Mozilla souhaite unifier l'identification sur le web autour de Persona

Mozilla souhaite unifier l’identification sur le web autour de Persona

Qui commence, les développeurs ou les utilisateurs ?

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

28/09/2012
81

Mozilla souhaite unifier l'identification sur le web autour de Persona

Mozilla avait plus tôt dans l’année lancé un projet baptisé Persona dont l’intérêt est de fournir un système d’identification unique. Il ne s’agit pas d’une fonctionnalité de Firefox, mais d’une plateforme décentralisée dans laquelle les sites web peuvent plonger leurs racines. Jusqu’à présent sous forme expérimentale, Persona est désormais disponible en bêta.

  persona

 

Persona est donc un système en arrière-plan des sites web dont la mission est de stocker des informations d’identification. Le grand objectif est ici de supprimer complètement le besoin de recourir à des mots de passe unique pour chaque site web. Une philosophie comparable en fait à ce que propose OpenID, à la différence que Mozilla a travaillé spécifiquement sur la facilité d’utilisation.

 

 

Persona, anciennement BrowserID, mise avant tout sur la simplicité d’utilisation. On peut voir dans la vidéo ci-dessus que la procédure est très simple pour l’utilisateur. Mozilla annonce que ce service est compatible avec tous les principaux navigateurs fixes et mobiles et qu’il est disponible dans 25 langues pour le moment. L’éditeur précise en outre que la majorité de ses propres sites utilise déjà Persona.

 

La plateforme est entièrement open source et Mozilla prend un malin plaisir à spécifier que l’ensemble est chapeauté par une organisation à but non lucratif (la fondation Mozilla). L’intégralité du système repose sur une ou plusieurs adresses email qui seront vérifiées par Mozilla, mais toutes pourront reposer sur un mot de passe unique. Une fois connecté au sein d’une session de navigation, le même compte peut être utilisé sur tous les sites gérant Persona, avec si nécessaire une adresse email différente.

 

Mozilla indique sur son site que Persona ne gère que les informations d’identification. L’historique de navigation de l’utilisateur ne quitte pas son ordinateur et il n’y a donc pas de surveillance des habitudes. La fondation Mozilla n’est de toute manière liée à aucune structure publicitaire.

 

L’expérience utilisateur de Persona semble avoir été très nettement travaillée et est agréable. Restent deux barrières : la prise en charge par les sites web (problème éternel de l’œuf et de la poule) et la sécurisation des données. Cette dernière ne dépend en effet pas seulement de Mozilla, car si l’utilisateur ne doit à terme avoir qu’un seul mot de passe, ce dernier devra être sélectionné avec un soin crucial.

 

Les utilisateurs et développeurs web intéressés pourront se rendre sur le site officiel pour en savoir davantage.

81

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Commentaires (81)


Le 28/09/2012 à 11h 12

C’est quoi la différence entre un même mot de passe pour tous mes sites ou un mot de passe pour avoir accès a tous mes mots de passe ?



Le 28/09/2012 à 11h 15

C’est bien connu : si ma clef unique ouvre ma voiture, ma maison, mon coffre fort, elle sera bien plus sujette au vol.

Ou si je l’égare (si on voit mon mdp), la tentation de l’essayer sera plus grande qu’en temps normal où la clef ne sert qu’à une seule chose.



Je pense que la gestion du trousseau est certainement la solution la plus intéressante.


Arcy Abonné
Le 28/09/2012 à 11h 17

Le problème est justement, que tout est lié à un compte.



Et dire que je me plains de Disqu parce qu’on reste “connecté” au même compte alors qu’on visite des sites différents …


Le 28/09/2012 à 11h 19

C’est un peu le même principe que l’auto- connexion et inscription via Facebook, non ?


Le 28/09/2012 à 11h 20

pour le coup niveau sécurité je n’ai pas bien compris, ni à quoi ça sert ni ce que ca peux apporter en GAIN à l’utilisateur


Cypus34 Abonné
Le 28/09/2012 à 11h 22



Mozilla indique sur son site que Persona ne gère que les informations d’identification. L’historique de navigation de l’utilisateur ne quitte pas son ordinateur et il n’y a donc pas de surveillance des habitudes. La fondation Mozilla n’est de toute manière liée à aucune structure publicitaire.



La seconde partie est cruciale et nécessaire.

La première partie est en effet embêtante. Les pirates vont chercher à pirater Persona plutot que chaque site individuel.

Et s’ils y arrivent, adieu veau, vaches, cochons…


Le 28/09/2012 à 11h 27

Comment sa se passe pour les BOT??



Si il arrive a s’inscrire dessus, vont t”il spam tous les sites utilisant se système d’authentification?


Le 28/09/2012 à 11h 38

Je me méfie déjà quand je lis “le moyen le plus sûr”. Si persona contient autant de failles de sécurité qu’en a Firefox (ou que de fuite de mémoire, l’éditeur ayant un grand historique de qualité au niveau de ses produits) c’est déjà pas la peine d’essayer.

Ensuite, tous les forums qui utilisent phpbb ou des scripts du genre ne vont pas magiquement s’y mettrent, dnc ça sera utile sur quelques sites seulement, c’est à dire pas utile.


Le 28/09/2012 à 11h 40







unixorn a écrit :



Je me méfie déjà quand je lis “le moyen le plus sûr”. Si persona contient autant de failles de sécurité qu’en a Firefox (ou que de fuite de mémoire, l’éditeur ayant un grand historique de qualité au niveau de ses produits) c’est déjà pas la peine d’essayer.

Ensuite, tous les forums qui utilisent phpbb ou des scripts du genre ne vont pas magiquement s’y mettrent, dnc ça sera utile sur quelques sites seulement, c’est à dire pas utile.







<img data-src=" /> pour toute cette mauvaise foi



Le 28/09/2012 à 11h 44

Ils ne réinventent pas un peu la roue là? OpenID?


Le 28/09/2012 à 11h 47

personnellement je suis sur internet depuis l’age de 11ans , et franchement, j’en ai plein la tête de remplir des 100en de foi les même champ de texte pour m’inscrire sur des site / forum ^^ (combien de temp de votre vie avais vous avez passez a remplir des inscription ???) donc je suis favorable a ce genre de concepte mais faudrai encor que ce soit utilisé par les site ^^


Le 28/09/2012 à 11h 53







Dunaedine a écrit :



Ils ne réinventent pas un peu la roue là? OpenID?







