Luca Annunziata

Google sceglie OpenID

L'arrivo del peso massimo della ricerca potrebbe segnare la svolta. Verso una identità digitale universale?

Roma - Niente più password da ricordare, niente più astrusi nickname da inventarsi per ogni forum e social network. OpenID, il progetto aperto e gratuito creato da Brad Fitzpatrick (ora alle dipendenze di Google), piace sempre di più e conquista nuovi sostenitori: gli ultimi in ordine di tempo sarebbero Google, IBM e VeriSign, che si uniscono ad una prestigiosa lista che comprende già, tra gli altri, Technorati, Microsoft, Wikipedia e AOL.

Che il progetto OpenID fosse un buon progetto lo pensavano in molti: l'arrivo del colosso di Mountain View potrebbe costituire il punto di svolta per il successo e l'affermazione definitiva di questo standard per la creazione di una identità digitale universale. Con una sola username e una sola password si potrebbe a breve navigare e interagire con tutto il World Wide Web, permettendo a tutti di tenere facilmente traccia delle proprie attività.

A Mountain View deve essere diventata popolare l'idea di una identità digitale per ogni netizen. Dopo aver trasformato Gmail nella chiave di accesso al mondo Google, quelli di BigG si apprestano a fare di più.
AOL e Technorati hanno già cominciato, e pare che Microsoft stia pensando di abbandonare il suo Passport per unirsi alla cordata OpenID. Anche per Flickr il passaggio ad OpenID sarebbe imminente.

Luca Annunziata
34 Commenti alla Notizia Google sceglie OpenID
Ordina
  • (scusate, porto la conversazione fuori dal thread sul TPM perchè non ci stava a dire più niente)
    leggendo alcuni commenti si sente la viva preoccupazione per l'integrità della password e perchè nessuno ci impersoni. questo non è un problema affrontato da OpenID.
    Avendoci lavorato un po' sopra (e avendo manie di onnipotenzaOcchiolino vi posso dire che non si aprono nuove falle rispetto ai sistemi di autenticazione username/email+password. Anzi, può essere una strada per superare questo modello operativo, ormai vittima di molti "furbetti" (non scrive solo a me bancoposta ogni giorno per sbloccare il conto che non ho, vero?!?!?)
    Concentriamoci sulla sicurezza (rischi che altri mi impersonino): la specifica OpenID NON DEFINISCE (http://openid.net/specs/openid-authentication-2_0.... paragrafo 3 punto 5) i meccanismi di sicurezza, ma delega alle tecnologie esistenti. Se voi volete dormire sonni tranquilli scegliete bene chi vi fornisce i servizi = non si può scaricare sull'utente finale l'onore di garantire la robustezza dei login; cioè obbligarlo a scegliere password complicate a cambiarle ad avere regole diverse per ogni sito e a non scriverle sui post-it. Meglio pochi-ma-buoni.

    OpenID trasforma il tecnicismo dello username (stringa alphanum senza alcuna semantica) in un URI, in qualcosa che è classificabile nel web, che ha un suo spazio e una sua semantica. Firmare usando un certo dominio (la SUN rilascia degli uri ai propri dipendenti) veicola un contenuto molto più ricco. Firmare con il proprio sito/blog vuol dire scambiare informazioni ad un livello più alto dell'algoritmo che controlla il login.

    Come è stato detto è un'attività molto sociale, io mi preoccuperei di come mantenere la proprietà di questo URI per tutti i secoli a venireSorride e se ne usassi uno di google o myopenid vorrei leggere bene le condizioni d'uso. Per il momento è stato più divertente metterne su uno in casa, ehm cantina.

    http://openid.lacantinadellanonna.net/virgilio
    non+autenticato
  • Comincia subito dopo il settembre 1993...

    Occhiolino
    non+autenticato
  • - Scritto da: Homo Polemicus
    > Comincia subito dopo il settembre 1993...
    >
    > Occhiolino

    ma non era già cominciato anche prima???
    Occhiolino
    non+autenticato
  • Le stanno provando tutte.

