Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Persona : la connexion simplifiée qui respecte votre vie privée, par Mozilla

Enfin une véritable bonne idée

Persona : la connexion simplifiée qui respecte votre vie privée, par Mozilla

Le 09 août 2013 à 10h00

Mozilla vient d'annoncer une évolution de son système de connexion unifié qui se veut une alternative à OpenID : Persona (à ne pas confondre avec les thèmes Personas). En effet, il supporte désormais officiellement la simplification de l'inscription via un compte Google. L'occasion pour nous de revenir de manière détaillée sur cette solution qui se veut simple, mais surtout respectueuse de votre vie privée.

Il existe depuis quelques années plusieurs initiatives de procédures de connexion unifiée et simplifiée. Certaines sont assez largement connues du grand public, comme celles proposées par Facebook, Google ou Twitter, mais d'autres existent depuis bien plus longtemps comme OpenID créé en 2007.

OpenID : une initiative louable, mais qui n'a pas su se réformer

Son avantage ? Elle est décentralisée et gérée par une fondation à but non lucratif qui ne dépend pas de telle ou telle société en particulier. Elle permet aussi une vérification de votre identité tout en n'étant pas forcément liée à un compte sur un réseau social permettant de tout connaître de vous, vos amis, et parfois même de publier à votre place. C'est en effet un problème qui n'est pas souvent pris en compte par les internautes, qui valident les autorisations sans trop faire attention, mais que les fournisseurs de solutions n'hésitent pas à mettre en avant comme un avantage pour les éditeurs de sites, comme le fait Janrain :

 

 

Le problème principal d'OpenID ? Cette solution est assez peu connue et de moins en moins répandue, notamment en raison de sa complexité d'implémentation mais surtout d'utilisation. Si vous cherchez à vous connecter au service Livejournal ou ScribbleLive via ce système par exemple, via cette page, la première chose que l'on vous demandera est une URL. En effet, chaque fournisseur d'identité OpenID en indique une à ses clients qu'il doit entrer manuellement afin de pouvoir se connecter ensuite. Dans le cas d'un compte Google, c'est ainsi : 

 

https://www.google.com/accounts/o8/id

 

Une fois cette adresse tapée, le fournisseur vous permettra de vous connecter de manière assez simple, sans avoir à créer un nouveau login et un nouveau mot de passe. 

OAuth : bien plus qu'un simple outil de connexion

Notez que c'est une approche différente d'OAuth qui est souvent cité comme alternative. En effet, elle permet surtout de déléguer des accès à des applications tierces, ce qui n'est pas le cas d'OpenID qui se focalise sur la connexion. Créé à l'initiative de développeurs de Twitter, ce protocole permet en effet de donner un accès restreint à votre compte à une application sans que vous n'ayez à lui indiquer votre mot de passe, et avec la possibilité de lui révoquer l'accès à tout moment.

 

OAuth par Nokia

OAuth, par Nokia

 

C'est ce qu'il se passe lorsque vous vous connectez à un client Twitter par exemple, la liste des applications liées à votre compte étant indiquées sur cette page. Il en est de même pour Facebook et Google qui utilisent aussi ce protocole. Les listes sont respectivement disponibles par ici et par là.

Persona : Mozilla veut rendre la connexion unique, et simple... pour tous

Partant du principe qu'il n'existait pas de système de connexion décentralisé et simple, tant à implémenter qu'à utiliser, Mozilla a donc travaillé dès 2011 sur un projet connu au départ sous le petit nom de BrowserID. Ce protocole se base essentiellement sur votre adresse e-mail et ne permet que de récupérer cette information qui est vérifiée lors de votre première utilisation. Vous devrez alors créer un couple e-mail / mot de passe qui vous servira sur tous les sites qui exploitent ce système.

 

La première démonstration de BrowserID

 

Le projet a rapidement évolué en termes de fonctionnement et en internationalisation pour au final donner naissance l'année dernière à Persona. Derrière ce nouveau nom se cache le service de connexion simplifié, alors que BrowserID reste celui du protocole qu'il exploite. Les mois qui suivirent étaient l'occasion d'améliorer encore le fonctionnement, de corriger des bugs et d'apporter des fonctionnalités de personnalisation comme la possibilité pour les éditeurs de sites d'ajouter leurs conditions générales d'utilisation, leur logo, etc.

Les services d'e-mail ne veulent pas apporter leur soutien ? Faisons sans eux

Une première bêta a ainsi vu le jour fin septembre 2012, suivie de l'intégration à Firefox OS puis d'une seconde bêta en avril dernier. Celle-ci apportait, parmi d'autres améliorations, l'« identity bridging ». En effet, au fil des évolutions, l'équipe a sans doute constaté que l'enthousiasme n'était pas forcément de mise du côté des fournisseurs d'identité potentiels. Outre le peu d'implémentation sur des sites, en raison de son statut bêta, Persona devait donc faire face à un manque de volonté des sociétés telles que Google, Yahoo!, etc., pour ce qui était de faciliter l'utilisation de son service.

 

Car s'il est possible d'utiliser n'importe quel e-mail avec Persona, il est toujours mieux d'utiliser au départ un compte existant dans lequel on est déjà connecté, plutôt que d'afficher un formulaire de création de compte... tout en gardant ce qui fait la spécificité du service : l'assurance que seul l'e-mail sera accessible au site auquel l'on se connecte.

 

L'« identity bridging » permet cela en utilisant les fonctionnalités OpenID / OAuth des différents services afin d'associer un compte Persona à une identité en ligne. Lorsque vous vous connecterez à un site via Persona, celui-ci ne pourra connaître que votre e-mail bien que vous ayez utilisé un compte sur un service tiers pour vous identifier. Au départ, seul Yahoo! était supporté. Aujourd'hui, c'est au tour de Google d'entrer dans la danse :

 

 

Notez que cela permet au passage d'utiliser ces services comme outil de connexion sans qu'ils ne puissent savoir où vous vous connectez puisqu'ils ne verront que la demande de Persona. 

Persona ne fonctionne pas que sous Firefox, et veut le faire savoir 

L'autre point important des évolutions récentes est la mise de côté de la « marque » Mozilla. En effet, celle-ci impliquait souvent une confusion chez les utilisateurs ou même les développeurs qui pensent que Persona ne fonctionne que sous Firefox : ce n'est pas le cas. Vous pourrez d'ailleurs effectuer un essai via le site officiel qui vous permettra de créer un compte mais aussi de le gérer.

 

Elle reste bien entendu visible, mais plus sous la forme d'un logo comme vous pourrez le voir sur cette image :

 

 Persona Mozilla Marque

 

Reste maintenant à voir si la mayonnaise prend. Le fait de disposer d'une solution de connexion unifiée, décentralisée, libre (voir le dépôt GitHub), simple à utiliser mais aussi à intégrer pour les développeurs (voir ce guide ou les outils disponibles) pourrait en effet convaincre en masse.

 

Alors que les questions de sécurité des données, mais aussi plus simplement de respect de la vie privée prennent de plus en plus d'ampleur dans l'esprit du grand public, le fait de pouvoir se connecter simplement, avec une solution unique qui ne dévoile qu'une adresse e-mail, devrait tous nous intéresser. Mais tout n'est jamais si simple et la réussite de ce projet dépendra aussi bien de la communication de Mozilla autour de ce projet, et de ses avantages que de l'offre et de la demande. À chacun d'agir, donc.

Commentaires (78)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Eh ba voilà ! Depuis le temps que j’attendais un tel service.



Reste plus qu’à boter le cul de tous les webmaster de tous les sites du monde entier pour qu’ils implémentent ce service… <img data-src=" />

votre avatar

Donc si j’ai bien compris, avec une adresse gmail, c’est comme utiliser l’auth Google mais via Persona et donc avec seulement l’email de transmis.