Pourquoi OpenID devrait être le seul service de ce genre ? J’aime pas du tout ce concept, je suis pas client de ça quoiqu’il arrive, mais je me dis que c’est quand même plus sain s’il y a une grande variété de choix justement <img data-src=" />







lain a écrit :



personnellement je suis sur internet depuis l’age de 11ans , et franchement, j’en ai plein la tête de remplir des 100en de foi les même champ de texte pour m’inscrire sur des site / forum ^^ (combien de temp de votre vie avais vous avez passez a remplir des inscription ???) donc je suis favorable a ce genre de concepte mais faudrai encor que ce soit utilisé par les site ^^







Tu aurais préféré passer ce temps à lire et étudier pour améliorer ton écriture peut-être ? Nous, on aurait bien aimé en tout cas <img data-src=" />



Mais sinon, le temps que tu va perdre a rassembler toutes tes info une fois que l’accès a TOUT tes sites préféré aura été cassé, tu va le ratrapper comment ?

Pour moi ce genre de service est du pur délire <img data-src=" />



Le 28/09/2012 à 11h 58







pafLaXe a écrit :



Pourquoi OpenID devrait être le seul service de ce genre ?







Parce que ce n’est pas simplement un service mais un protocole. Pourquoi utiliser le HTML dans ce cas? Pourquoi Firefox ne réinvente pas un nouveau langage Web?



Eagle1 Abonné
Le 28/09/2012 à 11h 59







lain a écrit :



personnellement je suis sur internet depuis l’age de 11ans , et franchement, j’en ai plein la tête de remplir des 100en de foi les même champ de texte pour m’inscrire sur des site / forum ^^ (combien de temp de votre vie avais vous avez passez a remplir des inscription ???) donc je suis favorable a ce genre de concepte mais faudrai encor que ce soit utilisé par les site ^^







t’as préféré internet à l’ortographe non ? <img data-src=" />



Le 28/09/2012 à 11h 59







unixorn a écrit :



Je me méfie déjà quand je lis “le moyen le plus sûr”. Si persona contient autant de failles de sécurité qu’en a Firefox (ou que de fuite de mémoire, l’éditeur ayant un grand historique de qualité au niveau de ses produits) c’est déjà pas la peine d’essayer.

Ensuite, tous les forums qui utilisent phpbb ou des scripts du genre ne vont pas magiquement s’y mettrent, dnc ça sera utile sur quelques sites seulement, c’est à dire pas utile.









Yolélé a écrit :



<img data-src=" /> pour toute cette mauvaise foi





Lol +1 <img data-src=" /><img data-src=" />







Dunaedine a écrit :



Ils ne réinventent pas un peu la roue là? OpenID?





Ce n’est pas exactement pareil et même chose que Dunaedine



Le 28/09/2012 à 12h 00







tAran a écrit :



C’est un peu le même principe que l’auto- connexion et inscription via Facebook, non ?







Oui, sauf que la ça sert que à s’inscrire, ça n’a aucun but a coté, contrairement a facebook, qui veut dominé le monde internet , en imposant son syteme d’identification partout







Eagle1 a écrit :



t’as préféré internet à l’ortographe non ? <img data-src=" />





Oui et je ne m’en porte pas plus mal ^^



au moin ça a amélioré mon niveau d’anglais, en contrepartie de mon niveau de français ;)



Le 28/09/2012 à 12h 01







GrosRaisin a écrit :



[…]

Ce n’est pas exactement pareil et même chose que Dunaedine







En quoi?



Le 28/09/2012 à 12h 03







Dunaedine a écrit :



Parce que ce n’est pas simplement un service mais un protocole. Pourquoi utiliser le HTML dans ce cas? Pourquoi Firefox ne réinvente pas un nouveau langage Web?







Si tout le monde fabrique ses roues sur le même modèle, partout et tout le temps, tu fais comment pour monter des roues en pierres sur ta voiture ? C’est en imitant qu’on innove <img data-src=" />



Le 28/09/2012 à 12h 05







pafLaXe a écrit :



Si tout le monde fabrique ses roues sur le même modèle, partout et tout le temps, tu fais comment pour monter des roues en pierres sur ta voiture ? C’est en imitant qu’on innove <img data-src=" />







Le hic est que je ne vois pas d’innovation dans ce Persona et que quitte à vouloir innover, puisqu’on parle d’un protocole qui doit être commun, il vaut clairement mieux travailler à améliorer ce qui existe déjà en se mettant d’accord avec les autres acteurs.



Le 28/09/2012 à 12h 08







Dunaedine a écrit :



En quoi?





How is this different from OpenID?




 While Mozilla Persona and OpenID have similar goals, the design and user experience is different. Ben Adida, one of our engineers, describes this here.http://identity.mozilla.com/post/7669886219/how-browserid-differs-from-openid   





^^



Le 28/09/2012 à 12h 08







Yolélé a écrit :



<img data-src=" /> pour toute cette mauvaise foi





Je ne vois pas de mauvaise fois à dire que, niveau sécurité, FF est loin d’être premier de la classe.



ffwill Abonné
Le 28/09/2012 à 12h 10

Possibilité de s’auto-héberger?

(comme firefox sync)


Le 28/09/2012 à 12h 12







Dunaedine a écrit :



Le hic est que je ne vois pas d’innovation dans ce Persona et que quitte à vouloir innover, puisqu’on parle d’un protocole qui doit être commun, il vaut clairement mieux travailler à améliorer ce qui existe déjà en se mettant d’accord avec les autres acteurs.







Sa simple existence garantit déjà que le jour ou un des deux protocoles sera cassé, tout ceux qui auront choisi l’autre seront tranquilles. On commence à beaucoup parler “d’écosystèmes” dans le domaine de l’informatique, c’est normal, et sain pour tout le monde, qu’on y retrouve de la “biodiversité” non, du coup ?



Le 28/09/2012 à 12h 22







GrosRaisin a écrit :



How is this different from OpenID?




 While Mozilla Persona and OpenID have similar goals, the design and user experience is different. Ben Adida, one of our engineers, describes this here.http://identity.mozilla.com/post/7669886219/how-browserid-differs-from-openid   





^^







Merci. En fait je trouve que leurs différences sont soit nulles, soient dangereuse.



BrowserID uses email addresses to identify users



Cela tombe bien, on peut adosser une OpenId sur une adresse email.





BrowserID protects the privacy of your Web activity



Il critique le fait que le fournisseur d’OpenID soit un élément nécessaire de la chaîne, pour des problèmes de vie privée. Sauf que c’est une mesure de sécurité, qui permet notamment de surveiller l’activité de ton compte. Avec leur système, le navigateur est le garant de la sécurité du système, et tu n’as pas moyen de vérifier ce qui s’est passé avec ton compte. En prime, je trouve que le risque de hack du navigateur (quelqu’il soit, ce n’est pas un tacle contre FF) est plus élevé que le risque de hack d’un fournisseur OpenId (sauf à être son propre fournisseur).