    Ma vi par possibile che il monopolio di un ID che identifica una persona, sia nelle mani di una qualsiasi società privata ?

    Mi si dirà 'ma è volontario', già ma se le grandi aziende che hanno software sulla stragrande maggioranza dei desktop (che in fondo sono poche) lo richiederanno, la volontarietà andrà a farsi friggere.

    Quello che temo di più poi è che si generino i presupposi per agganciare a questo ID il famigerato TPM che oramai sta su gran parte dei PC e altri dispositivi all'insaputa degli utenti.

    Al di la del fatto che c'è di mezzo anche il SO e altro per cui perché il giro sia completo.

    Oltretutto qualche governo sprovveduto in nome della presunta sicurezza o per supportare i DRM, vari qualche legge che imponga di fatto questo ID.

    Insomma questa idea non è di fatto un pericolo ma spero che incontri tutte le resistenze che hanno di fatto annullato iniziative analoghe.
  • scusa ma uno dei presupposti di OpenID è proprio quello di non dipendere esclusivamente da uno specifico fornitore. Anzi.
    E' ovvio che se non vuoi dipendere da nessuno devi avere un identificativo di TUA proprietà (e si potrebbe iniziare con uno nome di dominio) però per fare questo non serve essere dei tecniciOcchiolino e non è che usando gli indirizzi email tu non abbia questo problema.
    poi OpenID ti permette di delegare ad altri l'onere di fornire il servizio di identificazione, di cambiare provider nel corso del tempo, di scegliere il fornitore che ti dia maggiori garanzie di sicurezza (ad esempio mediante l'utilizzo di certificati piuttosco che usr/passwd) o di portarti in casa anche il servizio.
    alcune cose sono più per esperti del settore, sono d'accordo, ma volevo sottolineare come OpenID nasca proprio per essere uno strato trasversale e non l'ennesimo oggetto proprietario funziona-solo-con-me
    Infine aggiungo che nasce anche per supportare il concetto di identità digitale, cioè un collante che permetta di ricondurre a te la tua attività in rete, creare un tuo profilo, una tua storia. in un web sociale questo interessa a molti.
    un esempio: non lo userei per l'accesso in banca (perchè non è un'informazione che voglio condividere) ma lo userei per un curriculum o lo uso per firmare questo commento per essere meno anonimo.
    http://openid.lacantinadellanonna.net/virgilio
    ciao!
    non+autenticato
  • Oh, grazie Virgilio. A quanto pare sei l'unico che ha commentato con cognizione di causa. Stavo per disperarmi.

    Io lo uso dove possibile: ma.gnolia.com invece di del.icio.us, zooomr invece di flikr

    http://openiddirectory.com/
    non+autenticato
  • - Scritto da: virgilio
    > Infine aggiungo che nasce anche per supportare il
    > concetto di identità digitale, cioè un collante
    > che permetta di ricondurre a te la tua attività
    > in rete, creare un tuo profilo, una tua storia.
    > in un web sociale questo interessa a molti.

    Sì, è corretto.
    Non vedo le prospettive catastrofiche temute da più di qualcuno. Semplicemente avrò la stessa identità su differenti servizi, invece di doverne ricordare trentasette. Mai più ricerche infinite nelle vecchie e-mail per trovare quella password che-ho-usato-tre-mesi-fa-l'ultima-volta.

    Per servizi bancari, trading on-line e simili i sistemi sono ben altri. E nessuno mi impedisce di creare più di una identità per gestire parti diverse della mia vita su web.
    non+autenticato
  • L'unica protesta sensata la vedo dal lato hacking. Una volta scoperta l'unica password un hacker puo rubarvi tutte le id di tutti i servizi legati a openid. (Ammetto che questa frase la scrivo senza leggere le specifiche del formato su cui mi informerò il più presto possibile)
    non+autenticato
  • si, è possibile
    anche se bisogna vedere quanti degli uenti medi usano una password alfanumerica con maiuscole e minuscole diversa per ogni servizio a cui sono registratiSorride (quindi il pericolo è molto simile)