Bin c’est pas bête tout ça :





  • pas besoin de créer un nouveau compte

  • pas de données redonnées à Google





votre avatar

Alors PcInpact? Vous comptez l’implémenter pour donner l’exemple?

votre avatar

[quoteTransfer of Data to the U.S.

Mozilla is a global organization and operates in different countries. Privacy laws and common practices vary from country to country. Some countries may provide for less legal protection of your personal data; others may provide more legal protection. By using the Persona Service, you consent to the transfer of the information collected, as outlined by this Policy, to Mozilla in the United States, which may provide a lesser level of data protection than in your country of residence.[/quote]

https://login.persona.org/fr/privacy



Mouai, ça veut quand même dire donner l’accès direct, à tous nos sites gérer par Persona directement à l’oncle Sam…

votre avatar
votre avatar







GrosBof a écrit :



Mouai, ça veut quand même dire donner l’accès direct, à tous nos sites gérer par Persona directement à l’oncle Sam…







C’est déjà la cas avec ou sans ton accord de toutes façon <img data-src=" />


votre avatar







tarlak a écrit :



C’est déjà la cas avec ou sans ton accord de toutes façon <img data-src=" />





Avec ou sans Mousse ? <img data-src=" />


votre avatar







GrosBof a écrit :



[quoteTransfer of Data to the U.S.

Mozilla is a global organization and operates in different countries. Privacy laws and common practices vary from country to country. Some countries may provide for less legal protection of your personal data; others may provide more legal protection. By using the Persona Service, you consent to the transfer of the information collected, as outlined by this Policy, to Mozilla in the United States, which may provide a lesser level of data protection than in your country of residence.









Parler de respect de la vie privée avec des serveurs aux USA par les temps qui cours c’est juste du foutage de gueule :/



Dommage, ça partait d’un bon sentiment <img data-src=" />


votre avatar







GrosBof a écrit :



Mouai, ça veut quand même dire donner l’accès direct, à tous nos sites gérer par Persona directement à l’oncle Sam…





Oui, mais ce sera le seul.


votre avatar







tarlak a écrit :



C’est déjà la cas avec ou sans ton accord de toutes façon <img data-src=" />







Ce à quoi je répondrais : c’est pas faux !



Mais il y a tout même une petite nuance.



Si l’oncle Sam, via Prism, accède directement à toutes nos méta-données de chez google par exemple, le contenu cryptée, leur est, à priori, inaccessible (pour en avoir discuter longuement avec un ami ingénieur chez google… j’ai quand même des doutes).

Mais via Persona, c’est différent, car là le contenu leur sera directement accessible en claire ! Même plus d’efforts de décryptage à faire.


votre avatar

L’idéal serait un serveur d’authentification pour chaque pays (régi donc par les lois du pays en question). Histoire de ne pas tomber sous le coup du Patriot Act…

votre avatar







cactus2000 a écrit :



L’idéal serait un serveur d’authentification pour chaque pays (régi donc par les lois du pays en question). Histoire de ne pas tomber sous le coup du Patriot Act…







Je plussois fortement.

Quitte à ne pas faire confiance à une administration, autant que ça soit la sienne ! ^^


votre avatar







GrosBof a écrit :



Mouai, ça veut quand même dire donner l’accès direct, à tous nos sites gérer par Persona directement à l’oncle Sam…





Faudrait penser à arrêter à un moment… Lire ce genre de réaction à tout va sans se poser de questions juste de manière automatique, épidermique et parfois franchement à côté de la plaque… c’est assez lourdingue.



ça veut surtout dire que si la NSA demande tes infos à Mozilla, ils devront les donner : ton mail et un mot de passe chiffré. Je pense qu’elle s’en fout un peu et elle peut déjà demander ça sur tous les autres services. Mais globalement, si la NSA veut savoir ce que tu laisses sur tel ou tel site, elle a déjà 500 autres moyens de le faire, et elle peut demander (ou se servir) directement l’accès à la donnée qui l’intéresse.



Après, c’est toujours à l’utilisateur de voir où il va utiliser ça : tes données sur PCi, le blog de machin bidule ou autre, est-ce top secret au point d’en arriver à ce genre d’analyse ? Est-ce que cela va intéresser un jour qq’un ? Est-ce que Persona change qqch par rapport aux solutions précédentes ? Je ne pense pas.



Après, tu peux aussi ne pas utiliser Persona sur un service de stockage de tes données, que tu vas de toutes façons auto heberger en local parce que tu te méfies de ladite NSA.



Puis au pire, Persona est libre, il suffit de devenir IDP, de le forker et de l’implémenter dans un serveur dans un pays indépendant de tout service secret… #OhWait







GrosBof a écrit :



Mais via Persona, c’est différent, car là le contenu leur sera directement accessible en claire ! Même plus d’efforts de décryptage à faire.





Mais en quoi ?


votre avatar



Une fois cette adresse tapée, le fournisseur vous permettra de vous connecter de manière assez simple, sans avoir à créer un nouveau login et un nouveau mot de passe.





Pas tout compris, je crée une adresse mail et mot de passe (pas forcément google), et persona me connecte automatiquement a tout les sites avec une adresse url openid ? en gros cdiscount amazon ou pcinpact clubic ect…plus besoin de créer un compte ?

votre avatar







ducatman a écrit :



Parler de respect de la vie privée avec des serveurs aux USA par les temps qui cours c’est juste du foutage de gueule :/



Dommage, ça partait d’un bon sentiment <img data-src=" />





<img data-src=" /> Surtout quand on lit cela


votre avatar







Clad omnislash a écrit :



Pas tout compris, je crée une adresse mail et mot de passe (pas forcément google), et persona me connecte automatiquement a tout les sites avec une adresse url openid ? en gros cdiscount amazon ou pcinpact clubic ect…plus besoin de créer un compte ?





Regarde la vidéo ;)


votre avatar







David_L a écrit :



Puis au pire, Persona est libre, il suffit de devenir IDP, de le forker et de l’implémenter dans un serveur dans un pays indépendant de tout service secret… #OhWait





Comment dans le nouveau pays d’accueil de Snowden <img data-src=" />


votre avatar







David_L a écrit :



Regarde la vidéo ;)







Argh, dommage que tu m’as pas dit oui ou non, ça aurai été plus rapide :).



Bon la première il parle anglais ,fu<img data-src=" /> je comprends pas beaucoup, en plus il speed à la vitesse de la lumière quand il parle.



Heureusement y’a la seconde, certe anglais, mais visuellement c’est plus claire, apparemment c’est bien ça, je crée une adresse dans persona, je la valide par le mail recu une fois pour toute, et quand un site à un truc “sign”, miracle, je valide juste cette adresse.

C’est bon ? si oui, c’est vachement cool ce truc là, je trouve ça galère de créer sans arrêt un compte plus mot de passe à chaque fois.


votre avatar







GrosBof a écrit :



Mouai, ça veut quand même dire donner l’accès direct, à tous nos sites gérer par Persona directement à l’oncle Sam…









ducatman a écrit :



Parler de respect de la vie privée avec des serveurs aux USA par les temps qui cours c’est juste du foutage de gueule :/

Dommage, ça partait d’un bon sentiment <img data-src=" />









<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> non rien dredi surement <img data-src=" />


votre avatar







Clad omnislash a écrit :









Si tu veux un login via Google / Yahoo! :





  • Tu tapes ton mail

  • Tu es redirigé vers une page Google / Yahoo!

