Wsparcie od gigantów IT

Prowadzimy bloga, korzystamy z poczty elektronicznej i innych usług w sieci WWW. Każde dodatkowe konto wymaga nowego loginu i hasła użytkownika. Co za tym idzie, posiadamy wiele tożsamości w internecie. Niestety często zdarza się, że zapominamy któregoś z elementów uwierzytelnienia i potem rwiemy sobie włosy z głowy, zmuszeni do ponownego wypełniania formularza z prywatnymi danymi użytkownika, takimi jak imię, nazwisko czy wiek. Rozwiązaniem tych problemów jest protokół rozproszonego uwierzytelniania oraz dystrybucji tożsamości w usługach internetowych - OpenID, dla którego wsparcie zaoferowali najwięksi giganci branży IT: Google i Microsoft.

Prowadzimy bloga, korzystamy z poczty elektronicznej i innych usług w sieci WWW. Każde dodatkowe konto wymaga nowego loginu i hasła użytkownika. Co za tym idzie, posiadamy wiele tożsamości w internecie. Niestety często zdarza się, że zapominamy któregoś z elementów uwierzytelnienia i potem rwiemy sobie włosy z głowy, zmuszeni do ponownego wypełniania formularza z prywatnymi danymi użytkownika, takimi jak imię, nazwisko czy wiek. Rozwiązaniem tych problemów jest protokół rozproszonego uwierzytelniania oraz dystrybucji tożsamości w usługach internetowych - OpenID, dla którego wsparcie zaoferowali najwięksi giganci branży IT: Google i Microsoft.

Czym jest OpenID? Według informacji podanych w oficjalnej witrynie (openid.net), OpenID to bezpłatny i łatwy sposób na rozwiązanie problemów z zakładaniem wielu kont w internecie. Podstawowa korzyść polega na tym, że użytkownik nie musi już tworzyć konta za każdym razem, gdy chce się zapisać do nowej usługi. Wystarczy jedno konto, założone na dedykowanym serwerze OpenID. Każdy posiadacz takiego konta otrzymuje specjalny identyfikator, którym może się posługiwać w dowolnym miejscu w internecie, obsługującym technologię OpenID.

Obecnie liczba witryn akceptujących loginy OpenID nie jest imponująca i wynosi ok. 10 tysięcy. Ale to się zapewne szybko zmieni, skoro Google i Microsoft oficjalnie zadeklarowały swoje wsparcie.

Ciekawostka: może jeszcze tego nie wiesz, ale prawdopodobnie posiadasz już konto OpenID. Wystarczy, że prowadzisz bloga na jednej z popularnych platform: WordPress.com lub LiveJournal, albo korzystasz z serwisu Flickr.com bądź usług Yahoo!.

Jak działa OpenID?

OpenID.pl - pierwszy polski serwer OpenID

OpenID.pl - pierwszy polski serwer OpenID

W momencie logowania do wybranego serwisu lub usługi internetowej podajesz login OpenID, który składa się z nazwy użytkownika i adresu strony, w jednej z dwóch postaci: user.domena.com lub domena.com/user. Następnie zostajesz przekierowany do serwera OpenID w celu otrzymania konkretnych danych, których wymaga witryna czy usługa. Serwer udostępnia je i przekierowuje Cię ponownie do strony, na której rozpocząłeś proces logowania. Zazwyczaj czynność ta wymaga Twojego udziału, gdyż musisz zdefiniować dane, które chcesz udostępnić w wybranej usłudze. Jednokrotne zalogowanie umożliwia korzystanie z innych serwisów opartych na OpenID, bez potrzeby kolejnego wpisywania loginu czy hasła. W sieci powstał już nawet pierwszy polski serwer dedykowany OpenID, dostępny pod adresem openid.pl.

Zalet OpenID nie w sposób nie dostrzec. Po pierwsze możliwość korzystania z jednego aliasu w sieci WWW ułatwia korzystanie ze wszystkich usług internetowych, gdyż nie trzeba zapamiętywać dziesiątek różnych loginów i haseł dostępu. Druga sprawa to prywatność. Sam decydujesz o tym, które dane udostępnić w wybranej usłudze. Dodajmy do tego automatyczną aktualizację informacji, a to dlatego, że dane przechowywane na jednym serwerze raz zaktualizowane są pobierane przez inne usługi, i otrzymujemy rozwiązanie niemal idealne.

