LXF154:BrowserID
|
|
|
Browser ID? Что за штука…
«BrowserID никак не ограничивает вас в настройке вашей учетной записи.»
В Что же за штука — BrowserID?
BrowserID (https://browserid.org/) — метод, представленный в июле 2011, который позволяет использовать адреса электронной почты для идентификации и регистрации на сайтах.
В Так у нас это уже есть: сайт просит ввести электронный адрес, а затем отправляет сообщение с подтверждением.
О Ан нет, с BrowserID все будет гораздо проще и быстрее.
В Что вы имеете в виду? Как это будет работать на практике?
О Чтобы зарегистрироваться на сайте, поддерживающем BrowserID, нужно будет всего лишь щелкнуть по кнопке Регистрация, а затем выбрать в меню желаемый адрес. Об остальном позаботятся ваш браузер и сам сайт.
В А как насчет входа через Facebook, Twitter и Google? Это ведь и того проще, не так ли?
О Да, если вы просматриваете страницы, войдя на любой из этих порталов, ничего делать вообще не придется: любой связанный с ними сайт немедленно вас идентифицирует. В том-то и беда. Вручение задач такого рода гигантским частным провайдерам влечет кучу привязок, плюс проблем, связанных с защитой информации.
В Ну да, но подождите! Разве OpenID не обеспечивал (более-менее) те же нужды?
О Так и есть. Но вообще-то похоже, что OpenID не оправдал ожиданий, по нескольким причинам. Главная из них, пожалуй, та, что для получения доступа к желаемому сайту приходилось, пусть и ненадолго, сперва обращаться к другому. Для тех, кто по-настоящему не осознал важность надежной онлайн-аутентификации (и не заботится об этом), гораздо менее трудоемким было просто попросить свой браузер запоминать все пароли, или щелкнуть по кнопке Запомнить Меня, которая есть почти в любой форме регистрации. BrоwserID пытается обеспечить тот же уровень безопасности и надежности, что и OpenID, но гораздо более прозрачным способом.
В Пожалуйста, расскажите о защите информации в BrowserID побольше.
О Прежде всего, в отличие от других систем регистрации, BrowserID не принуждает пользователя раскрывать или передавать в сеть личную, конфиденциальную информацию, такую как дата рождения. Кроме того, BrowserID не ябедничает серверам про сайты, которые вы посещаете.
В А почему BrowserID основан на электронных адресах?
О Во-первых, потому что любой регулярный посетитель Интернета имеет по крайней мере один почтовый ящик, а также и представление о том, что это уже средство идентификации и авторизации. Во-вторых, потому что электронные адреса не контролируются никакой организацией, ни по факту, ни потенциально. И, наконец, потому, что практически все сайты, требующие авторизации, уже содержат эту информацию для непосредственного взаимодействия с пользователями, изменения пароля и других сервисов: BrowserID лишь упрощает им работу с уже готовыми данными.
В Запретит ли мне BrowserID пользоваться моими любимыми никами на этих сайтах?
О Отнюдь нет. Электронный адрес используется только для первичной аутентификации. Использование BrowserID никоим образом не ограничивает вас в настройке вашей учетной записи на любом сайте.
В Можно ли, в таком случае, иметь несколько BrowserID?
О Конечно. Единственное условие в том, чтобы каждый был привязан к отдельному ящику.
В А что с другими приложениями, типа чат-клиетов? Могу ли я использовать с ними BrowserID, или это работает только в браузере?
О Да, можете, если эти программы реализуют протокол и снабжают пользователя интерфейсом для подключения к их провайдеру, чтобы получить ключи. Последние затем могут храниться в KWallet или любом другом настольном хранителе паролей.
В Простите, какой протокол, какие ключи? BrowserID основан на какой-то проприетарной технологии?
О Нет. Говоря на техноязе, BrowserID – это приложение Verified Email Protocol, децентрализованной системы аутентификации, использующей криптографию с открытым/закрытым ключом, посредством которой пользователь может доказать сайту, что он – владелец этого электронного адреса.