Le 28/09/2012 à 12h 25







pafLaXe a écrit :



Sa simple existence garantit déjà que le jour ou un des deux protocoles sera cassé, tout ceux qui auront choisi l’autre seront tranquilles. On commence à beaucoup parler “d’écosystèmes” dans le domaine de l’informatique, c’est normal, et sain pour tout le monde, qu’on y retrouve de la “biodiversité” non, du coup ?







Pas pour un protocole non. Cela fragmente juste la communication. Si chacun s’y met, on obtient des systèmes qui ne communiquent plus ensemble. Surtout que généralement, on hack plutôt un fournisseur ou un élément de la chaîne, plus que le protocole lui-même (ou on essaie). C’est par exemple déjà agaçant que FB se soit fait son OpenId abâtardi.



Le 28/09/2012 à 12h 26

chouette, les pirates peuvent maintenant se concentrer sur un seul pool de serveurs.


Le 28/09/2012 à 12h 27

Tu trouves le bon mot de passe et un univers magique ou tout est ouvert s’ouvre a toi <img data-src=" />


Le 28/09/2012 à 12h 27

Mais ils disent sa aussi:

And, in parallel, we are open to working with other browser vendors who want the same functionality, of course.


Le 28/09/2012 à 12h 28







Dunaedine a écrit :



Pas pour un protocole non. Cela fragmente juste la communication. Si chacun s’y met, on obtient des systèmes qui ne communiquent plus ensemble. Surtout que généralement, on hack plutôt un fournisseur ou un élément de la chaîne, plus que le protocole lui-même (ou on essaie). C’est par exemple déjà agaçant que FB se soit fait son OpenId abâtardi.







Dès qu’il s’agit d’identité, j’ai vraiment du mal à voir ça comme inconvénient. Au contraire, plus ça sera fragmenté, plus je me sentirais protégé <img data-src=" />



Le 28/09/2012 à 12h 31







pafLaXe a écrit :



Dès qu’il s’agit d’identité, j’ai vraiment du mal à voir ça comme inconvénient. Au contraire, plus ça sera fragmenté, plus je me sentirais protégé <img data-src=" />







Ton raisonnement est incohérent: tu ne veux pas d’un tel système, donc ta volonté va à l’encontre même du but de ce système. Bien dans ce cas tu n’en utilises pas du tout.



Mais par contre, puisque le but d’un tel système est d’unifier l’identification, tu comprendras que fragmenter cela en plusieurs protocole incompatibles ne va aider en rien.



Le 28/09/2012 à 12h 38







Dunaedine a écrit :



Ton raisonnement est incohérent: tu ne veux pas d’un tel système, donc ta volonté va à l’encontre même du but de ce système. Bien dans ce cas tu n’en utilises pas du tout.



Mais par contre, puisque le but d’un tel système est d’unifier l’identification, tu comprendras que fragmenter cela en plusieurs protocole incompatibles ne va aider en rien.







Non effectivement je ne l’utilise pas, mais étant contre, mais alors très très contre l’unification des identifications, j’apprécie que de nouveaux acteurs entrent en scène, et j’explique pourquoi. Rien d’incohérent.



Le 28/09/2012 à 12h 44







pafLaXe a écrit :



Non effectivement je ne l’utilise pas, mais étant contre, mais alors très très contre l’unification des identifications, j’apprécie que de nouveaux acteurs entrent en scène, et j’explique pourquoi. Rien d’incohérent.







Parce que tu souhaites pourrir le système, alors que rien ne t’oblige à l’utiliser. Je ne vois pas en quoi cela peut-être positif pour toi, par contre je vois les problèmes pour ceux qui souhaitent employé de tels systèmes.



Le 28/09/2012 à 12h 50







Dunaedine a écrit :



Parce que tu souhaites pourrir le système, alors que rien ne t’oblige à l’utiliser. Je ne vois pas en quoi cela peut-être positif pour toi, par contre je vois les problèmes pour ceux qui souhaitent employé de tels systèmes.







Je ne souhaite pas pourrir le système, je souhaite éviter qu’il se pourrisse tout seul avec des merdouilles centralisées qui n’ont pour seul avantage que de flatter la flemme des gens, avec tout le lot de revers qui vont avec. Mes propos ne t’empêchent pas de l’utiliser si tu aime ça, ni de dire ce que tu penses, si ?



Jarodd Abonné
Le 28/09/2012 à 12h 50

Pourquoi ce nom ? C’est déjà pris et par eux en plus ! <img data-src=" />



Sinon +plein, un seul point d’entrée c’est trop risqué. Que ce soit Mozilla ou Tartempion, le problème c’est le principe de tout centraliser. Je reste fidèle à mon fichier texte, doublement chiffré, en attendant de trouver mieux.


Le 28/09/2012 à 12h 57







pafLaXe a écrit :



Je ne souhaite pas pourrir le système, je souhaite éviter qu’il se pourrisse tout seul avec des merdouilles centralisées qui n’ont pour seul avantage que de flatter la flemme des gens, avec tout le lot de revers qui vont avec. Mes propos ne t’empêchent pas de l’utiliser si tu aime ça, ni de dire ce que tu penses, si ?







Ce que je critique, c’est que tu considères une qualité qui va à l’encontre de la logique même du système (qui au passage est décentralisé, dans les 2 cas). C’est incohérent. Le but de Persona est d’être le seul. Comme celui d’OpenId. La multiplication de ces systèmes est une faiblesse pour eux. Toi tu es contre tous ces systèmes. la critique est à un autre niveau.



Le 28/09/2012 à 12h 58







Bejarid a écrit :



Je ne vois pas de mauvaise fois à dire que, niveau sécurité, FF est loin d’être premier de la classe.







+1 C’est sur moi je conseille d’utiliser un système similaire mais Made by Microsoft tellement plus sécurisé, faut arrêter avec ces ptain de logiciels gratuits maintenu par 5 gus dans un garage !



Le 28/09/2012 à 13h 03







Jarodd a écrit :



Je reste fidèle à mon fichier texte, doublement chiffré, en attendant de trouver mieux.







Une seule fois n’est pas assez ?

Je veux dire un césar -3 puis un césar -23 c’pas top <img data-src=" />



Le 28/09/2012 à 13h 05







Dunaedine a écrit :



Ce que je critique, c’est que tu considères une qualité qui va à l’encontre de la logique même du système (qui au passage est décentralisé, dans les 2 cas). C’est incohérent. Le but de Persona est d’être le seul. Comme celui d’OpenId. La multiplication de ces systèmes est une faiblesse pour eux. Toi tu es contre tous ces systèmes. la critique est à un autre niveau.







Je suis contre un système qui ne peut fonctionner que si c’est le seul du genre justement. Je vois pas de quel droit on interdirait à n’importe qui de proposer sa propre solution, ni pourquoi toutes ces solutions ne pourraient pas fonctionner toutes en parallèles. Si ça ne marche pas c’est que ça n’est pas une bonne solution, à chacun de revoir sa copie.



