Neseniai Inside facebook ir Spread OpenID tinklaraščiuose pasirodė pranešimų, jog Facebook leis savo vartotojams prisijungti prie sistemos su savo OpenID prieigomis.

Kadangi Facebook vartotojų autentifikavimui ir taip yra priklausoma nuo trečiųjų šalių (el. pašto tiekėjų), šiuo žingsniu jie neturėtų prarasti nieko, o tik suteikti vartotojams platesnes galimybes, kadangi prisijungti bus galima turint Google, Yahoo ar bet kurio kito OpenID tiekėjo prieigą.

Šiuo žingsniu Facebook taptų pirmu (tikrai) dideliu servisu,  palaikančiu OpenID ne kaip OpenID tiekėjas, o kaip priklausančioji šalis (Relying party).

Pabaigai - interviu su Chris Messina iš Hamburge vykusios Next09 konferencijos:

Nuo 2009 metų sausio išduodamose naujose asmens tapatybės kortelėse yra įmontuoti lustai, kuriuose įrašyti skaitmeniniai sertifikatai. Šios priemonės leis vartotojui identifikuoti save elektroninėje erdvėje. Vartotojų identifikavimui pasirinktas atviras OpenID protokolas, o OpenID tiekėjo serveris, panašu, jau veikiantis.

Iniciatyva sveikintina, o žinant, jog Estijoje ji jau veikia, reikia tikėtis, jog pasiteisins ir Lietuvoje.

Prisijungimas vyksta specialiu įrenginiu nuskaitant asmens tapatybės kortelėje esantį skaitmeninį sertifikatą ir įvedant slaptažodį, taip užtikrinant tikrą asmens tapatybę.

Ką gi visa tai reiškia?

1. Pagaliau turėsime valstybiniu lygiu pripažintą technologiją, leidžiančią naudoti skaitmeninį parašą. Nebereikės būti prisirišus prie komercinių e-parašo tiekėjų. Ir galėsime e-parašu naudotis kiekvienas.
2. Prisijungti prie valstybinių institucijų galėsime naudodamiesi vien savo asmens identifikavimo kortele. Dabar norint internetu pildyti deklaraciją, peržiūrėti SoDRos duomenis ar naudotis bet kuria kita valstybine e-paslauga, būtina turėti sąskaitą banke ir e-bankininkystės sutartį. Dabar to nebereikės - patvirtinti savo tapatybę nebereiks tarpinio žingsnio - komercinio nevalstybinio banko.
3. Interneto tinklalapiai, naudojantys OpenID vartotojų autentifikacijai, galės gauti tikslius vartotojo duomenis: vardą, pavardę, gimimo datą etc. Taip bus atveriamos papildomos galimybės e-komercijai bei kitoms elektroninėje erdvėje teikiamoms paslaugoms, kurioms reikia patvirtinti vartotojo tapatybę.
4. Atvirų pasauliniu lygiu pripažintų standartų adaptavimas rodo, jog Lietuva neatsilieka nuo pasaulinių tendencijų.

Informacijos šaltiniai:

• Gyventojų registro tarnyba prie LR VRM.
• Mano kolegos Audriaus - openid.lt autoriaus - žinutė (ko gero iš OpenID Europe):

Visgi, kaip tai veikia, galime pažiūrėti cards.lt tinklalapyje:

1. Tinklalapyje, kuriame leidžiama prisijungti su Google paskyra, pasirenkame punktą "Prisijungti su GMail".

2. Jei nesame prisijungę prie savo Google paskyros, matome prisijungimo langą. Prisijungiame:

3. Patvirtiname, kad leidžiame prisijungti prie tinklalapio:

4. Naudojamės vartotojams skirtomis funkcijomis.

Paskutiniu metu stambiosios kompanijos itin aktyviai ėmė rodyti iniciatyvą leisti vartotojams, turintiems prieigas (accounts) prie savo servisų, prisijungti prie kitų Interneto svetainių.

Idėja atsisakyti skirtingų prisijungimo duomenų yra realizuota OpenID standartu, kurį jau kuris laikas naudoja Yahoo kompanija.

Dabar ir Microsoft paskelbė, kad prisijungia prie OpenID iniciatyvos, taip suteikdama 400 milijonų "Windows Live ID" savo vartotojų naudotis tinklalapių, palaikančių OpenID standartą, paslaugomis. Tiesa, kol kas sistema dar testuojama, tačiau tai, jog Microsoft vadina OpenID de facto standartu, suteikia itin didelę svarbą OpenID standartui.

Po poros dienų ir Google pranešė, palaikysianti vieningo prisijungimo standartą OpenID. Tiesa, kol kas tinklalapiams reikia užsiregistruoti ir laukti Google malonės, kad būtų galima leisti Google vartotojams prisijungti prie vieno ar kito tinklalapio. Be to, Google naudos modifikuotą OpenID standartą, atsisakant kai kurių OpenID principų. Visgi, sistema kol kas nėra išbaigta ir ateityje galbūt matysime pilnavertį OpenID palaikymą.

