Mozilla a décidé de fermer le service d’authentification Persona en novembre 2016. Il était géré par la communauté depuis 2014, mais Mozilla indique désormais qu’il est trop peu utilisé pour justifier encore que des ressources lui soient attribuées.
Mozilla avait lancé la bêta de Persona en septembre 2012. L’idée était alors de proposer un service d’authentification universel et transparent que tous les sites pourraient utiliser pour simplifier la connexion des internautes. Mais dès 2014, devant une utilisation qui ne décollait pas vraiment, l’éditeur avait déjà décidé de confier l’avenir du service à la communauté.
Le père de Firefox attribue cependant des ressources depuis cette passation de pouvoirs. Par exemple, Mozilla s’occupe de tout ce qui touche à la sécurité, ses problèmes et ses corrections. Ce sont ses infrastructures et systèmes de communication qui sont également utilisés, sans parler des serveurs qui servent à assurer le fonctionnement de Persona.
Sous l’effet d’une contraction des activités et d’une révision de ses priorités, Mozilla a cependant décidé d’en finir avec Persona. Dans une communication datée d’hier, le responsable Ryan Kelly indique que tout sera arrêté le 30 novembre prochain. À cette date, les différents services seront coupés, et Mozilla indique que toutes les données qui auront été stockées depuis la mise en place de Persona seront détruites.
D’ici au 30 novembre, l’éditeur souhaite cependant donner suffisamment de temps aux sites utilisant Persona pour migrer vers une solution. Une documentation spécifique a d’ailleurs été mise en place pour aider les concernés, et elle sera mise à jour tout au long de l’année au fur et à mesure que des informations complémentaires seront disponibles. D’ici à cette fermeture, Mozilla continuera de s’occuper de la sécurité et donc de corriger les failles s’il y en a.
Au-delà du 30 novembre, plus rien ne sera donc disponible. Par sécurité, Mozilla indique que le domaine Persona.org sera gardé et qu’il ne sera pas transféré à un tiers.
Commentaires (15)
Persona non grata
" />
Normal, les gens préfèrent donner toutes leurs données a FB ou Google plutôt que de laisser un tiers gérer ces authentification, ce qui était une excellente idée car les services authentifiants (google, FB, justement) ne pouvaient pas savoir a quel service on se connectait avec.
Bref, une perte pour la privacy, et un pas de plus pour les gafa.
C’est vraiment dommage que ce service n’ait pas percé…
Le fait de ne pas donner d’infos au GAFA était un vrai plus de ce service.
Ouais! Honte à NextINpact de ne jamais avoir proposé le support de persona!
Booouh! Booouh!
C’est l’hécatombe en ce moment dans les projets Mozilla…
" />
A moins de passer par un service anonymisant, le FAI peut théoriquement tout savoir.
Et même si il ne fait pas de DPI et que tu passes par du HTTPS, il sait sur quels sites tu vas et, a quelle fréquence, ce qui déjà largement assez pour te tracer efficacement.
Alors oui c’est sur qu’avoir une authentification séparée c’est mieux, mais ce que proposait Mozilla était de loin ce qui ce faisait de mieux en matière d’authentification centralisée.
Non il ne peut pas “théoriquement tout savoir”. Alors oui, comme tu le dis, même en HTTPS, “il sait sur quels sites tu vas et, a quelle fréquence”. Mais j’appelle pas ça tout savoir.
Il faudrait exploiter des failles dans le HTTPS ou que l’utilisateur ait ajouté des “mauvais” certificats pour qu’il puisse tout savoir.
Sur presque tous les point en fait. Tu étais libre de choisir n’importe quelle société de confiance pour le serveur et si tu ne fait confiance a personne tu pouvais toujours avoir ton propre service.
Le seul véritable problème restant le fait que c’est centralisé.
Bah non pour l’instant c’est que le tracking/confiance que tu me sors… qu’elle est la valeur ajoutée à Google ou Facebook ?
" />)
" /> ? Ou alors qu’il n’y a pas de possiblité de serveur secondaire ?
Si Persona était capable (par exemple) de m’afficher un historique des sessions ouvertes, voir même des alertes pour les sites les plus sensibles… ou la double authentication. Peut-être que ca y est celà dit, mais comme Mozilla n’a absolument pas poussé son service (pire que le marketing de FFos
Ensuite pour “Le seul véritable problème restant le fait que c’est centralisé.” je ne te suis pas. Tu veux dire que le problème de l’authentification centralisée est que c’est centralisé