Alfonso Maruccia

Persona, il login open di Mozilla

Il sistema di autenticazione che fa a meno di password raggiunge un importante punto del suo sviluppo. Si apre al pubblico e promette miglioramenti a utenti, sviluppatori e webmaster

Roma - Mozilla presenta ufficialmente la prima "beta release" di Persona, il servizio di autenticazione distribuita (basata su una piattaforma decentralizzata) promosso dalla società di Firefox come alternativa OpenID e altri sistemi concorrenti.

Nato originariamente come BrowserID, Persona viene pubblicizzato da Mozilla come un servizio capace di "eliminare completamente le password" per l'autenticazione sui siti che supportano la piattaforma tramite apposita API open source.

Con la prima beta release il servizio è pronto a svolgere i propri compiti per l'autenticazione a prova di password, dice Mozilla: la piattaforma al momento supporta i browser dei principali gadget mobile e quelli su personal computer.
Persona è un servizio ancora in fase di sviluppo, dice la casa del Panda Rosso, e nell'ultimo periodo le migliorie apportate hanno riguardato un "refresh" completo del brand (passando appunto da BrowserID a Persona), la realizzazione di una API completamente nuova, un'esperienza utente rinnovata e altro ancora.

Mozilla è ora alla ricerca del supporto da parte di sviluppatori e siti Web, promette cose "fantastiche" per il futuro e rassicura sulla capacità dell'ecosistema Persona di coesistere con gli altri sistemi di login. E poi basta "un solo pomeriggio" per integrarlo all'interno di un sito, dice ancora la società.

Alfonso Maruccia
Notizie collegate
  • TecnologiaBrowserID: avanti, c'è postoMozilla termina l'adozione della sua nuova infrastruttura di autenticazione sicura e decentralizzata su tutti i propri siti web. Sicurezza e facilità di accesso sono alla portata di chiunque con un indirizzo email
  • TecnologiaFirefox e la videochat apertaVideochiamate direttamente all'interno del browser? Mozilla gestisce il flusso dati con tecnologia WebRTC, basata soltanto su HTML5 e Javascript
41 Commenti alla Notizia Persona, il login open di Mozilla
Ordina
  • Forse la migliore risposta sarebbe un bel token hardware. Che so una bella pennina usb od un lettore usb con una sim con chiave rsa di cifratura a 2048 bit. Altro che persona e minchiate varie. Molto piu' comodo e soprattutto sicuro.
    non+autenticato
  • - Scritto da: jfk
    > Forse la migliore risposta sarebbe un bel token
    > hardware. Che so una bella pennina usb od un
    > lettore usb con una sim con chiave rsa di
    > cifratura a 2048 bit. Altro che persona e
    > minchiate varie. Molto piu' comodo e soprattutto
    > sicuro.

    Già, sicurissimo, specialmente quando lo perdi o lo lasci incustodito nella tasca della giacca...
    non+autenticato
  • ...e buona notte alla privacy!
    non+autenticato
  • Possibile che nessuno abbia ancora tirato fuori la storia della volpe?
    Mi state scadendo, ragazzi.
  • Ma perché invece di pensare a queste cose non pensano a risollevare le sorti del loro browser? Oppure si sono resi conto che il lento declino di firefox è ormai inarrestabile?

    Diamine ... dovrebbero dar fuoco a gecko -.-'
    non+autenticato
  • - Scritto da: daniele_dll _rosica
    > Ma perché invece di pensare a queste cose non
    > pensano a risollevare le sorti del loro browser?

    Si sono venduti a google... le "donazioni", il motore di ricerca di default... Poi G ha fatto un browser tutto suo e la sorte di Mozilla che ormai si era abituata a spese e sperperi all'americana è stata segnata. Firefox è un bloatware e Mozilla una community chiusa con dipendenti mangia-soldi.
    Tutto attorno a Mozilla è commerciale. La pubblicità, gli addon, i siti web... il Tor Project ha rimosso da Mozilla Addon il loro Torbutton, perchè Mozilla tracciava tutti gli utilizzatori.
    Google ha fatto come Microsoft faceva in passato: compra un'azienda e affondala. Ecco, ma senza aver comprato niente, con le donazioni ha fatto la stessa cosa.