Niestety, ale nie ma róży bez kolców. OpenID niesie ze sobą również pewne zagrożenia. Koncentracja danych może okazać się zgubna, prywatne dane mogą zostać skradzione, a wtedy złodziej otrzymuje dostęp do wszystkich informacji, a wraz z Twoim loginem i hasłem - do usług, z których korzystasz na co dzień.

Platforma OpenID wciąż znajduje się w fazie rozwoju, jednak adaptacja w wielu usługach internetowych przebiega ostatnio coraz szybciej. Obecna wersja OpenID oznaczona numerem 2.0 pozwala korzystać z nowego systemu identyfikatorów XRI (eXtensible Resource Identifier). W momencie, gdy Yahoo! potroiło ilość użytkowników OpenID na początku 2008 roku, z nieco ponad 100 milionów do ponad 350 milionów unikalnych aliasów, rozwiązaniem tym zaczęły interesować się także inne duże koncerny, m.in. IBM, Google, Symantec czy Sun. Do tej i tak już dużej liczby partnerów dołączyli ostatnio Microsoft oraz Google.

GoogleID?

Firma Google już od dłuższego czasu interesowała się platformą OpenID. W zeszłym roku uniwersalne loginy zostały wdrożone w usłudze Blogger, początkowo dostępne tylko w wersji draft, później już oficjalnie. W celu aktywacji OpenID wystarczy w panelu administracyjnym zaznaczyć odpowiednią opcję, po czym możesz wykorzystać własny alias w dowolnej, wspieranej usłudze. Jakby tego było mało, zaraz po tym firma z Mountain View zatrudniła także Brada Fitzpatricka - twórcę OpenID, który opublikował pierwszą wersję protokołu w maju 2005 roku.

Jednak poczynania Google nie zaowocowały takim wzrostem liczby użytkowników, jak to miało miejsce w przypadku współpracy z Yahoo!. Z serwisu Blogger korzysta ok. 10-50 milionów użytkowników. Skąd taka rozbieżność w statystykach? Usługa Google niestety w dużej mierze wykorzystywana jest przez spamerów zakładających po kilka(naście) blogów, które następnie służą do podbijania pozycji spamerskich w rankingach. Stąd też rzeczywista liczba nowo założonych kont OpenID nie jest znana. Szacuje się, że w rzeczywistości wynosi ona zaledwie kilka milionów. Użytkownicy poczuli się nieco zawiedzeni faktem, że OpenID zostało wprowadzone przez Google jedynie dla usługi Blogger, a o pozostałych, takich jak poczta Gmail czy komunikator Gtalk, zapomniano.

Minęło kilka miesięcy i o poczynaniach Google'a znowu zrobiło się głośno, a to za sprawą dołączenia obsługi OpenID do serwisu Google Accounts (w ramach testów). "Konta Google'a" umożliwiają korzystanie oraz personalizowanie wszystkich usług firmy z Mountain View. Użytkownicy logujący się przez OpenID otrzymali dodatkowo ciekawą funkcję: gdy wpisywali swój adres e-mail w polu wybranej usługi Google'a, a następnie przechodzili do innej witryny wspierającej protokół OpenID i nie pamiętali hasła, to mogli zalogować się do niej bezpośrednio z serwera firmy Google, po czym byli ponownie przekierowywani do tamtej strony. Program testów dostępny był jedynie dla wybranych osób i w momencie oddawania tego materiału do druku został już zamknięty dla nowych użytkowników.

Gigant internetowy poinformował też, że współpracuje od jakiegoś czasu ze społecznością skupioną wokół wolnego oprogramowania nad połączeniem OpenID i protokołu OAuth. Pozwoli to rozszerzyć autoryzację o m.in. dodatkowe dane potrzebne do logowania (oprócz adresu e-mail i hasła). W zasadzie wszystko sprowadza się do tego, że podczas logowania w jednej usłudze użytkownik nie jest zmuszany do podawania tych samych danych w innej. Jest to bardzo ważne, gdyż OpenID było, i nadal jest krytykowane, za podatność na zagrożenia płynące z sieci WWW, takie jak phishing, a umożliwiające napastnikowi wyłudzenie prywatnych danych użytkownika. Z pewnością, dzięki połączeniu z OAuth możemy się spodziewać podwyższenia standardów bezpieczeństwa oferowanych przez OpenID.

