Connexion
Abonnez-vous

Mozilla coupera son service d’authentification Persona le 30 novembre 2016

Une question de ressources

Mozilla coupera son service d'authentification Persona le 30 novembre 2016

Le 13 janvier 2016 à 15h00

Mozilla a décidé de fermer le service d’authentification Persona en novembre 2016. Il était géré par la communauté depuis 2014, mais Mozilla indique désormais qu’il est trop peu utilisé pour justifier encore que des ressources lui soient attribuées.

Mozilla avait lancé la bêta de Persona en septembre 2012. L’idée était alors de proposer un service d’authentification universel et transparent que tous les sites pourraient utiliser pour simplifier la connexion des internautes. Mais dès 2014, devant une utilisation qui ne décollait pas vraiment, l’éditeur avait déjà décidé de confier l’avenir du service à la communauté.

Le père de Firefox attribue cependant des ressources depuis cette passation de pouvoirs. Par exemple, Mozilla s’occupe de tout ce qui touche à la sécurité, ses problèmes et ses corrections. Ce sont ses infrastructures et systèmes de communication qui sont également utilisés, sans parler des serveurs qui servent à assurer le fonctionnement de Persona.

Sous l’effet d’une contraction des activités et d’une révision de ses priorités, Mozilla a cependant décidé d’en finir avec Persona. Dans une communication datée d’hier, le responsable Ryan Kelly indique que tout sera arrêté le 30 novembre prochain. À cette date, les différents services seront coupés, et Mozilla indique que toutes les données qui auront été stockées depuis la mise en place de Persona seront détruites.

D’ici au 30 novembre, l’éditeur souhaite cependant donner suffisamment de temps aux sites utilisant Persona pour migrer vers une solution. Une documentation spécifique a d’ailleurs été mise en place pour aider les concernés, et elle sera mise à jour tout au long de l’année au fur et à mesure que des informations complémentaires seront disponibles. D’ici à cette fermeture, Mozilla continuera de s’occuper de la sécurité et donc de corriger les failles s’il y en a.

Au-delà du 30 novembre, plus rien ne sera donc disponible. Par sécurité, Mozilla indique que le domaine Persona.org sera gardé et qu’il ne sera pas transféré à un tiers.

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Persona non grata <img data-src=" />

votre avatar

Normal, les gens préfèrent donner toutes leurs données a FB ou Google plutôt que de laisser un tiers gérer ces authentification, ce qui était une excellente idée car les services authentifiants (google, FB, justement) ne pouvaient pas savoir a quel service on se connectait avec.



Bref, une perte pour la privacy, et un pas de plus pour les gafa.

votre avatar

C’est vraiment dommage que ce service n’ait pas percé…

Le fait de ne pas donner d’infos au GAFA était un vrai plus de ce service.

votre avatar

Ouais! Honte à NextINpact de ne jamais avoir proposé le support de persona!

Booouh! Booouh!

votre avatar

C’est l’hécatombe en ce moment dans les projets Mozilla… <img data-src=" />

votre avatar







Jarodd a écrit :



C’est l’hécatombe en ce moment dans les projets Mozilla… <img data-src=" />





Ou, plutôt, ils arrêtent de gaspiller des ressourcees humaines , techniques, et financières de manière dispersée sur des projets peu porteurs. (Ce qui ne signifie pas forcément peu intressants, mais, sur le Web et Internet en général, les succès doivent être massifs ou en tout cas très importants pour qu’un projet puisse durer et avoir de l’avenir.) &nbsp;



&nbsp;Le plus important c’est qu’il puissent continuer Firefox, à la place des pompes à information de la concurrence..


votre avatar







Antwan a écrit :



Normal, les gens préfèrent donner toutes leurs données a FB ou Google plutôt que de laisser un tiers gérer ces authentification, ce qui était une excellente idée car les services authentifiants (google, FB, justement) ne pouvaient pas savoir a quel service on se connectait avec.



Bref, une perte pour la privacy, et un pas de plus pour les gafa.







Le mieux reste encore l’autentification par site/service. Je trouve pas meilleur qu’elle soit centralisée chez FB, Google ou Mozilla.


votre avatar







Gundar a écrit :



Le mieux reste encore l’autentification par site/service. Je trouve pas meilleur qu’elle soit centralisée chez FB, Google ou Mozilla.