    tra l'altro le specifiche di openid non legano ad una autenticazione ti tipo username/password, ci sono quindi provider che autenticano via jabber (hai aperto il tuo programma di IM, vai su un sito, metti il tuo openid, fai clik e ti arriva un messaggio "il sito tal dei tali chiede se l'id vattelapesca è tuo, si / no?". più o meno. Esiste anche un estensione per firefox che si connette a jabber e gestisce questo tipo di messaggio, mostrando una box con i bottoni "si" "no".), altri autenticano con certificati... sta a te decidere se usarlo, e come usarlo.
    non+autenticato
  • Parlando per me io ho molte password diverse con simboli anche non alfanumerici maiuscole e minuscole diverse, tutte a memoria.

    Mhmhmh, devo ancora leggere le specifiche...
    ma da come me lo dici tu non è molto più good, cioè i certificati via rete non sono autorevoli. Loro possono dirmi ah si certifichiamo qua la su giu, poi io come faccio a accertarmi che la cosa è efficente PRIMA che mi ciulano la password? di solito sei costretto a accettare per accedere a un dato servizio che ti serve, e la volta che sbagli hai perso tutto. Stessa cosa per jabber, chi dice che il programma di im è esattamente il mio? un numero di serie? un certificato? se mi ciulano la password quindi riescono a capire che non sono io dal fatto che non ho il certificato o il tale seriale del programma? quanto è protetto tale certificato... è tutto parecchio nebbioso.
    non+autenticato
  • google e msn live search ne traggono un grande beneficio in quanto ogni volta sanno esattamente chi siamo, cosa abbiamo fatto e cosa possono pubblicizzarci.
    cosa che google di fatto già fa visto che è presente nelle pagine web di mezzo mondo e ci traccia. Ma cancellando i cookie ogni tanto perde le nostre tracce.
    con l'openId invece è tutto risolto. Appena mi loggo su qualsiasi social network mi ritrova!

    Io sono favorevole ad usarlo, ma non deve essere gratis. ci devono pagare!
    non+autenticato
  • Mah, vedi... se tu leggessi un'attimo come funziona noteresti un paio cose:

    1) non c'è un'"authority" centrale che si occupa di identificare gli utenti. Sei libero di scegliere il provider che più ti aggrada, tra livejournal, myopenid e tanti altri. Puoi anche, se hai un tuo dominio, essere _tu_ sul tuo dominio a operare da provider, e quindi essere tu ad autenticare la tua identità.

    2) molti provider consentono di gestire più identità sotto lo stesso openid.

    quindi:
    1) se google si configura come openid consumer (un sito he sfrutta il meccanismo di openid per autenticare gli utenti), puoi usare un'identità solo per lui, uno per facebook, uno per zooomr, uno per myBedroomOnNight (oh, questo è mio, non ciulatemeloSorride )
    2) se google si configura come opeid provider, nessuno ti obbliga a usarlo.

    concludo con:
    nessuno ti obbliga ad usare il sistema di openid.
    e:
    se tieni tanto alla tua privacy, riconsidera l'uso di siti di social-network, che sono l'antitesi del concetto di privacy.

    saluti a tutti!
    non+autenticato
  • Ci sono un sacco di prodotti che ti memorizzano login e password, e li puoi tenere su una pen drive, tipo KEYPASS (lo trovi qui: http://www.dobysoft.com/ )
    Non lo so, ma io credo che contro i furti d'identità in internet, l'unica cosa da fare sia diversificare e nient'altro.
    non+autenticato
  • quoto, proprio per la sua natura decentralizzata OpenId è l' esatto opposto di un sistema tipo grande fratello che spia tutti.
    Come vedete virgilio si identifica tramite la cantinadellanonna io magari in futuro mi identificherò @quellochemipare e saremo tutti a posto
  • e se mi ciulano LA password,
    mi barbano tutto...
    non+autenticato
  • no, ancora peggio... se il provider che ti gestisce l'openid ti vuole ciulare... lo fa e non te ne accorgi neanche!!