Dude76 Abonné
Le 28/09/2012 à 13h 12







lain a écrit :



Oui et je ne m’en porte pas plus mal ^^



au moin ça a amélioré mon niveau d’anglais, en contrepartie de mon niveau de français ;)





Si tu méprises ton lecteur au point de ne faire aucun effort pour écrire correctement, pourquoi écrire ?



Le 28/09/2012 à 13h 18







pafLaXe a écrit :



Je suis contre un système qui ne peut fonctionner que si c’est le seul du genre justement. Je vois pas de quel droit on interdirait à n’importe qui de proposer sa propre solution, ni pourquoi toutes ces solutions ne pourraient pas fonctionner toutes en parallèles. Si ça ne marche pas c’est que ça n’est pas une bonne solution, à chacun de revoir sa copie.







Donc tu es contre le HTML5, ou tout protocole standardisé.



Le 28/09/2012 à 13h 25







Dunaedine a écrit :



Donc tu es contre le HTML5, ou tout protocole standardisé.









Non, je n’ai rien contre le fait que tout le monde parle français dans le pays, histoire que tout le monde se comprène plus ou moins, mais si on refusait le Larousse sous pretexte que le Robert est sortit avant (ou le contraire, j’en sais rien), je trouverais ça débile.



Ici il s’agit d’identité, un truc potentiellement grave, je vois vraiment pas en quoi un système unique est meilleur que plusieurs systèmes differents. C’est beaucoup trop dangereux pour le trop peu de bénéfice apporté (aucun, pour dire vrai ?). Je ne suis pas pour la disparition d’OpenID, je suis pas pour que ça soit le seul système existant non plus.



Jarodd Abonné
Le 28/09/2012 à 13h 26







XalG a écrit :



Une seule fois n’est pas assez ?

Je veux dire un césar -3 puis un césar -23 c’pas top <img data-src=" />







Vaut mieux trop sécurisé que pas assez <img data-src=" />



Le 28/09/2012 à 13h 27

Enfin !! Quelques gros acteurs (Google, Mozilla) commencent à se bouger pour améliorer l’identification sur le web.

C’est un domaine que je trouve assez désastreux, devoir retaper son mot de passe, ou appuyer sur un bouton avec le navigateur qui remplit le formulaire après chargement de la page c’est tout de même pas terrible comme expérience utilisateur.

Un système d’authentification automatique décentralisé permettrait de nombreuses choses.

Après, ça fout un peu les choco boules, il faudra voir comment c’est implémenté pour que dans la pratique ça n’aboutisse pas également à un flicage généralisé… mais l’idée a énormément de potentiel.



D’ailleurs mention spéciale à pcInpact qui est incompatible avec la mémorisation des mots de passe (sous Chrome en tout cas).


Le 28/09/2012 à 13h 29







pafLaXe a écrit :



Non, je n’ai rien contre le fait que tout le monde parle français dans le pays, histoire que tout le monde se comprène plus ou moins, mais si on refusait le Larousse sous pretexte que le Robert est sortit avant (ou le contraire, j’en sais rien), je trouverais ça débile.



Ici il s’agit d’identité, un truc potentiellement grave, je vois vraiment pas en quoi un système unique est meilleur que plusieurs systèmes differents. C’est beaucoup trop dangereux pour le trop peu de bénéfice apporté (aucun, pour dire vrai ?). Je ne suis pas pour la disparition d’OpenID, je suis pas pour que ça soit le seul système existant non plus.







Encore une fois que tu critiques le principe d’avoir un système unifié sur les identités, si tu veux. Mais c’est le fait que tu sois pour un système unifié parce qu’il y a déjà un système unifié qui me paraît incohérent. Donc sois tu es contre OpenId et Persona (ce qui est le cas), soit tu es pour l’un ou pour l’autre.



Le 28/09/2012 à 13h 34







Dunaedine a écrit :



Encore une fois que tu critiques le principe d’avoir un système unifié sur les identités, si tu veux. Mais c’est le fait que tu sois pour un système unifié parce qu’il y a déjà un système unifié qui me paraît incohérent. Donc sois tu es contre OpenId et Persona (ce qui est le cas), soit tu es pour l’un ou pour l’autre.







Moi je trouve cohérent ce qu’il dit. Faut arrêter de penser tout blanc tout noir.



Pas mal de site utilise des authentifications “centralisés” comme facebook connect ou Google mais aussi OpenID.



Un acteur de plus ne peut pas faire de mal, et puis on verra arriver des services d’unification/routing et voilà <img data-src=" />



Le 28/09/2012 à 13h 42







CryoGen a écrit :



Moi je trouve cohérent ce qu’il dit. Faut arrêter de penser tout blanc tout noir.



Pas mal de site utilise des authentifications “centralisés” comme facebook connect ou Google mais aussi OpenID.



Un acteur de plus ne peut pas faire de mal, et puis on verra arriver des services d’unification/routing et voilà <img data-src=" />







Google, Yahoo et même MS utilisent OpenId. Facebook utilise un truc fermé, incompatible avec les autres, basé sur un tripatouillage d’OpenId. Nous allons avoir un nouveau truc incompatible avec les autres avec Persona. Quitte à avoir ces systèmes, autant n’en avoir qu’un seul. Plus il va y en avoir, plus il va y avoir de fragmentation, car cela va devenir de plus en plus en lourd à implémenter.



Le 28/09/2012 à 13h 43



La fondation Mozilla n’est de toute manière liée à aucune structure publicitaire.



À part Google qui leur fourni l’essentiel de leurs revenus, et qui est responsable de base de plusieurs services de firefox tu veux dire ?


Le 28/09/2012 à 14h 27







Dunaedine a écrit :



Google, Yahoo et même MS utilisent OpenId. Facebook utilise un truc fermé, incompatible avec les autres, basé sur un tripatouillage d’OpenId. Nous allons avoir un nouveau truc incompatible avec les autres avec Persona. Quitte à avoir ces systèmes, autant n’en avoir qu’un seul. Plus il va y en avoir, plus il va y avoir de fragmentation, car cela va devenir de plus en plus en lourd à implémenter.







+1 dans le principe.



Sauf que Facebook arrive à s’implanter chez un certain nombre d’acteurs : Site d’actualités, Netvibes, Spotify. Des fonctions Facebook sont intégrées dans iOS 6.



Combien de fois je vois “commentez en tant que Prénom Nom”



Le 28/09/2012 à 14h 28







Dunaedine a écrit :



Google, Yahoo et même MS utilisent OpenId. Facebook utilise un truc fermé, incompatible avec les autres, basé sur un tripatouillage d’OpenId. Nous allons avoir un nouveau truc incompatible avec les autres avec Persona. Quitte à avoir ces systèmes, autant n’en avoir qu’un seul. Plus il va y en avoir, plus il va y avoir de fragmentation, car cela va devenir de plus en plus en lourd à implémenter.