    > Oppure si sono resi conto che il lento declino di
    > firefox è ormai
    > inarrestabile?

    Eggià
    non+autenticato
  • - Scritto da: Nome e cognome
    > Mozilla che ormai
    > si era abituata a spese e sperperi all'americana
    > è stata segnata. Firefox è un bloatware e Mozilla
    > una community chiusa con dipendenti
    > mangia-soldi.
    > Tutto attorno a Mozilla è commerciale. La
    > pubblicità, gli addon, i siti web... il Tor
    > Project ha rimosso da Mozilla Addon il loro
    > Torbutton, perchè Mozilla tracciava tutti gli
    > utilizzatori.

    Fonti?
    non+autenticato
  • Fonte 1:
    Currently, Torbutton is available from addons.mozilla.org. This listing must be removed for several reasons:

    1. Nothing currently shown on the page indicates that users must download, install, and run Tor in order to use Torbutton. Multiple people have been confused by this fact.
    2. According to Mozilla's privacy policy (currently last updated June 30, 2010), addons.mozilla.org records in its logs client IP addresses and times of accesses to the site. Mozilla does not consider even IP addresses to be personally identifying information, and states that it may share the logs it collects with 'employees, contractors, service providers, and subsidiaries and related organizations'. They do not state how long these logs are preserved, or in which jurisdictions the people and organizations with access to the logs are located.
    3. The description of Torbutton is long out of date (e.g. it links to bugs.tpo/flyspray for bug reports). I assume this means that we cannot update the description without significant effort.

    Once the a.m.o listing is removed, we should announce the change and explain the reasons for it in a blog post.

        *   status changed from new to assigned
        * owner changed from phobos to mikeperry

    Mozilla also stores all data from a.m.o forever. Reassigning to mike, as this is really his call.


    Fonte 2:
    Furthermore, this release will also only update Torbutton via Tor by default to address concerns with the data retention policies of addons.mozilla.org, as well as to prevent censored users from being revealed as Tor users during the Torbutton update download, which happens over http.


    Fonte 3:
    Cercatele da te.



    Cmq anche da rimosso (quindi non stupirti se non lo trovi su addons.mozilla.org) sembra che vengano inviate tutt'oggi delle query non volute a Mozilla:
    ‘echelon’ in #tor reports that TBB-Firefox sends the current OS and kernel version to addons.mozilla.org:

    2012-08-30 01:23:48 <echelon> https://addons.mozilla.org/blocklist/3/%7Bec8030f7.../

    This is at least an information leak, and more seriously, Firefox's ‘extension blocklist’ could be used to disable Torbutton (or other preconfigured extensions) in TBB-Firefox.
    https://trac.torproject.org/projects/tor/ticket/67....
    non+autenticato
  • Stai sostanzialmente dicendo che addons.mozilla.org fa quello che fanno il 99,9% di tutti i siti, cioè tenere i log di accesso (che fra l'altro in Italia mi risulta sia obbligatorio per legge, giusto per capirsi). Quindi niente violazione della pravacy o tracciamento, o almeno non in maniera diversa da qualunque altro sito.

    Chiaro però che quando si parla di Tor, l'attenzione alla privacy è chiaramente *MOLTO* al di sopra del normale, quindi si prendono in considerazione anche cose normalmente considerate insignificanti.

    Il motivo per cui non viene più supportato ufficialmente Torbutton è ben più complesso. Inoltre il pacchetto ufficiale distribuito per Tor comunque comprende una build di Firefox (la 10 LTS) e questo la dice lunga.
    non+autenticato
  • Quale altro sito al mondo ti logga ... la versione del kernel!? Punto-informatico? No, solo Mozilla.
    non+autenticato
  • Nessun commentoTriste Meglio gli utenti di Tom's che hanno commentato numerosi questa notizia.