    - Scritto da: Risposta al commento
    > e se mi ciulano LA password,
    > mi barbano tutto...
    non+autenticato
  • - Scritto da: ----
    > no, ancora peggio... se il provider che ti
    > gestisce l'openid ti vuole ciulare... lo fa e non
    > te ne accorgi
    > neanche!!

    se fossi andato sul sito di openid sapresti che

    "Today, anyone can choose to be an OpenID user or an OpenID Provider for free without having to register or be approved by any organization."

    Mi inquieta lo stesso l'idea di un unico account per tutte cose...

    >
    > - Scritto da: Risposta al commento
    > > e se mi ciulano LA password,
    > > mi barbano tutto...

    questo è vero
    non+autenticato
  • - Scritto da: Risposta al commento
    > e se mi ciulano LA password,
    > mi barbano tutto...

    Tranquillo, ormai i giganti di Internet hanno deciso che l'openid è cool e la utilizzerai anche tu prima o poi.
    non+autenticato
  • - Scritto da: sdfgdsfg
    > - Scritto da: Risposta al commento
    > > e se mi ciulano LA password,
    > > mi barbano tutto...
    >
    > Tranquillo, ormai i giganti di Internet hanno
    > deciso che l'openid è cool e la utilizzerai anche
    > tu prima o
    > poi.

    Col ca..o. E' un po' come voler ritornare alle connessioni dial-up anche se si ha a disposizione una adsl.
    Il rischio di "facilitare gli acquisti" è eccessivo IMHO.
    non+autenticato
  • - Scritto da: pinco pallino qualunque
    > - Scritto da: sdfgdsfg
    > > - Scritto da: Risposta al commento
    > > > e se mi ciulano LA password,
    > > > mi barbano tutto...
    > >
    > > Tranquillo, ormai i giganti di Internet hanno
    > > deciso che l'openid è cool e la utilizzerai
    > anche
    > > tu prima o
    > > poi.
    >
    > Col ca..o. E' un po' come voler ritornare alle
    > connessioni dial-up anche se si ha a disposizione
    > una
    > adsl.
    > Il rischio di "facilitare gli acquisti" è
    > eccessivo
    > IMHO.

    Di quali acquisti parli?
    non+autenticato
  • - Scritto da: sdfgdsfg
    > - Scritto da: Risposta al commento
    > > e se mi ciulano LA password,
    > > mi barbano tutto...
    >
    > Tranquillo, ormai i giganti di Internet hanno
    > deciso che l'openid è cool e la utilizzerai anche
    > tu prima o
    > poi.

    ah, come gmail?
    io non ho mai iniziato a usarla.
    non+autenticato
  • - Scritto da: nome e cognome
    > - Scritto da: sdfgdsfg
    > > - Scritto da: Risposta al commento
    > > > e se mi ciulano LA password,
    > > > mi barbano tutto...
    > >
    > > Tranquillo, ormai i giganti di Internet hanno
    > > deciso che l'openid è cool e la utilizzerai
    > anche
    > > tu prima o
    > > poi.
    >
    > ah, come gmail?

    No, non come gmail. Gmail è un servizio offerto da una singola azienda. Openid invece è un servizio aperto e globale che ti offriranno in tanti e se vorrai potrai anche essere tu stesso il tuo fornitore di openid.

    > io non ho mai iniziato a usarla.

    Ma avrai usato la posta elettronica che come paragone c'entra più con openid rispetto al singolo gmail.
    non+autenticato
  • - Scritto da: nome e cognome
    > ah, come gmail?
    > io non ho mai iniziato a usarla.
    beh, mia nonna non usa nemmeno il pc ...
    se trovi sia un motivo di vanto non volere usare un ottimo servizio ...
  • Sì ma... Non per la banca on line
    Mi può andare bene per i tanti servizi "minori" ma dove ci sono soldi (conti correnti on line, acquisti, ecc.. ) io non lo userei!
    non+autenticato
  • quoto; alla fine se qualcuno entra per esempio su PI fingendosi me non è che sia sta sfiga cosmica, lo voglio vedere a scrivere boiate peggiori delle mie A bocca aperta