De ce qu’on m’a dit (une personne qui a implémenté ce genre de système d’auth unifié pour une organisation), OpenId, c’est pas vraiment la panacée (assez archaïque).

Et l’expérience que j’en ai est pas folichonne non plus : du jour au lendemain mon provider a disparu et par mesure de sécurité j’ai du changer tous mes mots de passe. Après, pour ce qui est de l’implémentation et de toute la technicité qu’il y a derrière (et à laquelle je ne comprends rien), persona arrive après OAuth, CAS, et d’autres systèmes, donc on peut espérer que ça soit quelque chose de bien fichu (à contrario de Oauth2, trop touffu, que son auteur a abandonné, lui préférant OAuth 1 par exemple…)



Après, utiliser yahoo, google ou n’importe quel autre provider OpenId, pourquoi pas, mais après tout je serait tenté de préférer donner mes logs de connexion à mozilla qui assure ne pas s’en servir à des fins de tracking, plutôt qu’à ces géants qui eux s’en serviront quoi qu’il arrive.



Le 28/09/2012 à 14h 32







Iridium a écrit :



À part Google qui leur fourni l’essentiel de leurs revenus, et qui est responsable de base de plusieurs services de firefox tu veux dire ?







Ils en fournissent rien a google, de toute façon ils sont rien.



Le 28/09/2012 à 14h 34







Iridium a écrit :



À part Google qui leur fourni l’essentiel de leurs revenus, et qui est responsable de base de plusieurs services de firefox tu veux dire ?



Tu confonds pas Mozilla Foundation et Mozilla Corporation <img data-src=" />



Le 28/09/2012 à 14h 45







Dunaedine a écrit :



Encore une fois que tu critiques le principe d’avoir un système unifié sur les identités, si tu veux. Mais c’est le fait que tu sois pour un système unifié parce qu’il y a déjà un système unifié qui me paraît incohérent. Donc sois tu es contre OpenId et Persona (ce qui est le cas), soit tu es pour l’un ou pour l’autre.







Bah ce qui me semble encore plus incohérent c’est que tu semble pour un système décentralisé, mais toutes les décentralisations avec le même protocole sinon ça marche pas ? Là j’avoue je vois pas bien l’interêt. Ou alors c’est du faux décentralisé que tu veux, plusieurs serveurs qui s’échangent quand même les données entre eux ? Dans ce cas c’est kif kif, tout l’interêt pour le prestataire, tout les risques pour les utilisateurs. Ca reste du centralisé même si toutes les machines sont pas dans la même salle blanche.



Le 28/09/2012 à 14h 54







pafLaXe a écrit :



Bah ce qui me semble encore plus incohérent c’est que tu semble pour un système décentralisé, mais toutes les décentralisations avec le même protocole sinon ça marche pas ? Là j’avoue je vois pas bien l’interêt. Ou alors c’est du faux décentralisé que tu veux, plusieurs serveurs qui s’échangent quand même les données entre eux ? Dans ce cas c’est kif kif, tout l’interêt pour le prestataire, tout les risques pour les utilisateurs. Ca reste du centralisé même si toutes les machines sont pas dans la même salle blanche.







Le protocole est rarement le soucis. Le soucis vient le plus souvent d’un élément de la chaîne. Dans OpenId, potentiellement le fournisseur (qui peut être sois-même, on peut être son propre fournisseur si l’on a pas confiance en un tiers). L’intérêt d’avoir un seul protocole, c’est que quelque soit ton fournisseur, tu peux te connecter à différent sites, qui eux ne se préoccuperont pas de qui est ton fournisseur, ce n’est pas leur oignons. Si tu as plusieurs protocoles, ils sont obligés de faire une entrée pour chaque protocole… Il n’y a pas besoins que les fournisseurs entre eux se communiquent quoique ce soit.



Le 28/09/2012 à 15h 11

Bonjour,



En fait, ça me fait penser à plusieurs choses:



1/ Tout d’abord, le positif : c’est pas mal qu’il existe plusieurs type de services gérant ce genre de choses, chacun peut y trouver ce qui l’arrange le plus.



2/ Ensuite, neutre : je ne suis pas sûr d’avoir bien compris la valeur ajoutée par rapport à la mémorisation actuelle* dans FX, à part que la gestion se fait en externe, ce qui ne représente pas forcément un atout, même si c’est à la mode.

(*Outils &gt; Sécurité &gt; MDP)



3/ Enfin, négatif : déjà que je ne suis pas particulièrement fier en terme de sécurité de me servir d’une centralisation des MDP dans un navigateur, si en plus un serveur distant “centralise toutes les centralisations” de tout le mode, ça me paraît très tentant (genre ça sent le fait divers dans 2 ans de tous les MDP fuités sur le web pour une raison x ou y).



En bonus, un avis encore plus perso puisque moi aussi ça me gonfle de rentrer des login/mdp sans arrêt, je plussoie très fortement ce qui suit:





Teovald a écrit :



D’ailleurs mention spéciale à pcInpact qui est incompatible avec la mémorisation des mots de passe (sous Chrome en tout cas).



A fond… qu’est-ce que c’est relou… (pour info sur Fx aussi, donc). Je ne comprends pas que ça puisse être en vigueur.



Le 28/09/2012 à 15h 20







Zorglob a écrit :



A fond… qu’est-ce que c’est relou… (pour info sur Fx aussi, donc). Je ne comprends pas que ça puisse être en vigueur.





Oui surtout que la mémorisation des mots de passe fonctionnait très bien avant la nouvelle version PCI. <img data-src=" />



Le 28/09/2012 à 15h 27







FrenchPig a écrit :



Oui surtout que la mémorisation des mots de passe fonctionnait très bien avant la nouvelle version PCI. <img data-src=" />



Exactement, ce qui accentue la frustration du tout (après tout, tu te résignes plus facilement devant un truc qui n’a jamais marché), surtout que rien ne semble justifier l’ensemble, à part la présence dans la barre de notif.

D’ailleurs cette dernière est sympa, ce n’est pas en cause, mais c’est au détriment d’une facilité d’utilisation, pfff…



Le 28/09/2012 à 15h 39







Dunaedine a écrit :



Le protocole est rarement le soucis. Le soucis vient le plus souvent d’un élément de la chaîne. Dans OpenId, potentiellement le fournisseur (qui peut être sois-même, on peut être son propre fournisseur si l’on a pas confiance en un tiers). L’intérêt d’avoir un seul protocole, c’est que quelque soit ton fournisseur, tu peux te connecter à différent sites, qui eux ne se préoccuperont pas de qui est ton fournisseur, ce n’est pas leur oignons. Si tu as plusieurs protocoles, ils sont obligés de faire une entrée pour chaque protocole… Il n’y a pas besoins que les fournisseurs entre eux se communiquent quoique ce soit.







