID. Считаете ли вы, что использование URL-адреса, выпущенного (нетехническим наблюдателем) случайным ассортиментом поставщиков вместо фактического имени пользователя, является тем, что люди предпочитают? Если нет, у кого-нибудь есть лучший механизм? Если будет достаточно интереса, я последую за более общим вопросом SSO.Является ли OpenID ошибочной концепцией?
ответ
Думайте, что лучше получить более конкретный, чем общий, с этими вопросами.
На ваш вопрос, я не думаю, что он ошибочен, но вы правы, что он может не понравиться кому-то. Однако, как только люди поймут это, как в понимании этого, тогда они могут больше использовать его. Разумеется, лучше всего запоминать меньшее количество паролей, так как каждый из них делает их слабее, чем они должны быть.
Вам необходимо иметь уникальный UserID в таком szenario. Другим вариантом может быть действительный адрес электронной почты, но затем со спамом.
Поэтому я предпочитаю идентификатор пользователя на основе URL. И для меня удобство использования с OpenID (в моем случае myOpenId) отлично.
Google, похоже, так думает. Их недавнее вступление в пространство OpenID и немедленный последующий развилок протокола, имеют две вещей, чтобы сказать о проблеме:
- OpenID полезно, особенно когда она связана с сайтами с очень большим количеством пользователей для использования с сайтами, которые могут поддерживать большое количество пользователей и, вероятно, не будут их рисовать. Зачем изобретать колесо в системе аутентификации, когда кто-то вроде Google или тех, кто работает с OID, уже покрыл это?
- OpenID, поскольку он стоит грязно, поскольку у людей уже есть большое количество разных имен пользователей со многими участвующими провайдерами. Тем не менее, у многих пользователей была отличная возможность, когда GMail появился, чтобы получить свое имя в качестве своего адреса электронной почты и иметь довольно бесконечное количество учетных записей, которые они могут создавать. Google кажется, что их учетная система сама по себе достаточно для всех пользователей Open ID. Я бы, наверное, согласился с этим.
Google предпринял некоторые беспрецедентные решения по внедрению, но не раскодировал протокол. Это все еще для спецификации OpenID 2.0. – keturn 2008-11-07 23:23:33
Я думаю, что есть аспекты OpenID, которые создают проблемы удобства использования для многих пользователей, но, вероятно, могут быть решены с помощью улучшений пользовательского интерфейса. Например, URL почти неприменим для большинства пользователей. Но нет причин, которые не могут быть абстрагированы, поэтому пользователь просто выбирает своего провайдера и вводит имя пользователя, которое они используют у этого провайдера. Более того, необходимость перехода в отдельное место для входа в систему - это огромная проблема удобства использования, и правильно устанавливает красные флаги пользователям о том, какие данные они предоставляют кому. Это будет гораздо сложнее решить.
Я уже говорил об этом раньше, и я, вероятно, скажу это еще раз, но идея URL-адреса представляет собой принципиально ошибочную идею. Они должны были иметь формат адреса электронной почты или формат Jabber [email protected] Это позволит существующим провайдерам электронной почты предлагать идентификатор, не требуя от пользователя запоминания какого-либо тайного URL-адреса.
Я полностью согласен. Это одна вещь в OpenID, которая мне не нравится. К счастью, WebFinger может очень хорошо решить эту проблему, просто предоставив вам возможность делегировать ваш OpenID из более запоминающегося и узнаваемого идентификатора. – 2009-09-20 01:12:14
ДА.
Есть еще несколько входов в систему. Мне нужно пойти и войти в мой провайдер OpenID, затем мне нужно перейти на сайт и снова войти в систему с помощью URL OpenID. Нет необходимости делать больше работы, а OpenID - намного больше.
Я не знаю никого, кто не находится в поле компьютера, использующего OpenID. OpenID все еще слишком сложный. Средний пользователь не должен путать другой слой абстракции.
Существует также проблема отслеживания, куда идут пользователи OpenID. Я использую VeriSign, доверенное имя, но как насчет тех, кто использует менее надежных поставщиков. Нет, я не буду называть имена и начинать пламенную войну.