+1, et en cas de faille/fuite ca ne touche que le service en question.



Le seul site où j’utilise G+ pour l’authentification est 9gag <img data-src=" /> Je ne sais pas pourquoi mais je n’étais jamais capable de me souvenir correctement de mon couple identifiant/mdp sur ce site <img data-src=" /> . Du coup j’ai fini par craqué <img data-src=" />


votre avatar







Gundar a écrit :



Le mieux reste encore l’autentification par site/service. Je trouve pas meilleur qu’elle soit centralisée chez FB, Google ou Mozilla.





Sauf qu’avec Persona, l’intérêt était justement que Mozilla ne centralisait pas forcément les données. Il y avait bien un serveur Mozilla mais il n’était pas obligatoire d’utiliser celui là en particulier. Le but était, si le service avait pris de laisser le FAI gerer ca vu qu’il de toute façon sait déjà tout.


votre avatar







Uther a écrit :



Sauf qu’avec Persona, l’intérêt était justement que Mozilla ne centralisait pas forcément les données. Il y avait bien un serveur Mozilla mais il n’était pas obligatoire d’utiliser celui là en particulier. Le but était, si le service avait pris de laisser le FAI gerer ca vu qu’il de toute façon sait déjà tout.







Non le FAI ne sait pas forcément déjà tout, sauf à faire du DPI systématique, et encore moins avec le développement de l’HTTPS. Et quelque soit l’acteur derrière, avoir une “identité numérique globale” regroupant toutes les activités me parrait super malsain. Au delà même des problèmes de sécurité intrinsèques.


votre avatar

A moins de passer par un service anonymisant, le FAI peut théoriquement tout savoir.

Et même si il ne fait pas de DPI et que tu passes par du HTTPS, il sait sur quels sites tu vas et, a quelle fréquence, ce qui déjà largement assez pour te tracer efficacement.

&nbsp;

Alors oui c’est sur qu’avoir une authentification séparée c’est mieux, mais ce que proposait Mozilla était de loin&nbsp; ce qui ce faisait de mieux en matière d’authentification centralisée.

votre avatar

Non il ne peut pas “théoriquement tout savoir”. Alors oui, comme tu le dis, même en HTTPS,&nbsp; “il sait sur quels sites tu vas et, a quelle fréquence”. Mais j’appelle pas ça tout savoir.

Il faudrait exploiter des failles dans le HTTPS ou que l’utilisateur ait ajouté des “mauvais” certificats pour qu’il puisse tout savoir.

votre avatar







Uther a écrit :



A moins de passer par un service anonymisant, le FAI peut théoriquement tout savoir.

Et même si il ne fait pas de DPI et que tu passes par du HTTPS, il sait sur quels sites tu vas et, a quelle fréquence, ce qui déjà largement assez pour te tracer efficacement.

 

Alors oui c’est sur qu’avoir une authentification séparée c’est mieux, mais ce que proposait Mozilla était de loin  ce qui ce faisait de mieux en matière d’authentification centralisée.







De mieux uniquement sur le point “tracking”. Même si c’est déjà çà de pris, ca ne me suffit par pour autant <img data-src=" />


votre avatar

Sur presque tous les point en fait. Tu étais libre de choisir n’importe quelle société de confiance pour le serveur et si tu ne fait confiance a personne tu pouvais toujours avoir ton propre service.



Le seul véritable problème restant le fait que c’est centralisé.

votre avatar

Bah non pour l’instant c’est que le tracking/confiance que tu me sors… qu’elle est la valeur ajoutée à Google ou Facebook ?



Si Persona était capable (par exemple) de m’afficher un historique des sessions ouvertes, voir même des alertes pour les sites les plus sensibles… ou la double authentication. Peut-être que ca y est celà dit, mais comme Mozilla n’a absolument pas poussé son service (pire que le marketing de FFos <img data-src=" />)



Ensuite pour “Le seul véritable problème restant le fait que c’est centralisé.” je ne te suis pas. Tu veux dire que le problème de l’authentification centralisée est que c’est centralisé <img data-src=" /> ? Ou alors qu’il n’y a pas de possiblité de serveur secondaire ?

Mozilla coupera son service d’authentification Persona le 30 novembre 2016

Fermer