  • Soit tu es connecté soit tu te connecte

  • La connexion sur le site visité est OK



    Dans les autres cas :



  • Tu tapes ton mail

  • Soit il est reconnu et il faut taper ton mdp (sauf si tu es déjà connecté)

  • Soit il faut que tu créé un compte persona

  • Soit tu es connecté soit tu te connecte

  • La connexion sur le site visité est OK


votre avatar

Bah ils ont beau etre basé aux US, si il envoient jamais rien au serveur (a part le login/hash du pass), la NSA pourra toujours demander ce qu’elle veux… Ils vont pas les inventer les données.

votre avatar

Je me suis créé un compte Persona depuis déjà un petit moment.

Mais le souci c’est que ce n’est pas beaucoup implémenté

J’ai du voir 2 ou 3 sites seulement qui l’utilise



Mais dans l’idée je trouve ça génial

votre avatar







trash54 a écrit :



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /> non rien dredi surement <img data-src=" />









Un jour on en rigolera moins, on parle pas d’une théorie du complot là, mais de fait réel, une loi comme Patriot Act pose problème et continuer à ouvrir des services qui protège la vie privée soumis à cette loi c’est un peu de la rigolade…



Bon vendredi ^^


votre avatar







David_L a écrit :



Si tu veux un login via Google / Yahoo! :





  • Tu tapes ton mail

  • Tu es redirigé vers une page Google / Yahoo!

  • Soit tu es connecté soit tu te connecte

  • La connexion sur le site visité est OK



    Dans les autres cas :



  • Tu tapes ton mail

  • Soit il est reconnu et il faut taper ton mdp (sauf si tu es déjà connecté)

  • Soit il faut que tu créé un compte persona

  • Soit tu es connecté soit tu te connecte

  • La connexion sur le site visité est OK



    Pfiou, OK merci, c’est pas si simple, pour finalement rendre les choses plus simple.


votre avatar







ducatman a écrit :



Un jour on en rigolera moins, on parle pas d’une théorie du complot là, mais de fait réel, une loi comme Patriot Act pose problème et continuer à ouvrir des services qui protège la vie privée soumis à cette loi c’est un peu de la rigolade…



Bon vendredi ^^







ou j’ai dit théorie du complot ou autres ??



sérieusement le “gna gna au US gna gna” : tu as découvert ça avec quand ? (révélation PRISM ?)


votre avatar







sydbarrett55 a écrit :



Je me suis créé un compte Persona depuis déjà un petit moment.

Mais le souci c’est que ce n’est pas beaucoup implémenté

J’ai du voir 2 ou 3 sites seulement qui l’utilise



Mais dans l’idée je trouve ça génial





Comme dit, le projet n’a que 2 ans et il a passé une bonne partie de son temps à bouger / évoluer / en bêta. Pour ça aussi que peu ont décidé de l’implémenter. Mais si ça approche d’un service finalisé ça changera (après ceux qui veulent récupérer les infos perso ne le feront pas <img data-src=" />)


votre avatar

Pour tout ceux qui parle de vie privée… Qu’est ce que vous avez à cacher de si important? Perso sur le net, j’ai rien à cacher à proprement parler… Si la NSA veut faire une enquête sur moi, cool, ça va leur faire les pieds.



Non sérieusement les gens, vous faites tous parti de groupuscule extrémiste ou quoi? <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />

votre avatar







trash54 a écrit :



ou j’ai dit théorie du complot ou autres ??



sérieusement le “gna gna au US gna gna” : tu as découvert ça avec quand ? (révélation PRISM ?)







Regarde depuis quand la loi Patriot Act existe et tu auras une idée de la date <img data-src=" />


votre avatar







Goghvan a écrit :



Pour tout ceux qui parle de vie privée… Qu’est ce que vous avez à cacher de si important? Perso sur le net, j’ai rien à cacher à proprement parler… Si la NSA veut faire une enquête sur moi, cool, ça va leur faire les pieds.



Non sérieusement les gens, vous faites tous parti de groupuscule extrémiste ou quoi? <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





youtube.com YouTube


votre avatar



(après ceux qui veulent récupérer les infos perso ne le feront pas )





99% d’internet <img data-src=" />

votre avatar

Est-il possible de trouver une liste des sites qui ont implémenté persona ?

votre avatar







ducatman a écrit :



Regarde depuis quand la loi Patriot Act existe et tu auras une idée de la date <img data-src=" />







ah seulement depuis là … <img data-src=" />



le patriot act a juste officialisé et simplifié le travail des agences de renseignement US quoi


votre avatar

Perso je fais bien attention à séparer mes activités : ainsi j’utilise plusieurs services Goggle à partir d’adresses mail différentes (pas Gmail), avec des actions différentes… alors regrouper tout dans une seule connexion, çà va pas non ?



J’ajoute : pas de tél portable, pas de FB, pas de G+, pas de Twitter, pas de cartes de fidélité, et quand je peux je paye en espèces. Parano ? Non, soucieux de ma vie privée, ce qui est déjà pas mal.

votre avatar







babelouest a écrit :



J’ajoute : pas de tél portable, pas de FB, pas de G+, pas de Twitter, pas de cartes de fidélité, et quand je peux je paye en espèces. Parano ? Non, soucieux de ma vie privée, ce qui est déjà pas mal.





La paranoïa est le nom que donnent les inconscients à la prudence.

<img data-src=" />


votre avatar







GruntZ a écrit :



La paranoïa est le nom que donnent les inconscients à la prudence.

<img data-src=" />







Oui, mais ils ont Thor



——————————-&gt;[x] <img data-src=" />


votre avatar







tarlak a écrit :



GrosBof a écrit :



Mouai, ça veut quand même dire donner l’accès direct, à tous nos sites gérer par Persona directement à l’oncle Sam…





C’est déjà la cas avec ou sans ton accord de toutes façon <img data-src=" />









tarlak a écrit :



C’est déjà la cas avec ou sans ton accord de toutes façon <img data-src=" />







certainement mais en plus ca fait croire le contraire… si c’est secret n’en parlez pas !


votre avatar

Je ne comprends pas pourquoi David_L réagit de façon aussi “épidermique” aux propos qui me semble censés et argumentés de GrosBof, Chocolat-du-mendiant et Gruntz.



Soyons honnête, la cible de Persona est un peu la même que celle d’OpenId, c’est à dire des gens (geeks?) qui s’intéressent un tant soit peu aux problématiques de gestion des comptes, d’indépendance des données, et de vie privé.



Les autres n’en ont même pas conscience ou s’en fichent complètement, et utilisent un facebook connect ou autre.



Alors balayer d’un revers de main sous couvert de paranoïa les commentaires qui s’interrogent sur la localisation du serveur ou sur les obligations légales de Mozilla, c’est une erreur de jugement je pense.



Je ne dis pas qu’il y a du “mieux” par rapport à l’existant, mais comme je le disais, si on veut convaincre de basculer sur ce genre de service, il faut commencer par convaincre la population (minime) avertie/experte sur ces problématiques là, et qui plus encline à s’y intéresser, indépendamment des contraintes et efforts que cela suscite.



Moi, ce qui m’intrigue, c’est qu’il est marqué partout que c’est “décentralisé”, mais je ne vois pas comment (si?) on peut auto-héberger la solution sur un serveur perso, sans avoir à passer par les serveurs de Mozilla, si l’interface ne propose pas une “url” pour se connecter, à l’image d’openId.