    Comunque mi fa piacere cha abbiano migliorato il codice da includere lato server, quello di prima era già semplice ma adesso ci saranno più esempi. Il problema è che bisogna fare molte modifiche per integrare un sistema di questo tipo sui cms non standard e quindi non dotati di plugin.
  • Si, ma come funzionerebbe il tutto?
    non+autenticato
  • Non è che sono pigro... è che su google escono solo contraccettivi...
    non+autenticato
  • - Scritto da: ...
    > Non è che sono pigro... è che su google escono
    > solo
    > contraccettivi...

    LOLSorride)))))))))

    dovresti cercare col nome precedente di BrowserID. Comunque mi fa piacere spiegare a te e a quelli che leggono PI di cosa si tratta, o almeno provarci visto che ho capito solo alcune cose.

    Per esempio sulla pagina dei commenti si fa comparire l'icona di persona, quando l'utente la clicca si apre un popup in cui inserire la propria email e la propria password o eventualmente registrarsi o selezionare una email già registrata se si è ancora loggati tramite un cookie. Questo pop up è una pagina di Mozilla, quindi ci si registra da loro.

    Da quel che ho capito i certificatori possono costituire un network basato sulla fiducia.

    Il fatto di possedere una email passa dalla finestra pop up di mozilla alla nostra pagina dei commenti che rileverà e verremo registrati col la nostra email e con altri dati ausiliari come nick name e altro in dipendenza dei gusti del webmaster.

    In soldoni tutto il sistema persona serve solo per evitare che per ogni spazio commenti dobbiamo ripetere la trafila di autenticazione dell'email: basterà un clic sul popup dove selezioneremo la nosta email vera (ce ne possono essere più di una) e poi potremmo commentare.

    Sarà necessario solo una volta per tutti i siti che usano persona autenticare l'email nel solito modo ovvero: ci arriva una email di mozilla/persona e dovremmo cliccare sul link accluso.

    L'ultima versione di persona potrebbe essere cambiata, io sono indietro a BrowserID.
  • Grazie della spiegazione, se le cose stanno così però non lo vedo un gran passo in avanti... Ci sono già altri servizi che fanno la stessa cosa e se non sbaglio NetPassport (o come si chiama) di Microsoft funziona nello stesso identico modo.
    Cosa potrebbe portare di nuovo a spingere gli utilizzatori degli altri servizi ad usare Persona?
    non+autenticato
  • - Scritto da: ...
    > Grazie della spiegazione, se le cose stanno così
    > però non lo vedo un gran passo in avanti... Ci
    > sono già altri servizi che fanno la stessa cosa e
    > se non sbaglio NetPassport (o come si chiama) di
    > Microsoft funziona nello stesso identico
    > modo.
    > Cosa potrebbe portare di nuovo a spingere gli
    > utilizzatori degli altri servizi ad usare
    > Persona?

    Non conosco i servizi di MS, però posso dirti che Mozilla è una comunità e non mira a fare dei giardini recintati in cui radunare gli utenti per poi chiudere i cancelli e procedere alla tosatura. Questo è importante e in effetti l'autenticazione non è necessaria se "entra" in persona un big come Gmail.

    Se Gmail entra tra i fiduciari di mozilla può ricevere l'assicurazione che il tal utente è proprietario di una mailbox e quindi non è necessaria alcuna autenticazione e automaticamente tutti gli utenti di Gmail possono entrare direttamente nei forum che usano persona.
  • - Scritto da: Sandro kensan
    > Non conosco i servizi di MS, però posso dirti che
    > Mozilla è una comunità e non mira a fare dei
    > giardini recintati in cui radunare gli utenti per
    > poi chiudere i cancelli e procedere alla
    > tosatura. Questo è importante e in effetti
    > l'autenticazione non è necessaria se "entra" in
    > persona un big come
    > Gmail.

    Incredibile! Una critica a Microsoft e una incensata a Google nonostante il loro approccio sia del tutto simile (se non consideriamo che Google è molto meno rispettoso della privacy).
    non+autenticato
  • Scusami... ma non capisco il perchè considerare MS il male e G il bene su una cosa IDENTICA...