Существует лучший ответ, он называется RoboForm (или один из многих нокаутов). Все пароли пользователей и имена хранятся на их машине и зашифрованы. Он прост в использовании, более безопасен и FASTER.
Я никогда не использовал RoboForm ... но если вы потеряете свои данные, и у вас есть несколько паролей имен, вы можете легко их забыть, и вы потеряли доступ (если я правильно понял). OpenID - это запоминание одной вещи. – Grundlefleck 2008-11-05 21:41:47
Как и любой другой файл, сделайте резервную копию. Хотя, если вы работаете в некоторых компаниях и во многих офисах в Федеральной резервной системе США, хранить свой пароль на RoboForm достаточно, чтобы получить один уволенный или выступить против судебного иска. Это не идеально, просто лучше OpenID. – WolfmanDragon 2008-11-07 19:13:34
Итак, резервное копирование всех ваших UID и паролей является решением проблемы, которая не существует при единичном входе? – Grundlefleck 2008-11-10 13:21:42
Да.
Во-первых, выбрать поставщика сложно. Если бы я был менее опытным пользователем, я бы спросил: «Почему мне нужно делиться своей информацией с X, чтобы использовать сайт под управлением Y?» И затем, как только вы справитесь с этим, вы должны выбрать, кому доверять вашу информацию. Я лично пошел с Verisign, потому что доверяю Verisign. Но некоторые люди, возможно, никогда не слышали о некоторых из этих поставщиков и не были бы в состоянии принять обоснованное решение.
Во-вторых, вход в систему затруднен. Вместо ввода имени пользователя я должен ввести URL-адрес (хотя StackOverflow упрощает выбор поставщика и вашего имени пользователя поставщика, и он делает URL-адрес для вас).
В-третьих, если мой OpenID скомпрометирован, то все учетные записи на сайтах, на которых я использую OpenID, также скомпрометированы. Некоторые люди предлагают иметь несколько OpenID для преодоления этого, но я думаю, что это побеждает всю цель OpenID.
Я думаю, что некоторые из реализаций OpenID оставляют желать лучшего.
Я предполагал, что Yahoo исправит это, но их микросайт OpenID (информация и реализация) - это мусор, на мой взгляд. Макет запутан, они не дают понять, как open-id относится к стандартной учетной записи Yahoo.
Как только я выяснил, какой экран был необходим для запуска моего запроса на вход в систему, yahoo выпустила подпись OpenID, которая включала рандомизированную строку. Это не было принято с помощью stackoverflow. Мне пришлось создать новый псевдоним, который также должен был быть установлен по умолчанию. Без столь же упорное желание работать это, я думаю, что много пользователей сдавался.
На мой взгляд, необходимо разработать более строгие руководящие принципы для осуществления, и кампания должна быть широко освещена для обучения потенциальных пользователей.
Возможно, технология может быть включена в реализацию браузера?
Не было бы лучше иметь такие вещи, встроенные в браузер?
Например, ваши данные содержатся в настройках вашего браузера. Затем сайт может запрашивать личные данные с помощью вызова JavaScript, и браузер показывает вам диалог с запросом подтверждения. Конечно, JavaScript API должен быть стандартизован.
Таким образом, пользователю не нужно регистрироваться в любом месте, и вся его личная информация хранится на его собственной машине. Кроме того, сообщения с подтверждением выглядят как остальная часть вашей операционной системы, а не как веб-сайт, которому вы, возможно, не доверяете.
Неужели это не приведет к компрометации личности человека, если оно украдено или потеряно? Это моя главная забота. Анонимность имеет свои преимущества и недостатки. Я верю в то, что у меня есть оба. У меня есть близкие друзья, которые боятся присоединиться к сообществу Facebook, потому что он настолько открыт, что он становится легкой мишенью, если база данных когда-либо атакуется.
Я не хочу, чтобы какая-то другая система владела моими идентификаторами для моих приложений.
Я получу концепцию проще для пользователя и более единообразную.