Dans tous les cas, je trouve que c’est une initiative très louable, et j’ai par nature beaucoup plus confiance en Mozilla qu’en d’autres institutions concernant les problématiques de vie privée. J’espère que c’est une solution qui prendra sur la plupart des sites (et sur les frameworks opensource, ça ne semble du coup pas trop coûteux à ajouter).

votre avatar







David_L a écrit :



Tout le souci c’est qu’il faudrait que tous les navs se mettent d’accord sur le sujet… et pour le moment, Mozilla fait ça dans son coin.&gt;





Sur ce point, je suis d’accord, il serait intéressant que cela soit implémenté selon un standard. Le soucis, c’est que les navigateurs d’en face n’ont aucun intérêt à implémenter un système respectueux de la vie privée.

Connaissant les habitudes de Microsoft et d’Apple, ils ne verraient pas l’intérêt d’implémenter un tel standard libre dans IE et Safari, préférant sans doute développer un système propriétaire basé sur un compte Microsoft/Apple :/







David_L a écrit :



De mémoire, il est surtout prévu que les IDP prennent en charge le login en direct plutôt que le fallback (ou alors que ça passe par les bridges) et que les sites gèrent eux même l’étape de vérification plutôt que de déléguer ça aux serveurs de Moz





Le problème est plus complexe que ça. Comme je le disais, à l’heure actuelle, il est déconseillé d’héberger soit même l’API JS (“Because Persona is still in development, you should not self-host the include.js file”).

Si les serveurs de Mozilla venaient à tomber en panne, le navigateur ne pourrait plus charger le JS de Persona et donc il deviendrait impossible de s’identifier (le navigateur n’ayant plus accès à navigator.id).

De plus, à l’heure où les pages s’alourdissent sans cesse de code JS (pas toujours utile) : entre jQuery, Google Analytics, les modules sociaux, j’en passe et des meilleurs, Mozilla nous propose d’alourdir encore un peu plus tout ça.

Dernière chose, plus embêtant, en se basant sur du code JS, qu’est-ce qui empêche quelqu’un de modifier l’API navigator.id de Mozilla pour venir s’interposer entre le navigateur et l’IdP, pour récupérer d’autres informations (le mot de passe de l’utilisateur, voir plus d’informations, si elles sont affichées à l’écran) ?


votre avatar







animus a écrit :



Moi, ce qui m’intrigue, c’est qu’il est marqué partout que c’est “décentralisé”, mais je ne vois pas comment (si?) on peut auto-héberger la solution sur un serveur perso, sans avoir à passer par les serveurs de Mozilla, si l’interface ne propose pas une “url” pour se connecter, à l’image d’openId.





Pour avoir un peu lu la doc technique, c’est décentralisé jusqu’à ton fournisseur de mail.

Il faut que celui-ci devienne IdP (Identity Provider).

Concrètement, quand tu tentes de t’authentifier via Persona, ton navigateur va tenter de contacter une page spécifique de ton fournisseur de mail, définie par mozilla (par exemple, si ton adresse est [email protected], ton navigateur tentera de joindre http://unserveurmail.com/.well-known/browserid ).

Si l’URL existe et a un résultat valide, alors c’est ton serveur de mail qui prend le relai, et va te demander de t’authentifier. Une fois fait, celui-ci enverra la confirmation au service où tu tentes de te connecter ou t’inscrire.



PS : désolé pour le double post.


votre avatar







David_L a écrit :



Est-ce que Persona change qqch par rapport aux solutions précédentes ? Je ne pense pas.







A quoi ça sert alors si cela ne changer rien ?







David_L a écrit :



Après, tu peux aussi ne pas utiliser Persona sur un service de stockage de tes données, que tu vas de toutes façons auto heberger en local parce que tu te méfies de ladite NSA.









Mais c’est bien ce que je compte faire, sauf que si tu utilises un téléphone Android, tu s bien obligé de créer un compte Google.

Ce ne doit pas être très différent chez les 2 autres que sont Apple et Gro$oft !



Franchement avec les capacités des disques mécaniques, les logiciels et les consommations des NAS de nos jours jours, il me semble que c’est tout a fait possible.



J’avais utilisé le système sync a une époque pour synchroniser un tas de trucs chez mozilla qui disait crypter les données et que seul l’utilisateur y avait accès avec sa passphrase. pris d’un doute, je suis revenu en arrière, et je garde maintenant tout en local. Il y a des petits soft très bien qui automatisent tout aussi bien les authentifications.





La guerre commerciale d’acquisition des données personnelles ne fait que commencer.<img data-src=" /><img data-src=" />


votre avatar







AtomicBoy44 a écrit :



A quoi ça sert alors si cela ne changer rien ?









Mais c’est bien ce que je compte faire, sauf que si tu utilises un téléphone Android, tu s bien obligé de créer un compte Google.

Ce ne doit pas être très différent chez les 2 autres que sont Apple et Gro$oft !



Franchement avec les capacités des disques mécaniques, les logiciels et les consommations des NAS de nos jours jours, il me semble que c’est tout a fait possible.



J’avais utilisé le système sync a une époque pour synchroniser un tas de trucs chez mozilla qui disait crypter les données et que seul l’utilisateur y avait accès avec sa passphrase. pris d’un doute, je suis revenu en arrière, et je garde maintenant tout en local. Il y a des petits soft très bien qui automatisent tout aussi bien les authentifications.





La guerre commerciale d’acquisition des données personnelles ne fait que commencer.<img data-src=" /><img data-src=" />





Tu devrais vérifier alors les composants électroniques de toute ton installation matérielle au microscope au cas où il y a un mouchard <img data-src=" />





<img data-src=" />


votre avatar

Moi, je pense que tout le monde s’emballe un peu trop avec PRISM & Co. Car, personne n’est vraiment “invisible” sur le Net.



Déjà, les F.A.I logs tout. Donc, faudrait commencer par outre passer ça. Même si vous passez par des VPN, etc. vous serez toujours tracé. Et le premier qui me dit : “ouais, mais on peut chiffrer les VPN”, je lui dis qu’il est d’une naïveté inégalée… :)



Alors, moi je veux bien héberger un des routeurs B.G.P chez moi, mais je ne suis pas sûr qu’on me l’accorde :)



Aujourd’hui, c’est le fonctionnement d’Internet dans sa globalité qui est revoir, si on veut vraiment de l’anonymat.



EDIT : Je ne suis pas révolutionnaire :)



ATTENTION, je ne dis pas que je n’ai rien à cacher et patati patata. Enfin, quoi que… Oui, je m’en tape que l’on sache ce que je fais de ma vie. Par contre, ce qui m’embête, c’est que l’on utilise ses infos pour me vendre des produits à la con et autre. Donc, oui, il faut faire taire ces fonctionnements abusifs.


votre avatar

edit: oups pas la bonne news….

votre avatar







Goghvan a écrit :



Pour tout ceux qui parle de vie privée… Qu’est ce que vous avez à cacher de si important? Perso sur le net, j’ai rien à cacher à proprement parler… Si la NSA veut faire une enquête sur moi, cool, ça va leur faire les pieds.



Non sérieusement les gens, vous faites tous parti de groupuscule extrémiste ou quoi? <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Si tu ne tiens pas à ta vie privée, je te serais gré de me communiquer les débits/crédits de tes comptes bancaires, la liste de tes partenaires sexuelles, l’ensemble de tes correspondances électronique, ainsi que la taille de ton zôb et le nombre de poils que tu possèdes sur ce dernier. Merci <img data-src=" />

<img data-src=" />


votre avatar



En effet, il supporte désormais officiellement la simplification de l’inscription via un compte Google. L’occasion pour nous de revenir de manière détaillée sur cette solution qui se veut simple, mais surtout respectueuse de votre vie privée.



J’ai pas encore lu, mais il y a déjà un truc qui me dérange… <img data-src=" />

Bon j’vais lire l’article…

votre avatar







Black Hayate a écrit :



J’ai pas encore lu, mais il y a déjà un truc qui me dérange… <img data-src=" />

Bon j’vais lire l’article…





Oui, ça vaudrait mieux…


votre avatar







David_L a écrit :



Bah tant qu’on est à faire de la parano gratuite avec des arguments excessif hein…







Vous caricaturez.

