9

OpenID a bezpieczeństwo, odpowiedzialność itp.

Na świecie jak i w Polsce (dzięki Marcinowi) jest coraz głośniej openid (dla tych którzy nie wiedzą o co chodzi polecam blog indentity2.0. ) i coraz więcej znanych serwisów i firm deklaruje wsparci dla tej technologii (może to złe słowo, wybaczcie ale jestem amatorem) a są to min. Microsoft, AOL, WordPress, Digg, 37signals i wiele […]

Na świecie jak i w Polsce (dzięki Marcinowi) jest coraz głośniej openid (dla tych którzy nie wiedzą o co chodzi polecam blog indentity2.0. ) i coraz więcej znanych serwisów i firm deklaruje wsparci dla tej technologii (może to złe słowo, wybaczcie ale jestem amatorem) a są to min. Microsoft, AOL, WordPress, Digg, 37signals i wiele innych.

Ja jako kompletny amator jeśli chodzi o technologie i openid ostatnio zacząłem się zastanawiać nad sprawą związaną z bezpieczeństwem tego typu rozwiązań. Od dawna wszyscy guru od security uczą nas np. aby mieć wiele trudnych do zapamiętania haseł i aby pod żadnym pozorem nie używać tego samego hasła w wielu miejscach.

Openid temu zaprzecza – mamy jedno hasło które wpuszcza nas do wszystkich internetowych serwisów z jakich korzystam (no i jakie wspierają opneid). No więc jak to jest z tym bezpieczeństwem ? – bardzo pesymistyczny scenariusz może założyć iż ktoś włamuje się na taki serwer i zdobywa nasze hasła (bo przecież to że hasła są szyfrowane nie będzie długo przeszkodą mając dostęp do bazy i plików) a potem robi nam dużo nie przyjemnych dowcipów w sieci.

Dodatkowo zaczynam zastanawiać się czy rozpowszechnienie openid poprzez software dzięki któremu każdy może stworzyć własny serwis jest dobrym rozwiązaniem. Zaczynając od tego, że kompletnie nie wiem czy osoba która uruchamia taką usługę jest godna zaufania a kończąc na pytaniu czy zna się ona na tyle na security aby zapewnić bezpieczeństwo naszych danych ?

W sumie uruchamiając serwis openid który zbiera dane osobowe powinniśmy dopełnić formalności do których zobowiązuje nas polskie prawo – czyli np. rejestracja bazy danych oraz podanie kto jest jej administratorem. Fakt zarejestrowania bazy oraz podania związanych z tym informacji powinien budzić w nas zaufanie do serwisu.

I tutaj delikatny wytyk w stronę tego co dzieje się na naszym podwórku – uruchamiając serwis openid.pl oraz myid.pl panowie którzy je prowadzą powinni poświęcić chwilę czasu na dopełnienie formalności, napisanie regulaminów itp. (wiem, że nie jest to ciekawe i porywające zajęcie ale nie jesteśmy dziećmi i wiemy, że czasem trzeba robić nudne i nieciekawe rzeczy bo wymaga tego odpowiedzialność)

Wprawdzie w przypadku openid.pl znana mi jest osoba właściciela (nie osobiście) to w przypadku kolejnych serwisów tego typu (które na pewno powstaną) już tak nie będzie. A czy nie jest tak, że przykład idzie z góry lub od promotorów danej dziedziny?

To więc jak to jest z tym openid ? – czy moje wątpliwości są uzasadnione czy też po prostu brak mi wiedzy w tym obszarze (szczerze mówiąc chciałbym aby się tak okazało ponieważ to co daje openid jest bardzo wygodne dla osoby która korzysta z wielu internetowych serwisów).