Однако UserID настолько важен для опытных посетителей сайта, что вы не хотите помещать все яйца в одну корзину (Microsoft Passport, OpenID и т. Д.). Если все изменится, вы перепутали все свои учетные записи пользователей.
NO.
Я не думаю, что это принципиально недостаточная система. Что касается удобства использования, я бы сказал, что он ошибочен, поскольку он является отходом от нормы и с трудом привыкнуть, то есть к URL вместо имени пользователя, нужно выбрать поставщика. Но я думаю, что это единственные проблемы, и все может быть и сделано, чтобы улучшить их (юзабилити-настройки на страницах входа в систему, Yahoo и Google повышают осведомленность об этой идее).
Кроме того, я думаю, что это отличная система:
- Я помню один счет комбинации ID пароля (не нужно полагаться на программные решения для многих id-> проблема пароля)
- Мне не нужно заполнять форму, когда я перехожу на новый веб-сайт, и ждать регистрационных писем, чтобы подтвердить это.
- Если я не доверяю провайдеру OpenID, я могу стать моим собственным провайдером, относительно легко, что я лично считаю большим достижением для стандарта. Сделать что-то настолько универсальное, и (AFAIK) легко для меня, действительно что-то.
- Он отделяет ответственность за создание веб-сайта из хранилища паролей и безопасности, когда обе работы становятся все труднее.
- Я не знаю много об этом следующем моменте, но я думаю, что очень просто использовать одну учетную запись OpenID для размещения нескольких персонажей, которые могут использоваться для разных веб-сайтов, например. «Это моя персональная работа, вот что я представляю, когда я подписываюсь на ilovemyjob.com. И это моя знакомая, я использую ее для facebook», а разные персоны имеют различную информацию, привязанную к ним. Как я уже сказал, я мало знаю о том, как это делается, или о том, почему это было бы полезно ... но я узнаю, для чего это может быть полезно.
Это основные преимущества, которые я вижу с OpenID. Что касается недостатков, есть аспект удобства использования, который, как я признаю, является проблемой. Основной другой момент, который люди критикуют OpenID, заключается в том, что если учетная запись скомпрометирована, то многие логины скомпрометированы. На мой взгляд, это не хуже нынешней системы привязки электронных писем к учетным записям, которые могут быть аналогично скомпрометированы и использованы для этого «забыл ваше имя пользователя»? функции на многих веб-сайтах. Я также хотел бы отметить, что OpenID не предназначен для решения этой проблемы - это решение проблемы с несколькими ID/паролями. Тем не менее, наличие одного пароля дает большую лицензию на обновление его для дополнительной безопасности - без необходимости полагаться на программное обеспечение, помнящее его для вас, или забывать все время.
Итак, у OpenID есть проблемы, но я бы сказал, что это хорошее решение проблемы с несколькими ID/паролями.
Я не думаю, что это некорректная концепция. Я просто думаю, что это новое, и люди не привыкли к этому.
Но OpenID следует использовать в сочетании с локальной системой регистрации, так что пользователь имеет возможность выбора. Говоря пользователю, чтобы перейти на X.com, чтобы зарегистрироваться, а затем вернуться на ваш сайт после - это просто глупо и запутанно. Но если пользователь уже имеет учетную запись GMail/AOL/YMail/etc, то позволить им использовать это очень удобно.
Я думаю, что мы, как разработчики, должны использовать специальные формы для входа. То есть вместо «Введите свой URL OpenID» он должен быть стандартным «введите ваше имя пользователя», и они могут выбрать Gmail/AOL/YMail/etc и за кулисами, которые мы создаем URL. Идея URL-адреса, которая является именем входа, немного назад, поэтому помощь людям с переходным периодом приветствуется.
Я не понимаю, что происходит с OpenID.