On peut héberger soi-même n’importe quel service sur Internet, mail, serveur www, FTP, etc. Dans les faits, qui le fait ? Trois geeks et voilà. La plus grande majorité se tourne vers des solutions prémachées. Ce qui m’interesse dans le débat c’est pas ce que je suis capable de faire sur mon petit bout d’internet personnel pour ma gueule à moi, c’est ce qu’Internet “pour tous” va devenir avec un tel système : de la merde. Alors qu’au moins cette merde soit fragmentée, ça sera plus facile à avaler.



Le 28/09/2012 à 15h 40







Foudge a écrit :



Tu confonds pas Mozilla Foundation et Mozilla Corporation <img data-src=" />





En partie.

Je doit dire que j’ignore la nature exacte du lien entre les deux (en particulier la partie financière).



Le 28/09/2012 à 16h 30







pafLaXe a écrit :



On peut héberger soi-même n’importe quel service sur Internet, mail, serveur www, FTP, etc. Dans les faits, qui le fait ? Trois geeks et voilà. La plus grande majorité se tourne vers des solutions prémachées. Ce qui m’interesse dans le débat c’est pas ce que je suis capable de faire sur mon petit bout d’internet personnel pour ma gueule à moi, c’est ce qu’Internet “pour tous” va devenir avec un tel système : de la merde. Alors qu’au moins cette merde soit fragmentée, ça sera plus facile à avaler.







Oui mais ce n’est pas la faute du protocole. Et non, je ne vois pas pourquoi avec un tel système cela deviendrait de la merde, puisque la base du net, c’est justement des protocoles standards que tous peuvent appliquer. Avec ta logique, le net est déjà de la merde.



Le 28/09/2012 à 16h 47







Dunaedine a écrit :



Oui mais ce n’est pas la faute du protocole. Et non, je ne vois pas pourquoi avec un tel système cela deviendrait de la merde, puisque la base du net, c’est justement des protocoles standards que tous peuvent appliquer. Avec ta logique, le net est déjà de la merde.







Dans ma logique, je ne me contente pas de données technico-techniques et de la flemme des developpeurs de CMS qui vont devoir taper 10 lignes de code de plus, les pauvres. Dans ma logique, je fais une grosse difference entre les données issues de n’importe quel service que je peux utiliser, et LA donnée qu’est mon identité, pour laquelle je suis férocement paranoïaque.

Et puis même sans ça, je comprend toujours pas en quoi l’existence d’OpenID justifie de ne rien inventer d’autre de similaire.

Tu donnes plus haut l’exemple de l’HTML, et bien il y a un autre standard qui fait exactement la même chose et qui est né à peu près en même temps : Gopher. Les deux coéxistent très bien sans problème, l’un est beaucoup plus confidentiel que l’autre mais ça n’empêche personne de dormir, si ?



Le 28/09/2012 à 17h 05







pafLaXe a écrit :



Dans ma logique, je ne me contente pas de données technico-techniques et de la flemme des developpeurs de CMS qui vont devoir taper 10 lignes de code de plus, les pauvres. Dans ma logique, je fais une grosse difference entre les données issues de n’importe quel service que je peux utiliser, et LA donnée qu’est mon identité, pour laquelle je suis férocement paranoïaque.

Et puis même sans ça, je comprend toujours pas en quoi l’existence d’OpenID justifie de ne rien inventer d’autre de similaire.

Tu donnes plus haut l’exemple de l’HTML, et bien il y a un autre standard qui fait exactement la même chose et qui est né à peu près en même temps : Gopher. Les deux coéxistent très bien sans problème, l’un est beaucoup plus confidentiel que l’autre mais ça n’empêche personne de dormir, si ?







Gopher est mort-vivant, tu parles d’une coexistence <img data-src=" />. En prime, c’est un réseau parallèle complet, bonjour l’effet de fragmentation. Pour le côté paranoïaque, tu peux être ton propre gestionnaire d’identité. Tu peux même en général ne pas te servir d’OpenId. Démultiplié les équivalents ne rajoute par contre rien à l’utilité de ce mécanisme, et n’arrange pas plus tes affaires. Toi ce qui t’intéresse, c’est la possibilité de t’avoir des comptes séparés. Or déjà, avec certains sites, c’est FB obligatoire. Donc quitte à choisir, je préfère cent fois un protocole où je peux choisir mon prestataire.



Le 28/09/2012 à 17h 52

A lire certains, ils seraient pour un SSO global …<img data-src=" />



Et puis quoi encore ?


Eone Abonné
Le 28/09/2012 à 19h 07

Désolé si je me trompe, mais vous oubliez un gros avantage de ce genre de service:



La plupart des gens utilisent leur même mot de passe partout.

Même moi, utilisateur relativement avertis, je ne doit pas utiliser plus de 10 couples adresse mail / mot de passe, ce qui est déjà énorme, à retenir.



Résultat, il suffit de s’inscrire sur un site avec une sécurité moisie pour que l’on récupère mon mot de passe et que l’on puisse se connecter à tout mes comptes.

Le nombre de site avec les mots de passe qui ont fui sont gigantesque. Avec le temps, cela me parais inévitable que le mot de passe soit découvert.

Une inscription sur un site de passionné de coquillage avec une faille SQL et des mots de passe en clair, et boom, on a accès à toute mes autres données.



Avec la solution de Mozilla, le mot de passe est centralisé, gérer par une unique organisation de qualité, avec des spécialistes. Donc mot de passe au moins bien salé/hashé.



Et en cas de doute, hop, un nouveau mot de passe, et tout est à nouveau “sécurisé”.



Pour s’inscrire à des forums, ou plein de petit site amateurs, c’est l’idéal.

Après, il faut réfléchir un peu le truc, et pas s’inscrire sur paypall avec cette solution <img data-src=" />


picoteras Abonné
Le 28/09/2012 à 19h 37







Teovald a écrit :



D’ailleurs mention spéciale à pcInpact qui est incompatible avec la mémorisation des mots de passe (sous Chrome en tout cas).





Mais à peu près compatible avec Secure Login, une extension pour Firefox (le login se fait mais avec passage préalable par la page d’erreur 404).



ra-mon Abonné
Le 28/09/2012 à 20h 19







FrenchPig a écrit :



Oui surtout que la mémorisation des mots de passe fonctionnait très bien avant la nouvelle version PCI. <img data-src=" />





D’autant plus bizarre que la mémorisation des identifiant et mot de passe PCI fonctionnent très bien avec… Opera… Un miracle, je vois que ça <img data-src=" />




SebGF Abonné
Le 28/09/2012 à 20h 28

Mmmmh, perso je préfère mon Keepass.