Je fais pourtant un constat simple, sans “semi-piratage”.



Si Prism accède à Persona, comme il est capable d’accéder à Microsoft, Google, ou Facebook, alors tout ce que contient Persona sera à son tour compromis.



Il n’y a ni excès, ni parano gratuite dans mon raisonnement.


votre avatar







trash54 a écrit :



donc on va espérer :

1 - tu as pas de FB/G+/twitter

2 - tu as pas de CB

3 - tu as pas de téléphone

4 - aucune cartes de fidélité quelconque





1 et 4 : c’est le cas. Les cartes de fidélité sont d’ailleurs bien souvent de simples attrape-nigauds qui te font payer plus qu’ils ne te rapportent.

Pour le téléphone, je m’en sers très peu, et à ce que je sache, le contenu de mes appels n’est pas enregistré.

Quant à la CB, ça peut tout au plus donner des informations sur mes achats, pas sur ce que j’en fais.



Quoi qu’il en soit, ce n’est pas parce que la notion de vie privée est mise à mal qu’il faut y renoncer complètement.







Goghvan a écrit :



Bah comme son nom l’indique, ma vie privée est privée donc pas sur internet <img data-src=" />





C’est ton choix. D’autres peuvent vouloir partager une partie de leur vie privée, sur internet, et tant que l’identité ne peut pas (facilement) être récupérée, on peut considérer que ça reste privé.

Mais ça implique d’éviter les recoupements d’informations, or une seule adresse mail pour tout, quand bien même il n’y aurait effectivement que l’adresse de transmis, ce n’est pas forcément la meilleure façon d’y arriver.


votre avatar







GrosBof a écrit :



Vous caricaturez.Je fais pourtant un constat simple, sans “semi-piratage”.



Si Prism accède à Persona, comme il est capable d’accéder à Microsoft, Google, ou Facebook, alors tout ce que contient Persona sera à son tour compromis.



Il n’y a ni excès, ni parano gratuite dans mon raisonnement.





Avec des si, on refait le monde. Et PRISM n’a à peu près rien à voir avec ce dont il est question ici… à moins que Mozilla fasse partie des “partenaires”, mais je ne crois pas :



https://blog.mozilla.org/blog/2013/06/11/stopwatching-us-mozilla-launches-massiv…



Mais on peut effectivement se méfier de tout. Ensuite Persona ne contient rien, c’est bien là tout le problème du propos. Ensuite, Persona résout des soucis que les solutions actuelles posent, pour de vrai, à tout le monde, tout le temps. Cela apportent des solutions à ceux qui veulent un contrôle total (mais ceux là s’en foutent, il ne se connectent nulle part).



Le fait de réagir de la sorte pour tout et pour rien, sans le moindre sens, est lassant (et à mon avis dangereux car cela pousse à ne plus rien distinguer).


votre avatar







vampire7 a écrit :



C’est ton choix. D’autres peuvent vouloir partager une partie de leur vie privée, sur internet, et tant que l’identité ne peut pas (facilement) être récupérée, on peut considérer que ça reste privé.

Mais ça implique d’éviter les recoupements d’informations, or une seule adresse mail pour tout, quand bien même il n’y aurait effectivement que l’adresse de transmis, ce n’est pas forcément la meilleure façon d’y arriver.







<img data-src=" /> Pas trop d’accord, si c’est sur internet, c’est une vie publique.



Mais là où je te rejoins, c’est que cette vie publique ne doit pas permettre de recoupements avec des données personnelles, et donc la vie privée. Cela doît rester deux choses différentes.


votre avatar







David_L a écrit :



Ensuite, Persona résout des soucis que les solutions actuelles posent, pour de vrai, à tout le monde, tout le temps.





Parfaitement d’accord. D’un point de vue personnel, j’aime beaucoup la solution qui nous propose Mozilla aujourd’hui, c’est une réelle avancée.

Mais avec ce qui traîne en ce moment de l’autre côté de l’atlantique, ça me semblait plus que légitime de se poser la question sur la localisation des services Persona.

J’aimerai quand même préciser que je ne critique en rien votre article, qui est, comme souvent de qualité, sans faire de lèche. Mais il n’aborde pas tous les aspects, et c’est normal (à moins d’écrire un bouquin chiant à chaque fois ^^). Et c’est bien entre autre à ça que servent les commentaires.





Allez, pour finir j’ajouterai une dernière petite réflexion sur Mozilla, qui devra s’exécuter, comme tout le monde si elle en reçoit l’ordre. Comme on en a encore eu la preuve aujourd’hui :pcinpact.com PC INpact #JeNétaisPasParano #MaisCaCétaitAvant <img data-src=" />


votre avatar







David_L a écrit :



Pourquoi Mozilla stockerai les infos de quand et où tu t’es connecté ?







Heu… parce que ils l’écrivent : https://login.persona.org/fr/privacy

En gros, si je comprend bien, ils ne conservent pas, ou anonymise ce dont ils ont besoin… : unless we are required by law to keep it longer. <img data-src=" />



Ce qui est normal. Mais me pose problème quand la loi dérape.

Et ce qui est plus ch c’est qu’ils n’indique pas ce que la loi leur demande.

Est-ce que c’est uniquement ponctuel dans le cadre d’une surveillance d’un individu précis? Dans ce cas OK (si ça passe par un “vrai” juge, etc…)

Ou bien c’est global?







David_L a écrit :



Même si c’était le cas on revient à la question de départ : c’est libre, corrigez ou forkez si vous avez des problèmes / besoins d’amélioration.





plus simple, tant que j’en ai encore le droit, je ne l’utilise pas.

Prochaine étape : rendre ce genre de système obligatoire.







David_L a écrit :



Puis pour ça y’a ton histo de navigation, les analytics, les réseaux sociaux et autres widgets… déjà ;)







Oui mais pour ce qui est en local (histo), il faut rentrer chez moi, péter la porte, ou installer un mouchard par le tuyau.



Et pour le reste refuser les cookie, sauf ceux indispensables de sites en lesquels j’ai une relative confiance,et aucun cookie tiers, me suffit. Et j’évite d’installer trop de c*ies.



Et pour que ce soit clair, je n’ai rien de particulier contre Persona qui semble beaucoup mieux que les OpenID et autres passeport Microsoft.

Si quelqu’un a vraiment besoin d’un truc de ce genre et qu’il ne peut pas l’héberger lui-même, qu’il utilise Persona.

C’est le principe de “trousseau de clef” online qui a connaissance de mon activité qui me pose problème.


votre avatar







Chocolat-du-mendiant a écrit :











  • Je ne vois nulle part précisé qu’ils gardent une trace de où et quand tu es connecté à tel ou tel service.



  • Tu en reviens à ce que je disais précédemment, ceux qui veulent vraiment se “protéger” en viennent à ne se connecter nulle part



  • La NSA n’a pas ce genre de pouvoir ? ;)



  • Je ne vois pas trop comment un trousseau de clef offline peut offrir le même fonctionnement (on va vite en revenir aux navigateurs qui stockent des données qui sont accessibles en clair)


votre avatar

Ah, tiens… le retour de l’authentification par certificat/signature électronique.



J’ai un peu l’impression que ce sujet est cyclique. A chaque fois, ca se termine dans l’oubli et chaque site continue a gérer ses user/pwd dans sa base SQL. <img data-src=" />

votre avatar







David_L a écrit :





  • Je ne vois nulle part précisé qu’ils gardent une trace de où et quand tu es connecté à tel ou tel service.