Мой опыт работы с подписью на этот сайт (по общему признанию, единственный открытый идентификатор, с которым мне приходилось иметь дело) был прост. Я видел обязательную вещь OpenID, и у меня было смутное понимание того, что мое подписывание на сайт будет передано кому-то другому, к которому я доверял, и у меня уже был идентификатор. Низкая ссылка, была ссылка на поставщика моего текущего интернет-провайдера электронной почты. Нажмите, следуйте процессу, который был достаточно прост, что я даже не помню, как это делалось.
Теперь, когда установлено соединение с открытым идентификатором, это не сложнее, чем любой другой сайт, с которым я сталкиваюсь, и волшебство заключается в том, что мне не нужно было добавлять еще одну учетную запись на сайт, который я понятия не имел Я собирался использовать когда-либо снова и, вероятно, забыл бы имя пользователя или пароль.
Мне нравится, концепция и исполнение.
Нет, я не считаю, что OpenID является ошибочной концепцией.
Если вы посмотрите на history OpenID, оно изначально предназначалось для того, чтобы люди могли сопоставлять себя через URL-адрес, принадлежащий им в блогах. Эта идея была расширена и стала единой системой регистрации, которой она является сегодня.
Я бы сказал, что OpenID идеально подходит для сайтов, у которых нет учетных записей пользователей, чтобы хранить основную информацию, которая не считается действительной конечному пользователю. Таким образом, хорошим примером может служить сайт комиксов, который помогает с оценками вашей коллекции комиксов. Поскольку в качестве конечного пользователя OpenID вы можете зайти на сайт (не создавая еще имя пользователя/пароль, который может отличаться от любого другого, созданного вами из-за существующих пользователей в системе) и проверить, как они работают. Если вам это нравится, вы можете продолжать использовать систему как обычно. Или, если вы не полностью влюблены в сайт, но решили проверить их позже, то вместо того, чтобы пытаться вспомнить, какая комбинация имени пользователя и пароля вы использовали для сайта, который, по вашему мнению, вы не могли бы вернуться, может быть разочаровывающим. OpenID обращается к типу ситуации отлично.
Это, как говорится, я лично не использовал бы OpenID для входа в свой банковский счет, поскольку многие вещи, которые были указаны в отношении безопасности перенаправлений. Однако многое из этого меняется, и есть большой прогресс в продвижении безопасности OpenID посредством обмена атрибутами (especially in Japan).
Другое примечание, которое многие люди не знают, это то, что вам не нужно использовать URL-адрес, чтобы иметь OpenID, есть технология, называемая i-names, которая больше похожа на имя пользователя, то есть мое i-name равно "= true ", это может быть намного проще, чем набрать что-то вроде« http://true.myopenid.com ».Стоимость отдельных i-имен составляет 12 долларов США в год, поэтому для некоторых людей это может быть барьером, однако существуют free alternatives, если вы хотите поиграть с ними.
В последней заметке OpenID пропагандирует идею обнаружения (если это слово). Это концепция, которая, казалось, сидела чуть ниже поверхности. Открытость - это как социальная сеть на уровне протокола, если вы можете :). Есть tonnes of work going on in that area, что, я думаю, приведет к лучшим реализациям OpenID или, по крайней мере, идее OpenID. Что, надеюсь, приведет к лучшему интернету для всех нас.
Отказ от ответственности Я нахожусь в комитете XRI TC и запускаю запуск, сосредоточившись на продаже и предоставлении услуг по XRI.
FreeXRI - это не стартап, с которым я связан.
Концепция отлично, однако конструкция позволяет зияющие эксплойтов ...
@MrGumbe, если вы думаете, что вы собираетесь получить SO упасть OpenID, вы тратите свое время. Более умные разработчики подняли более серьезные возражения, и они все еще здесь. – 2008-11-04 19:46:15
Действительно, преданность Джеффу для OpenID удивляет меня. Он считает себя прагматиком: http://www.codinghorror.com/blog/archives/000845.html , но он очень целеустремлен относительно OpenID. – 2008-11-04 19:53:53
Поскольку это прямо сейчас, для меня это примерно вдвое больнее, чем использование традиционного имени и пароля. Я вхожу на SO в * несмотря * OpenID, буквально. – 2008-11-04 21:36:02