Laisser un truc en ligne gérer ce genre de données…. <img data-src=" /><img data-src=" /><img data-src=" />


Le 29/09/2012 à 10h 21







pafLaXe a écrit :



Pourquoi OpenID devrait être le seul service de ce genre ? J’aime pas du tout ce concept, je suis pas client de ça quoiqu’il arrive, mais je me dis que c’est quand même plus sain s’il y a une grande variété de choix justement <img data-src=" />





Sauf que pas ici justement, le but à la base c’est d’unifier l’authentification de 300 000 sites différents sur un unique système pour simplifier tout ça. C’est comme pour les OS mobiles, si tu as 300 000 systèmes différents et incompatibles entre eux pour chaque site, bah niveau unification on n’est pas plus avancé… <img data-src=" />



Alors donc on a Persona, Disqus, Facebook Connect, OpenID, Microsoft Account, Google Account, probablement d’autres acteurs que j’oublie, et chaque sites utilisant l’un de ces système n’en supporte généralement qu’un seul. Ouais… Pour la simplification faudra repasser. <img data-src=" />



SebGF Abonné
Le 29/09/2012 à 11h 08







Oungawak a écrit :



chaque sites utilisant l’un de ces système n’en supporte généralement qu’un seul. Ouais… Pour la simplification faudra repasser. <img data-src=" />







Et ouais, c’est beau l’unicité. Marrant, ça me rappelle ça<img data-src=" />



Le 29/09/2012 à 14h 31







Oungawak a écrit :



Sauf que pas ici justement, le but à la base c’est d’unifier l’authentification de 300 000 sites différents sur un unique système pour simplifier tout ça. C’est comme pour les OS mobiles, si tu as 300 000 systèmes différents et incompatibles entre eux pour chaque site, bah niveau unification on n’est pas plus avancé… <img data-src=" />



Alors donc on a Persona, Disqus, Facebook Connect, OpenID, Microsoft Account, Google Account, probablement d’autres acteurs que j’oublie, et chaque sites utilisant l’un de ces système n’en supporte généralement qu’un seul. Ouais… Pour la simplification faudra repasser. <img data-src=" />







Sauf qu’à part OpenID, et encore, les autres solutions ne se contentent pas exclusivement et simplement de t’authentifier sur une multitude de sites.



Et si je me souviens bien, OpenID nécessite pour l’inscription un peu plus qu’une adresse mail et ces autres éléments sont aussi transmis à des tiers, ne serait-ce que pour l’affichage du nom de l’utilisateur… à moins de stipuler que l’échange de l’ensemble n’est pas souhaité, à chaque fois (opt-out).



Poussant un peu plus à la fin d’un certain “anonymat” sur Internet par la même occasion.



Le 29/09/2012 à 15h 21







CanalGuada a écrit :



Sauf qu’à part OpenID, et encore, les autres solutions ne se contentent pas exclusivement et simplement de t’authentifier sur une multitude de sites.



Et si je me souviens bien, OpenID nécessite pour l’inscription un peu plus qu’une adresse mail et ces autres éléments sont aussi transmis à des tiers, ne serait-ce que pour l’affichage du nom de l’utilisateur… à moins de stipuler que l’échange de l’ensemble n’est pas souhaité, à chaque fois (opt-out).



Poussant un peu plus à la fin d’un certain “anonymat” sur Internet par la même occasion.





100% d’accord, c’est d’ailleurs pour ça que je n’utilise aucune de ces solutions quand elles sont proposées. Le pire est de loin Fessebouc, par contre pour OpenID là tu m’apprend un truc… Je pensais qu’ils étaient un peu plus clean que ça. <img data-src=" />



A mon avis le mieux serait un standard qui serait décentralisé (chez l’utilisateur qui aurait donc un contrôle total de ses données) et basé sur des certificats, ça permettrait au passage de sécuriser les communications à grande échelle. Reste à trouver comment…



ner0lph Abonné
Le 29/09/2012 à 15h 55







Yolélé a écrit :



Après, utiliser yahoo, google ou n’importe quel autre provider OpenId, pourquoi pas, mais après tout je serait tenté de préférer donner mes logs de connexion à mozilla qui assure ne pas s’en servir à des fins de tracking, plutôt qu’à ces géants qui eux s’en serviront quoi qu’il arrive.





Tu peux aussi te les donner à toi en étant ton propre fournisseur OpenID. Ce n’est pas compliqué.



J’imagine et espère qu’on pourra faire la même chose avec Persona.



ner0lph Abonné
Le 29/09/2012 à 16h 01







Iridium a écrit :



En partie.

Je doit dire que j’ignore la nature exacte du lien entre les deux (en particulier la partie financière).





Selon ce que j’ai compris, la MoCo est la DRH / service compta de la MoFo.



Le 29/09/2012 à 17h 52







Oungawak a écrit :



A mon avis le mieux serait un standard qui serait décentralisé (chez l’utilisateur qui aurait donc un contrôle total de ses données) et basé sur des certificats, ça permettrait au passage de sécuriser les communications à grande échelle. Reste à trouver comment…







C’est déjà en partie ce que propose Persona. En l’utilisant, tout ce que l’on fait est d’autoriser Mozilla à diffuser à notre place ce qui ressemble à une clé publique de certificat auto-signé (comme celui que l’on peut créer soi-même pour identifier le courrier électronique), en externalisant à la fois la génération, la diffusion et le renouvellement de cette dernière.



Par contre la sécurisation des communications, dans le sens authentification de l’utilisateur permettant des échanges en toute confiance, n’est pas ce que Persona vise à fournir puisque le service est essentiellement rendu à l’internaute, moins au site tiers chez qui l’internaute ne souhaite que s’identifier, comme il le ferait avec un couple mot de passe et nom d’utilisateur, mais cette fois-ci, si j’ai bien compris, sans même fournir une adresse de messagerie.



Un peu comme si nous disposions tous d’un compte mail chez Mozilla et que ce dernier était utilisé systématiquement pour s’inscrire sur un site, Mozilla prenant en charge lui-même d’automatiser la phase de vérification du compte mais sans le communiquer, sur la foi de l’équivalent d’une clé privée présente sur la machine.



Le 29/09/2012 à 21h 35







Dunaedine a écrit :



Gopher est mort-vivant, tu parles d’une coexistence <img data-src=" />. En prime, c’est un réseau parallèle complet, bonjour l’effet de fragmentation. Pour le côté paranoïaque, tu peux être ton propre gestionnaire d’identité.







Gopher va très bien, c’est pas parce que tu y mes jamais les pieds qu’il n’y à pas un semblant de vie quand meme. Mais je te l’accorde, c’est quand même avec un brin d’humour que j’en ai parlé.