    Je le met dans ce qu’ils appellent : “Operational Data”.

    Faudrait sans doute leur poser la question pour être sûr.







    David_L a écrit :



  • Tu en reviens à ce que je disais précédemment, ceux qui veulent vraiment se “protéger” en viennent à ne se connecter nulle part





    Se connecter le moins possible, certes. Mais surtout ne pas centraliser online un historique de connexion.







    David_L a écrit :



  • La NSA n’a pas ce genre de pouvoir ? ;)





    Sans quote et comme je n’ai pas parlé de la NSA, je ne sais pas a quel pouvoir tu fait référence? <img data-src=" /> Probablement de le rendre obligatoire… je suis d’accord.

    Mais quand on lit que le gouvernement Anglais veut obliger les gens a s’inscrire sur une liste blanche pour que leur FAI les autorise a accéder a des site porno… je me pose des questions. (j’imagine que ça non plus ça ne passera pas…)







    David_L a écrit :



  • Je ne vois pas trop comment un trousseau de clef offline peut offrir le même fonctionnement (on va vite en revenir aux navigateurs qui stockent des données qui sont accessibles en clair)





    Tout à fait, ou presque, malgré ce que peut en dire le gars de Chrome, un master password qui chiffre en local les mots de passes me semble la moins mauvaises solution.



    Après si on a plusieurs device/navigateurs, c’est des problèmes de synchro et de sécurité de cette synchro qu’il faut résoudre. Mais ça me semble moins problématique. Le Sync de Firefox qui chiffre tout en local est en théorie pas mal.



    Les mots de passes peuvent éventuellement être stockés online, mais chiffrés en local et utilisé en local (c’est le navigateur qui le fournit au site, pas un tiers).



    Et ce genre de système ne sert a rien pour quelqu’un qui n’a pas suffisamment confiance dans son device (poste du boulot, iPad trouvé par terre <img data-src=" />) vu que le mot de passe de Persona passera par ce device… on lui file l’accès a tous ses mots de passe au lieu de juste celui utilisé, je ne vois pas de progrès ici.


votre avatar







David_L a écrit :





  • Je ne vois pas trop comment un trousseau de clef offline peut offrir le même fonctionnement (on va vite en revenir aux navigateurs qui stockent des données qui sont accessibles en clair)





    Je vois un problème majeur à ce genre de service qui, dans l’absolu, serait parfait.



    Ceux qui vous demandent une identification se contentent rarement de la seule adresse mail valide (et encore, valide au moment de l’inscription, voir jetable.org ou assimilé).

    Comme c’est parfaitement expliqué dans la vidéo de Janrain (voir à 02:10 : “Donnez leur ce qu’ils demandent [un moyen simple de se connecter], ils vous donneront les données dont vous avez besoin”), c’est d’autres informations qualifiantes dont les sites “ont besoin”; et bien peu ont l’honnêteté de vous dire pourquoi (je parle de vrais raisons marketing, pas des excuses bidons du style “améliorer l’expérience utilisateur”)



    J’en viens au problème; imaginons que ce système se développe, le jour où il est mis en place sur un site où vous avez laissé d’autres informations, légitimement (une adresse pour une livraison, par exemple), ce site détient une informations “valorisable” auprès des autres sites qui utiliseraient Persona; et leur régie pub se ferra une joie de les leur acheter (pour les revendre).



    Au final, ce que vous souhaitiez éviter en n’utilisant pas un ID de type Facebook ou Twitter finira par arriver.



    Un identifiant/authentifiant par site me parait préférable; et oui, un stockage local sécurisé et synchronisé rend la chose aussi pratique et aussi résiliente.

    Ainsi, chaque site détient des informations différentes, et hautement fantaisistes tant que l’inverse n’est pas strictement nécessaire.

    Et dans ce cas là, l’usage d’un proxy est recommandé <img data-src=" />



    C’est plus long à chaque inscription, mais après, c’est aussi simple.



    Il faut juste supporter la schizophrénie induite par ses multiples identités <img data-src=" />


votre avatar







GruntZ a écrit :









Je pense que tu prends les choses dans le mauvais sens.



Le site qui veut tout savoir de toi ne te proposera pas Persona, mais du Facebook Connect. Point.



Ensuite, les sites n’ont pas connaissance les uns des autres, ils savent juste que tu t’es connecté soit directement via Persona, soit via un système autre (genre Google) bindé par Persona (ce qu’ils ne peuvent pas savoir).



Le fait qu’un site décide de revendre une de tes données sans t’avoir jamais demandé ton accord (peut il légalement le faire ?), ne dépend pas de Persona ou du système de connexion.



Du coup je vois mal le rapport entre Persona et le truc semi-apocalyptique que tu décris <img data-src=" />



PS : Persona te permet de gérer plusieurs mails / comptes de connexion “by design” ;)


votre avatar







Gromsempai a écrit :



Donc si j’ai bien compris, avec une adresse gmail, c’est comme utiliser l’auth Google mais via Persona et donc avec seulement l’email de transmis.



Bin c’est pas bête tout ça :





  • pas besoin de créer un nouveau compte

  • pas de données redonnées à Google





    Ce tru est sacrément intéressant c’est clair. Je suis plus que pur un tel système et serai prêt à l’utiliser.


votre avatar







David_L a écrit :



Le site qui veut tout savoir de toi ne te proposera pas Persona, mais du Facebook Connect. Point.



Jusqu’au jour où Facebook proposera ce système en plus du sien … <img data-src=" />





David_L a écrit :



Du coup je vois mal le rapport entre Persona et le truc semi-apocalyptique que tu décris <img data-src=" />



Apocalyptique est un bien grand mot, mais je reste persuadé que les régies de publicité auxquels des sites bien intentionnés sont adossés trouveront le moyen de valoriser cette autre forme de tracking (comme ils valorisent l’IP Tacking sans que les sites y soient pour grand chose).





David_L a écrit :



PS : Persona te permet de gérer plusieurs mails / comptes de connexion “by design” ;)



J’ai vu, et c’est une très bonne chose.

Ça reviens à avoir plusieurs identités/avatars pour ses activités en ligne … et c’est précisément ce que je fais avec mes identifiants/authentifiants locaux multiples <img data-src=" />



Je ne suis pas certain que Persona te permette d’utiliser deux identités différentes au même moment sur deux sites différents. La facilité d’identification offerte par le système serait à ce prix.


votre avatar

Persona, est-il localisé en Irlande ? PQ ? Instinct de conservation paradis pardi (pas radis, ça c’est autre chose) <img data-src=" /><img data-src=" />

votre avatar

De mon côté, j’ai hâte que l’idée « originelle » de BrowserID (que dis-je, de “Persona”) soit — enfin — implémentée : une authentification effectuée par le navigateur.



À l’heure actuelle, pour accéder à Persona, il est nécessaire de passer par le script JS de Mozilla, qui était (à l’époque où je m’étais renseigné) impossible à héberger soit même.



De fait, même si votre fournisseur est IdP, vous dépendiez un minimum des serveurs de Mozilla pour vous identifier. Le serveur de Mozilla crashe, et c’est des dizaines (centaines, milliers…) de sites sur lesquels vous ne pouvez plus vous connecter.



À l’origine, BrowserID devait être une API JS intégrée au navigateur, et c’est lui qui devait se charger de contacter l’IdP pour effectuer l’authentification.



Espérons que cette approche soit encore dans les esprits des employés de Mozilla…



(Pour les intéressés, la référence de l’API navigator.id sur MDN telle qu’elle aurait du être implémentée)

votre avatar







Kyriog a écrit :









Tout le souci c’est qu’il faudrait que tous les navs se mettent d’accord sur le sujet… et pour le moment, Mozilla fait ça dans son coin.