В BrowserID работает во всех браузерах?
О Он может работать на любом современном браузере, включая мобильные. Единственное требование – совместимость с API JavaScript. К слову, если ваш браузер его все-таки не поддерживает, можно воспользоваться аналогичным web-сервисом.
В С чего начать, если я хочу использовать BrowserID?
О Вы должны зарегистрироваться традиционным способом на сайте своего провайдера идентификации. Этот сервер затем велит вашему браузеру, через API JavaScript, сгенерировать пару открытых/закрытых криптографических ключей. После этого браузер отправит открытый ключ провайдеру и получит подписанный сертификат подлинности. Затем секретный ключ и данные верификации будут храниться в браузере, как обычные пароли.
В А что произойдет потом, когда я зайду на BrowserID-совместимый сайт?
О Этот сайт инструктирует ваш браузер, чтобы тот запустил функцию JavaScript, которая спросит вас, хотите ли вы войти, и под каким ID – то есть электронным адресом.
В И если я дам согласие...
О Браузер отправит на сайт подтверждение, подписанное закрытым ключом. Далее, сайт получит ваш открытый ключ от провайдера и верифицирует подпись.
В И так я докажу этому сайту, что я — действительно я?
О И да... и нет. Эта процедура представляет собой подтверждение третьей стороны (в отличие от того, что реализуется с cookie!), о том, что запрос на аутентификацию отправляется браузером, имеющим секретный ключ, связанный с электронным адресом. А это значит...
В Что я никогда не должен давать другим пользоваться моим браузером!
О Абсолютно верно. Однако риск тот же, что и с любой другой системой аутентификации, не требующей каждый раз вводить пароль, не так ли?
В Думаю, что да, но ведь это также значит, что я не пройду аутентификацию с других браузеров, правильно?
О Варианты возможны разные. Здесь все зависит от вас. Сам по себе, BrowserID позволяет завести по сертификату на каждый компьютер или смартфон, который вы используете, включая временные и предоставленные в публичный доступ, такие как в интернет-кафе. Естественно, в подобных случаях по завершении работы следует немедленно удалить закрытый ключ и сертификат!
В Вернемся к провайдерам идентификации. Вы все время о них упоминаете, а кто это?
О По самому простому и естественному сценарию, провайдером идентификации вашего BrowserID будет провайдер электронной почты.
В А если он не поддерживает эту систему?
О Можно без проблем использовать другой надежный провайдер идентификации, предлагающий те же услуги. Mozilla Foundation, например, как раз для таких целей основала сайт BrowserID.org, чтобы ускорить тестирование и применение BrowserID.
В Кстати о применении. В каком нынче статусе BrowserID? Им уже кто-то пользуется?
О На момент написания статьи (конец ноября), BrowserID еще довольно сырой. Большинство разработчиков браузеров пока не сообщали о своих планах включить его в свое ПО. Хотя главная проблема не в этом.
О Вот как? А в чем же?
О Открытым остается вопрос, согласятся ли, и когда, крупнейшие почтовые провайдеры и интернет-сообщества, такие как Facebook и Twitter, поддерживать BrowserID – то есть стать провайдерами идентификации. Особенно если, как в случае с Facebook, у них есть собственные альтернативы. Кроме того, все эти провайдеры должны будут прийти к соглашению по способам доступа к открытым ключам. К счастью, это не мешает попробовать BrowserID или применить его на вашем сайте.
О Это здорово. Как попробовать его сегодня?
В На данный момент, лучший способ увидеть BrowserID в действии – посетить официальный демо-сайт на Myfavoritebeer.org.
О Как насчет web-разработчиков?
В Если они используют популярное открытое ПО, наподобие WordPress или Drupal, то им повезло: модули расширения BrowserID для этих систем управления контентом уже есть. В противном случае, нужно следовать инструкции на BrowserID.org. Но даже в этом случае они смогут пользоваться BrowserID без необходимости написания какого-либо кода аутентификации.