Bon ok, j’héberge mon propre OpenID, et après ? Ca ne résoud qu’une partie du problème : je n’ai toujours pas à accepter qu’on fasse un lien fort entre mon compte PCI, mon compte Paypal, et mes achats d’accessoires SM. J’ai que ça à foutre de payer de l’énergie et de la BP au seul service de Google <img data-src=" />



Et le fait que je n’ai rien à cacher et une très bonne raison de ne pas venir voir ce que se passe chez moi <img data-src=" />



Le 30/09/2012 à 03h 30







ner0lph a écrit :



Selon ce que j’ai compris, la MoCo est la DRH / service compta de la MoFo.





J’avais aussi cru comprendre que la MoCo était sensé se chargé de la “promotion” des produits de la fondation. En pratique, je vois que les emplacement moteur de recherche de Firefox sont pré-remplis par des machins commerciaux (au sens large) et que google est intégré profondément dans le navigateur (par exemple vérifie chaque site que vous visitez pour s’assurer qu’il ne tente pas de vous arnaquer, sans rien faire d’autre de ces infos très certainement) donc j’en viens à me demander quel est l’indépendance de la MoFo.



Le 30/09/2012 à 09h 48







pafLaXe a écrit :



Gopher va très bien, c’est pas parce que tu y mes jamais les pieds qu’il n’y à pas un semblant de vie quand meme. Mais je te l’accorde, c’est quand même avec un brin d’humour que j’en ai parlé.



Bon ok, j’héberge mon propre OpenID, et après ? Ca ne résoud qu’une partie du problème : je n’ai toujours pas à accepter qu’on fasse un lien fort entre mon compte PCI, mon compte Paypal, et mes achats d’accessoires SM. J’ai que ça à foutre de payer de l’énergie et de la BP au seul service de Google <img data-src=" />



Et le fait que je n’ai rien à cacher et une très bonne raison de ne pas venir voir ce que se passe chez moi <img data-src=" />







Tu peux toujours te créer plusieurs Id, rien ne l’empêche. C’est probablement un peu pénible (et casse complètement l’intérêt individuel de la chose, mais assure quand même des garanties de sécurité supérieure), mais c’est faisable. Bon si tu veux être plus discret, tu as plutôt intérêt dans ce cas à faire intervenir un gestionnaire tiers.



Le 30/09/2012 à 11h 52







Zorglob a écrit :



Exactement, ce qui accentue la frustration du tout (après tout, tu te résignes plus facilement devant un truc qui n’a jamais marché), surtout que rien ne semble justifier l’ensemble, à part la présence dans la barre de notif.

D’ailleurs cette dernière est sympa, ce n’est pas en cause, mais c’est au détriment d’une facilité d’utilisation, pfff…







Chez moi cela fonctionne, mais aléatoirement. D’ailleurs Firefox Sync fonctionne, mais aléatoirement aussi…



Le 30/09/2012 à 12h 08







Dunaedine a écrit :



Tu peux toujours te créer plusieurs Id, rien ne l’empêche. C’est probablement un peu pénible (et casse complètement l’intérêt individuel de la chose, mais assure quand même des garanties de sécurité supérieure), mais c’est faisable. Bon si tu veux être plus discret, tu as plutôt intérêt dans ce cas à faire intervenir un gestionnaire tiers.







Oué, du coup ça devient bien casse-bonbons pour un truc censé me faciliter la vie. Autant en rester au système actuel, chaque site propose sa propre identification maison et ça marche très bien comme ça. Pourquoi vouloir changer un truc qui marche ?

Désolé tu m’as toujours pas vendu le produit, où que je regarde j’y vois toujours plus d’inconvénients que d’avantages par rapport à ce qui se fait aujourd’hui.



Le 30/09/2012 à 16h 16







pafLaXe a écrit :



Oué, du coup ça devient bien casse-bonbons pour un truc censé me faciliter la vie. Autant en rester au système actuel, chaque site propose sa propre identification maison et ça marche très bien comme ça. Pourquoi vouloir changer un truc qui marche ?

Désolé tu m’as toujours pas vendu le produit, où que je regarde j’y vois toujours plus d’inconvénients que d’avantages par rapport à ce qui se fait aujourd’hui.







Ce n’est pas plus casse bon que le système actuel en fait. Et je ne cherche pas à te vendre le produit. Juste à expliquer que quitte à en avoir (car certains sont demandeurs, tu n’es pas le centre du monde), autant en avoir un seul et qui soit ouvert. Pour les inconvénients, il n’y en a moins que le système actuels dans tous les cas. Il est plus facile de s’assurer des bonnes pratiques avec un tel système.



Le 30/09/2012 à 16h 29







Dunaedine a écrit :



Ce n’est pas plus casse bon que le système actuel en fait.







Je n’y vois vraiment aucun avantages, que des problèmes supplémentaires.







Dunaedine a écrit :



Et je ne cherche pas à te vendre le produit. Juste à expliquer que quitte à en avoir (car certains sont demandeurs, tu n’es pas le centre du monde), autant en avoir un seul et qui soit ouvert.







Pas besoin d’être le centre du monde pour avoir une opinion, avoir le droit de l’exposer, et s’assurer que ceux à qui on demandera bientôt de faire un tel choix le font entièrement en connaissance de cause, pour l’interêt général.







Dunaedine a écrit :



Pour les inconvénients, il n’y en a moins que le système actuels dans tous les cas. Il est plus facile de s’assurer des bonnes pratiques avec un tel système.







Comment ?



Le 01/10/2012 à 06h 27







pafLaXe a écrit :



Je n’y vois vraiment aucun avantages, que des problèmes supplémentaires.







Pas besoin d’être le centre du monde pour avoir une opinion, avoir le droit de l’exposer, et s’assurer que ceux à qui on demandera bientôt de faire un tel choix le font entièrement en connaissance de cause, pour l’interêt général.







Comment ?







Cite les problèmes supplémentaires. Je n’en vois aucun. Des avantages, clairement.



Pour le comment, très simple. Si tu y es ton propre gestionnaire, tu n’es pas dépendant du gestionnaire du site pour ta gestion d’identité. Donc qui se lance là-dedans, on peut espérer qu’il utilise une politique de protection de mot blindés.



Pour les gestionnaires tiers, aucuns des gestionnaires d’OpenId n’ont été hacké (je pense que Google, Yahoo ou MS ont pour été pas mal attaqués). En terme de sécurité, on peut s’assurer qu’ils prennent les mesures nécessaires (comme par exemple le très basique hashage des MDP). Ils peuvent également mettre en place des mesures de sécurités supplémentaires (Authentificator). Au niveau sécurité, ils peuvent apporter bien plus que la majorité des sites sans avoir à démultiplier les identifiants/mdp.