De mémoire, il est surtout prévu que les IDP prennent en charge le login en direct plutôt que le fallback (ou alors que ça passe par les bridges) et que les sites gèrent eux même l’étape de vérification plutôt que de déléguer ça aux serveurs de Moz


votre avatar







Goghvan a écrit :



Pour tout ceux qui parle de vie privée… Qu’est ce que vous avez à cacher de si important? Perso sur le net, j’ai rien à cacher à proprement parler… Si la NSA veut faire une enquête sur moi, cool, ça va leur faire les pieds.



Non sérieusement les gens, vous faites tous parti de groupuscule extrémiste ou quoi? <img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />





Ce que j’ai à cacher ? Un truc qui s’appelle la vie privée.





Au sujet de ce “Persona”, ça parait bien compliqué sur le principe, et ça ne va donc pas encourager les utilisateurs à y passer.

Ca ne va pas non plus encourager les webmasters qui, à ce que j’ai compris, ne récupèreront qu’une adresse mail, au lieu d’avoir un profil complet, lequel permet de savoir par exemple s’il faut afficher “INpactien” ou “INpactienne”, le fuseau horaire pour l’affichage de l’heure, etc.

Et si un webmaster tient absolument à faciliter la publication d’un commentaire, il peut toujours rendre facultative la création d’un compte.


votre avatar









trash54 a écrit :



ah seulement depuis là … <img data-src=" />



le patriot act a juste officialisé et simplifié le travail des agences de renseignement US quoi







Je sais que mes données sont exposé depuis que j’ai eu ma première connexion internet en 1993…



Mais c’est bien cette “simplification” qui [me] pose problème, pas de savoir que quand un gouvernement veut avoir des infos sur toi il trouvera toujours un moyen légal ou pas de les avoirs…



le danger c’est le “no limit” de cette loi


votre avatar

dès que j’ai un peu de temps j’implémente ça dans Piwigo sur mon plugin oAuth/OpenID <img data-src=" />

votre avatar







vampire7 a écrit :



Ce que j’ai à cacher ? Un truc qui s’appelle la vie privée.

.







donc on va espérer :

1 - tu as pas de FB/G+/twitter

2 - tu as pas de CB

3 - tu as pas de téléphone

4 - aucune cartes de fidélité quelconque



votre avatar







vampire7 a écrit :



Au sujet de ce “Persona”, ça parait bien compliqué sur le principe, et ça ne va donc pas encourager les utilisateurs à y passer.

Ca ne va pas non plus encourager les webmasters qui, à ce que j’ai compris, ne récupèreront qu’une adresse mail, au lieu d’avoir un profil complet, lequel permet de savoir par exemple s’il faut afficher “INpactien” ou “INpactienne”, le fuseau horaire pour l’affichage de l’heure, etc.

Et si un webmaster tient absolument à faciliter la publication d’un commentaire, il peut toujours rendre facultative la création d’un compte.





Bah non en fait :





  • Côté utilisateur c’est franchement assez simple. Ici j’ai pas mal détaillé le concept pour qu’on évite les “Ouais OpenID spareil, OAuth c’est mieux, mais en fait c’est comme Facebook Connect mais pour Firefox ?”



    Du coup ça peut sembler assez complexe alors que dans la pratique (voir les vidéos ou le site officiel) c’est franchement bateau.



  • Pour le webmaster, ça ne change rien. Tu peux binder un profil complet avec une connexion simplifiée. Ici le mail fera le lien. Persona n’envoie par contre par défaut que le mail, là où Facebook enverra vite la moitié de ta vie si tu ne fais pas gaffe.



    Charge au site de te demander ensuite de rajouter des infos complémentaires si tu le souhaites.



  • Pas de compte = pas de vérification. Du coup, on arrive à un système anonyme foutoir. Je n’imagine pas le niveau des commentaires d’un site comme PCi avec une telle façon de faire…



    Il ne faut pas oublier que Persona a aussi au départ été créé pour éviter la question du mot de passe, notamment de celui qui est facile à retenir qu’on utilise partout et qui est stocké dans des tas de serveurs de manière plus ou moins sécurisée…


votre avatar







David_L a écrit :



ça veut surtout dire que si la NSA demande tes infos à Mozilla, ils devront les donner : ton mail et un mot de passe chiffré. Je pense qu’elle s’en fout un peu et elle peut déjà demander ça sur tous les autres services.







Non, ce qui les intéresse le plus se sera l’usage “quand et comment” un individu s’est connecté a tel service. Un peu comme les “Fadettes”. Ça tombe bien c’est aussi un truc qui intéresse le marketing.



C’est le principal problème de ces “trousseaux de clé” online, ça centralise tout un tas d’info d’usage.

Un peu comme un tél portable qui nous suivrait partout… heu… <img data-src=" />

Même si j’ai une très grosse confiance dans la fondation Mozilla, il doivent respecter la loi. Si la loi dit qu’il faut loguer et conserver tant de temps, ils le feront.



Mais bon! Quand on a rien a se reprocher, on peu difficilement y voir un problème <img data-src=" />


votre avatar







trash54 a écrit :



donc on va espérer :

1 - tu as pas de FB/G+/twitter

2 - tu as pas de CB

3 - tu as pas de téléphone

4 - aucune cartes de fidélité quelconque





Moi aussi je n’ai pas tout ça. En plus je ne suis pas inscrit sur PCINpact. Et je ne suis pas moi <img data-src=" />


votre avatar







Chocolat-du-mendiant a écrit :



Non, ce qui les intéresse le plus se sera l’usage “quand et comment” un individu s’est connecté a tel service. Un peu comme les “Fadettes”. Ça tombe bien c’est aussi un truc qui intéresse le marketing.



C’est le principal problème de ces “trousseaux de clé” online, ça centralise tout un tas d’info d’usage. Un peu comme un tél portable qui nous suivrait partout… heu… <img data-src=" />

Même si j’ai une très grosse confiance dans la fondation Mozilla, il doivent respecter la loi. Si la loi dit qu’il faut loguer et conserver tant de temps, ils le feront.



Mais bon! Quand on a rien a se reprocher, on peu difficilement y voir un problème <img data-src=" />





Pourquoi Mozilla stockerai les infos de quand et où tu t’es connecté ? Même si c’était le cas on revient à la question de départ : c’est libre, corrigez ou forkez si vous avez des problèmes / besoins d’amélioration.



Puis pour ça y’a ton histo de navigation, les analytics, les réseaux sociaux et autres widgets… déjà ;)


votre avatar







ducatman a écrit :



Je sais que mes données sont exposé depuis que j’ai eu ma première connexion internet en 1993…



Mais c’est bien cette “simplification” qui [me] pose problème, pas de savoir que quand un gouvernement veut avoir des infos sur toi il trouvera toujours un moyen légal ou pas de les avoirs…



le danger c’est le “no limit” de cette loi







donc si depuis 1993 as tu réfléchis pourquoi “simplification” et pourquoi le “no limit” ?



perso quand j’en vois qui n’ont rien à cacher (limite seul truc à se reprocher c’est du tipiak) qui passent par du TOR/proxy/VPN et autres ben je me dis le “no limit” risque de rester encore longtemps


votre avatar







lsPCI a écrit :



Présentation de Persona aux RMLL 2012 par Jean-Yves Perrier (en français)





Merci pour la vidéo, c’est bien expliqué ! Le truc me paraît pas mal !


votre avatar







vampire7 a écrit :



Ce que j’ai à cacher ? Un truc qui s’appelle la vie privée.