    Non vado a favore o contro nessuno.. MS, G ecc... ma prendiamo la tua frase

    "Se *** entra tra i fiduciari di mozilla può ricevere l'assicurazione che il tal utente è proprietario di una mailbox e quindi non è necessaria alcuna autenticazione e automaticamente tutti gli utenti di *** possono entrare direttamente nei forum che usano persona."


    Se al posto di *** ci metti GMAIL o OUTLOOK o YAHOO, ma anche qualche email meno famosa... cosa cambia?

    Ripeto, sicuramente sarà un prodotto valido, ma se non aggiunge niente di nuovo come potrà portare gli utilizzatori di altre piattaforme (uguali) dalla sua parte?
    non+autenticato
  • - Scritto da: ...

    > "Se *** entra tra i fiduciari di mozilla può
    > ricevere l'assicurazione che il tal utente è
    > proprietario di una mailbox e quindi non è
    > necessaria alcuna autenticazione e
    > automaticamente tutti gli utenti di *** possono
    > entrare direttamente nei forum che usano
    > persona."

    Ma guarda che a non avere interessi per i giardini recintati è solo Mozilla e non MS né Google né Apple né Yahoo ne altri. Non è chiaro?

    Dove avrei affermato il contrario?

    Gmail è il servizio di posta più famoso e più usato e quello che probabilmente avrebbe un interesse ad appoggiare persona per mettere i bastoni tra le ruote a Facebook (prima che mi si legga nella fronte pensieri che non ho affermo qui, a scanso di equivoci, che FB *è* un giardino recintato). FB viene usato per l'autenticazione e quindi gmail attraverso Mozilla con Persona potrebbe drenare "convenienze" ad usare FB per questo scopo.
  • > Ma guarda che a non avere interessi per i
    > giardini recintati è solo Mozilla e non MS né
    > Google né Apple né Yahoo ne altri. Non è
    > chiaro?
    >

    Si, chiarissimo quello che dici

    > Dove avrei affermato il contrario?
    >
    > Gmail è il servizio di posta più famoso e più
    > usato e quello che probabilmente avrebbe un
    > interesse ad appoggiare persona per mettere i
    > bastoni tra le ruote a Facebook (prima che mi si
    > legga nella fronte pensieri che non ho affermo
    > qui, a scanso di equivoci, che FB *è* un giardino
    > recintato). FB viene usato per l'autenticazione e
    > quindi gmail attraverso Mozilla con Persona
    > potrebbe drenare "convenienze" ad usare FB per
    > questo
    > scopo.

    Comunque, un sistema di autenticazione è come una porta... di solito ti fa accedere a zone normalmente chiuse, per fare determinate cose (forum, negozi, social network, intranet, pannelli di amministrazione ecc...) tutte cose che sono "giardini recintati"... non è che una login ti apra le porte del mondo.

    OT (OT perchè i giardini recintati con un sistema di login non c'entrano niente secondo me)
    Questa fissazione dei "giardini recintati" non la capisco.. nessuno obbliga, tutti (anche Mozilla) mettono le proprie regole. Alcuni le mettono più restrittive altri più elastiche... ma se decidi di utilizzare certi servizi devi sottostare alle regole. Se ti registri ad un negozio online, non puoi lamentarti del regolamento. Se non ti sta bene vai su un altro negozio online. La stessa cosa con i telefonini o con i software...



    Ultima osservazione, se Mozilla non avesse interessi a profilare (perchè non ci credo che non lo farà, avendo in mano un sistema di autenticazione), che senso avrebbe uscirsene con un sistema di autenticazione unico e sperare in google come supporter? Chiunque si butterà in questa impresa, fornendo i dindi, vorrà un ritorno in termini di statistiche...
    non+autenticato
  • Aggiungo all'ultima nota:
    Anche senza il bisogno dei soldi da parte di Mozilla, il fatto che sta cercando supportes implica che questi supporters possano benissimo chiedere in cambio le statistiche dei loro utenti, dato che nessuno fa niente per niente.
    non+autenticato