Windows Live ID stanie się OpenID

Standardowy moduł logowania za pomocą identyfikatora Windows Live ID

Standardowy moduł logowania za pomocą identyfikatora Windows Live ID

Od dłuższego czasu także Microsoft interesował się OpenID, jednakże pierwsze kroki zostały podjęte dopiero po niemal półtora roku od pierwszych zapowiedzi. Gigant z Redmond wykorzystuje do uwierzytelniania użytkowników własny protokół - Live ID (znany niegdyś jako Microsoft Passport), który pozwala za pomocą jednego aliasu korzystać ze wszystkich usług z rodziny Windows Live i innych należących do Microsoftu. Warto przytoczyć fakt, że Microsoft opracował swego czasu także inny protokół, zaimplementowany w Windows Vista Card Space ID, który miał się cechować o wiele lepszym poziomem bezpieczeństwa niż leciwy Live ID. Niestety, nowe rozwiązanie zostało złamane przez niemieckich badaczy w czerwcu 2008 roku i nadzieje w nim pokładane legły w gruzach.

Tegoroczna konferencja PDC (Professional Developers Conference) poświęcona była w znacznej mierze następcy Visty - Windows 7. Nie zabrakło jednak cykli seminariów i wykładów poświęconych modnemu ostatnio zagadnieniu, jakim jest Cloud Computing. Microsoft przedstawił nową platformę, Windows Azure, która ma być podstawą przyszłych, "chmurnych" usług. Przy okazji gigant z Redmond zapowiedział, że Windows Live ID od tej pory będzie wspierać OpenID i przedstawił publiczną wersję CTP (Community Technology Preview) technologii Windows Live ID OpenID Provider. Nowy program beta pozwala użytkownikom dysponującym aliasem Live ID logować się do usług bazujących na OpenID 2.0, wcześniejsze wersje standardu nie są obsługiwane. Windows Live ID OpenID Provider działa w środowisku Windows Live ID Integration (INT). Program testów skierowany jest do deweloperów, którzy chcą sprawdzić interoperacyjność i zgodność własnych rozwiązań z Windows Live ID OP. Microsoft zachęca wszystkich zainteresowanych do testowania aliasów OpenID pod adresem login.live-int.com/beta/ManageOpenID.srf, po uprzednim utworzeniu konta w witrynie login.live-int.com. Ukończenie prac nad projektem jest spodziewane w 2009 roku. Warto dodać, że liczba unikalnych aliasów Live ID sięga już prawie pół miliarda.

To nie wszystko. Gigant z Redmond, poza wsparciem OpenID w postaci kont Live ID zapowiedział także, że wszystkie nowe narzędzia do zarządzania tożsamościami będą tworzone z myślą o obsłudze protokołu opracowanego przez Brada Fitzpatricka. Wspomniane aplikacje będą rozwijane w ramach dwóch nowych usług: Microsoft Federation Gateway (MFG) oraz Microsoft Services Connector (MFC). Pierwsza z nich jest platformą pozwalającą identyfikować użytkowników na podstawie tożsamości (przechowywanej lokalnie) a następnie przydzielać im dostęp do wszelkich usług. Projekt jest już dostępny w postaci ostatecznej. Natomiast MSC znajduje się jak na razie we wczesnej fazie rozwoju. Gigant z Redmond udostępnił dopiero wersję poglądową (CTP) projektu. W skrócie: narzędzie umożliwia łączenie tożsamości zdefiniowanych w ramach Active Directory z innymi usługami Microsoftu przy wykorzystaniu platformy Microsoft Federation Gateway.

OpenID jest z pewnością ciekawą inicjatywą, a wsparcie największych korporacji z branży IT może tylko cieszyć. Dotychczas platforma ta była wykorzystywana głównie w niewielkich i mało znaczących serwisach internetowych. Wraz ze wsparciem Microsoftu i Google szereg dostępnych usług powinien ulec co najmniej podwojeniu. Kto wie, a być może z czasem będziemy korzystać w internecie wyłącznie z aliasu OpenID. Czy tak się stanie przekonamy się zapewne za kilka lat.


Zobacz również