Bah comme son nom l’indique, ma vie privée est privée donc pas sur internet <img data-src=" />



votre avatar







David_L a écrit :



Faudrait penser à arrêter à un moment… Lire ce genre de réaction à tout va sans se poser de questions juste de manière automatique, épidermique et parfois franchement à côté de la plaque… c’est assez lourdingue.



ça veut surtout dire que si la NSA demande tes infos à Mozilla, ils devront les donner : ton mail et un mot de passe chiffré. Je pense qu’elle s’en fout un peu et elle peut déjà demander ça sur tous les autres services. Mais globalement, si la NSA veut savoir ce que tu laisses sur tel ou tel site, elle a déjà 500 autres moyens de le faire, et elle peut demander (ou se servir) directement l’accès à la donnée qui l’intéresse.



Après, c’est toujours à l’utilisateur de voir où il va utiliser ça : tes données sur PCi, le blog de machin bidule ou autre, est-ce top secret au point d’en arriver à ce genre d’analyse ? Est-ce que cela va intéresser un jour qq’un ? Est-ce que Persona change qqch par rapport aux solutions précédentes ? Je ne pense pas.



Après, tu peux aussi ne pas utiliser Persona sur un service de stockage de tes données, que tu vas de toutes façons auto heberger en local parce que tu te méfies de ladite NSA.



Puis au pire, Persona est libre, il suffit de devenir IDP, de le forker et de l’implémenter dans un serveur dans un pays indépendant de tout service secret… #OhWait







Oulélélé, oulélélé. Vous me faites dire des choses que je n’ai pas dites =)



Commençons par le début :



“Mouai, ça veut quand même dire donner l’accès direct, à tous nos sites gérer par Persona directement à l’oncle Sam…”

Faudrait penser à arrêter à un moment… Lire ce genre de réaction à tout va sans se poser de questions juste de manière automatique, épidermique et parfois franchement à côté de la plaque… c’est assez lourdingue.



Justement, je me suis posé la question, et en grande partie à cause de cette phrase de votre article :



Alors que les questions de sécurité des données, mais aussi plus simplement de respect de la vie privée prennent de plus en plus d’ampleur dans l’esprit du grand public, le fait de pouvoir se connecter simplement, avec une solution unique qui ne dévoile qu’une adresse e-mail, devrait tous nous intéresser.



Ce qui m’a amené à chercher l’information sur la localisation physique et administrative de leur serveur : aux Etats-Unis. Car oui, une si belle solution, sous contrôle abusif de l’administration américaine, on peut se demander ce qu’ils pourraient en tirer. Et la 1ère chose qui vient à l’esprit est la caractéristique première même de Persona : avec un seul couple login/passe, on peut accéder à tous les autres ! (un anneau pour les gouverner tous <img data-src=" /> )

Donc au lieu d’avoir une administration qui se doit d’ouvrir toutes les portes, une par une, il y a peut-être une faille ici, par l’ouverture d’une “super” porte ouvrant toutes les autres. Ça parait être un sacré avantage non ?





ça veut surtout dire que si la NSA demande tes infos à Mozilla, ils devront les donner : ton mail et un mot de passe chiffré. Je pense qu’elle s’en fout un peu et elle peut déjà demander ça sur tous les autres services. Mais globalement, si la NSA veut savoir ce que tu laisses sur tel ou tel site, elle a déjà 500 autres moyens de le faire, et elle peut demander (ou se servir) directement l’accès à la donnée qui l’intéresse.



C’est vrai. Dans le cas où la NSA ne ferait que “récupérer” les données fournis par le tiers. Mais si, comme on peut encore l’envisager, l’agence à un accès plus direct au serveur, via l’accès direct à la session utilisateur pcinpact.com PC INpact alors de ce fait, ils accéderaient à tout ce que Persona propose, c’est à dire, l’ouverture des sessions clients sur tous les autres services liés à Persona, y compris des services hors de la juridiction et du giron actuel de la NSA, ou plus généralement des USA ! Pratique !





Après, c’est toujours à l’utilisateur de voir où il va utiliser ça : tes données sur PCi, le blog de machin bidule ou autre, est-ce top secret au point d’en arriver à ce genre d’analyse ? Est-ce que cela va intéresser un jour qq’un ? Est-ce que Persona change qqch par rapport aux solutions précédentes ? Je ne pense pas.



Je suis bien d’accord, il ne s’agit pas pour moi de faire de la parano ridicule. On est à peu près tous conscient que le but du machin c’est la sécurité intérieur et d’autres avantages stratégiques. Le compte de monsieur Duchmole ne les intéresse pas. Mais les principe est là, ils ont accès, comme ils l’entendent, et sans contrôle démocratique -surtout en tant que français-, à des informations relevant de la vie privé.





Après, tu peux aussi ne pas utiliser Persona sur un service de stockage de tes données, que tu vas de toutes façons auto heberger en local parce que tu te méfies de ladite NSA.



Je ne relèverai pas ^^





Puis au pire, Persona est libre, il suffit de devenir IDP, de le forker et de l’implémenter dans un serveur dans un pays indépendant de tout service secret… #OhWait



C’est tout à fait vrai.





“GrosBof a écrit :

Mais via Persona, c’est différent, car là le contenu leur sera directement accessible en claire ! Même plus d’efforts de décryptage à faire.”

Mais en quoi ?



Pour la raison cité ci-dessus : l’accès direct à la session utilisateur.


votre avatar







trash54 a écrit :



donc si depuis 1993 as tu réfléchis pourquoi “simplification” et pourquoi le “no limit” ?



perso quand j’en vois qui n’ont rien à cacher (limite seul truc à se reprocher c’est du tipiak) qui passent par du TOR/proxy/VPN et autres ben je me dis le “no limit” risque de rester encore longtemps







Tout le monde à des choses à cacher… surtout dans “la vie privée” !



Bref, j’ai mon point de vue et toi le tiens, je ne suis pas là pour te faire changer d’avis !



Tu n’as tellement rien à cacher que je suis sur que tu n’as pas de rideau à tes fenêtres ! tant mieux, c’est ton choix <img data-src=" />



Ps: je m’arret là dans la discussion sans fin et bon week-end à tous <img data-src=" />


votre avatar







GrosBof a écrit :



Pour la raison cité ci-dessus : l’accès direct à la session utilisateur.





Alors qu’il serait tellement plus simple de prendre le contrôle de ta machine pour repiquer tes coookies ? Allons…


votre avatar







David_L a écrit :



Alors qu’il serait tellement plus simple de prendre le contrôle de ta machine pour repiquer tes coookies ? Allons…





Euh… en quoi prendre le contrôle de ma machine est-il plus aisé ? Et même si c’était le cas, je vois pas en quoi le vol de cookies de session serait elle aussi chose aisée.


votre avatar







GrosBof a écrit :



Euh… en quoi prendre le contrôle de ma machine est-il plus aisé ? Et même si c’était le cas, je vois pas en quoi le vol de cookies de session serait elle aussi chose aisée.





Bah tant qu’on est à faire de la parano gratuite avec des arguments excessif hein…



D’une phrase sur la question des données et de leur côté privé tu fais tout un schéma de semi-piratage des serveurs de connexion. Du coup moi je fais pareil, mais avec ton PC.


Persona : la connexion simplifiée qui respecte votre vie privée, par Mozilla

  • OpenID : une initiative louable, mais qui n'a pas su se réformer

  • OAuth : bien plus qu'un simple outil de connexion

  • Persona : Mozilla veut rendre la connexion unique, et simple... pour tous

  • Les services d'e-mail ne veulent pas apporter leur soutien ? Faisons sans eux

  • Persona ne fonctionne pas que sous Firefox, et veut le faire savoir 

Fermer