è OpenID davvero così male?

Questa discussione emerge sempre a causa di un fatto largamente ignorato: OpenID non è mai stato progettato come protocollo di accesso. Questa è un'attribuzione successiva.

OpenID è stato concepito come verifica dell'URL della home page servizio . E per quello era fattibile. Ma a causa della mancanza di alternative è stato rapidamente riproposto come protocollo di accesso generale. Alcune funzionalità sono state realizzate su (reg semplice, scambio di attributi) per facilitarle meglio. Ma al suo interno OpenID è uno schema di verifica dell'autorità URL.

Questo è stato l'usabilità e gli errori di implementazione provengono da. Il vantaggio di accesso multiplo è significativo solo per gli utenti tecnicamente affini, non una vera semplificazione per gli utenti ordinari. (Non farmi iniziare sulla solidità, ho appena recuperato il mio login StackOverflow.)
Ma ancora non esiste un'alternativa diffusa o tecnicamente superiore (c'erano alcuni OpenID precedenti ma mancava la parola d'ordine e l'adozione del marketing). Come appassionato sostenitore dell'open source prenderei in considerazione anche Microsofts Passport o Cardspace, ma al momento non è un'opzione.

Torna alla tua domanda: passa a OpenID. Per gli utenti ordinari è possibile utilizzare coppie nome utente / password oldschool e OpenID opzionale. Forse OpenID3 trova un'adozione diffusa e risolve alcuni dei problemi. O forse arriva qualcos'altro. L'idea generale alla base del concetto era interessante.

Non puoi implementare ENTRAMBI?

Tutti scelgono l'opzione in base al suo stato di preferenza e paranoia.

OpenID offre grande praticità. Fornisce anche un rischio di sicurezza ancora più grande.

[Rischio utente] Cosa succede se Facebook / Google / etc. decidere se il tuo account è stato compromesso e devi dare il tuo numero di telefono o una copia del passaporto per riattivarlo? Vuoi andare per questo?

[Rischio aziendale] Cosa succede se Facebook / Google / etc. decidere di interrompere il servizio o iniziare a caricarlo? Poi come proprietario del sito sei enormemente incasinato.

[Spionaggio dati] Perché consentire loro di raccogliere le statistiche dettagliate da molti siti di consumatori e aiutarle a creare profili personali di persone? Chissà cosa faranno con esso? Venderlo, usarlo per adattare le loro tattiche di marketing, inviarlo alla CIA?

Man, è così semplice e basilare: evita di dipendere da nessuno e decidi tu stesso cosa fare quando e se ti succederà.

In realtà, penso che il problema principale con OpenID non sia l'implementazione o che la facilità d'uso sia negativa. Né penso che siano i problemi di sicurezza con OpenID, per sé. Penso che il problema principale sia che si tratta di una soluzione in cerca di un problema, un problema che, per la maggior parte degli utenti, non è comunque un grosso problema.

Una soluzione migliore per il problema di dover ricordare molte password, ecc. è usare un'applicazione di gestione password. Un gestore di password semplifica anche la procedura di registrazione, poiché popolerà automaticamente tutti i campi comuni (nome, ecc.) E genererà automaticamente una password casuale. L'unica cosa che devi fare, in genere, è verificare il tuo indirizzo email.

Il problema con openid, o più generale, con una selezione di fornitori di account sul sito Web per accedere al tuo sito web, è che gli utenti tendono a dimenticare quale fornitore hanno scelto prima. Un giorno possono usare Google, il mese prossimo possono usare Facebook e tre mesi dopo forse Twitter. Per il sito web, sembrerà tre diversi utenti. In tal caso gli utenti si sentono frustrati, perché possono accedere al sistema, ma non allo stesso account di prima.

I problemi principali con OpenID, come vedo, sono due:

• A) Non è facile da usare per i ragazzi non tecnici
• B) Non è così diffuso come le alternative

Sulla A, per un utente che vede un pulsante "accedi con facebook" è facile e semplice da ottenere. Vedere un controllo con 10 icone (Google, Yahoo, AOL, ecc.) È fonte di confusione. Ancor più il fatto che il "login" sia un URL, qualcosa che molte persone non conoscono esiste perché tutto ciò che fanno è digitare una ricerca in Bing / Google e seguire i collegamenti. Conosco molte persone che quando vanno su Facebook, cercano Facebook su Google e fanno clic sul collegamento, non tentare di spiegare loro il concetto di dominio!

Su B, Facebook è lo standard. È un po 'come PayPal e le alternative: per un e-commerce, PayPal potrebbe non essere la migliore opzione in termini di prezzo a causa delle spese sulle transazioni, ma se non usano PayPal stanno rischiando molti potenziali clienti. L'accesso è lo stesso: Facebook apre il tuo sito web a 500 milioni di utenti che sono utenti attivi di Internet e abbastanza esperti di tecnologia da poter "ottenere" il tuo sito. Onestamente, perché dovresti passare più tempo a supportare altre cose? Passa quella volta a sviluppare il prodotto!

A causa di B, A peggiora quando gli utenti scelgono aspettarsi il login di Facebook, e Open Id li confonde di più.

E non parto dai problemi già discussi in Code Horror sugli accessi degli utenti nello stesso sito con account Open Id diversi e sui problemi che questo può sollevare ...

Tutto sommato, mi piace l'idea su Open ID, ma (purtroppo?) Facebook ha fatto meglio.