Nepaisant šių džiugių žinių, atrodo, jog Microsoft ir Google skubėjimą skatina analogiškos Facebook OpenID alternatyvos "Facebook Connect" startas lapkričio 30. Facebook, turėdama daugybę registruotų vartotojų ir didžiulę savanorių armiją, nori šioje srityje atsiriekti ir savo dalį. Vis dėlto, prisirišimas prie vieno centralizuoto tapatybės tiekėjo gali sukelti tinklalapiams problemų, jei, kuriuo nors metu, Facebook sugalvotų nutraukti Connect paslaugą ar ją apmokestinti, dėl to, stambiųjų kompanijų iniciatyva palaikyti atvirus standartus yra sveikintina, kovojant su Facebook dėl vietos po saule.

Nors Lietuvoje Facebook kol kas nėra lyderis, veiksmai atsiriboti nuo atvirų standartų rodo, jog jie elgiasi, kaip rinkos (socialinių tinklų) lyderis: atsisakymas palaikyti OpenID standartą bei OpenSocial aplikacijų platformą. Tai verčia net ir aršiausius konkurentus - Google, Yahoo, Microsoft - susivienyti ir, naudojant atvirus standartus, skatinti atviro Interneto idėjų plėtrą.

Šie veiksniai duoda naudą tiek Interneto servisams, tiek tinklalapiams, tiek ir vartotojams. Interneto servisai augina vertę, leisdami vartotojams migruoti su savo duomenimis tarp įvairių tinklalapių, kuriems, savo ruožtu, nėra būtina versti vartotojams registruotis, norint naudotis savo paslaugomis - vartotojai gali prisijungti, naudodami savo patikimą Interneto tabatybės tiekėją. Tiesa, stambiausi tiekėjai patys nesuteikia galimybės prie savo servisų jungtis atvirais standartais (pvz.: prie GMail'o neprisijungsi su savo Yahoo ID), bet vartotojui atsirandančios papildomos galimybės bei arši konkurencija neabejotinai didina komfortą.

Ankstesniame savo straipsnyje apie OpenID rašiau apie technologiją, leidžiančią identifikuoti vartotoją, nepriklausomai nuo vienos centralizuotos vartotojų tapatybės sistemos.

Šiame straipsnyje - OpenID brolio "OAuth" aprašymas.

OAuth - kas tai?

OAuth - atviras protokolas, skirtas saugiam privačių duomenų perdavimui Internetu, tuo pačiu neatskleidžiant vartotojo tapatybės ir neleidžiant prieiti prie tų resursų, kurių vartotojas nenori pateikti.

Eran Hammer-Lahav pateikia vaizdingą palyginimą: daugelis naujų prabangių automobilių parduodami su "kamerdinerio raktu". Vieni jų suteikia kamerdineriui (viešbučio patarnautojas) teisę pastatyti automobilį, bet nuvažiuoti ne daugiau nei vieną mylią, kiti  - neleidžia atidaryti bagažinės ar naudotis automobilyje esančiu telefonu. Nesvarbu, kokie būtų apribojimai, idėja yra paprasta ir efektyvi.

OAuth - tarsi Inernetinis kamerdinerio raktas.

Kur gali būti naudojamas OAuth?

Daugybė Interneto svetainių siūlo paslaugas, susijusias su kitais Interneto servisais, iš kurių reikia paimti asmeninius duomenis.

Pavyzdžiui, el. pašto kontaktų importavimas iš GMail. Įprastu atveju, vartotojas tinklalapyje įveda savo GMail prisijungimo vardą ir slaptažodį. Naudodama šiuos duomenis, tinklalapio sistema prisijungia prie GMail, pasiima vartotojo el. pašto kontaktus ir importuoja juos į savo duomenų bazę. Čia ir iškyla problema, kadangi vartotojas negali būti tikras, ar jo prisijungimo duomenys nepatenka į trečiąsias šalis ir ar prisijungdama prie Interneto tarnybos (šiuo atveju, GMail), sistema paėmė tik tuos duomenis, kuriuos vartotojas norėjo pateikti.

OAuth yra priemonė valdyti šiems veiksniams, užtikrinant, jog vartotoją identifikuojantys duomenys (pvz.: prisijungimo vardas bei slaptažodis) nepateks tretiesiems asmenims ir leidžiant perduoti tik atitinkamus duomenis.

Tokių paslaugų yra ir daugiau. Pavyzdžiui, nuotraukų spausdinimo servisas gali pasiimti nuotraukas iš privačios vartotojo Interneto galerijos, socialiniuose tinkluose - perduoti savo asmeninius duomenis (kontaktus, žinutes ir pan.) iš vieno socialinio tinklo į kitą.

Kaip tai veikia?

1. Vartotojas tinklalapyje išsirenka paslaugą;
2. Vartotojas perkeliamas į paslaugos tiekėjo tinklalapį;
3. Vartotojas prisijungia prie paslaugos tiekėjo tinklalapio (prisijungimui galima naudoti OpenID);
4. Vartotojas patvirtina, jog leidžia tinklalapiui prieiti prie tam tikrų asmeninių duomenų;
5. Vartotojas perkeliamas atgal į tinklalapį, kuriame visus kitus veiksmus (duomenų persiuntimą) atlieka sistema. Persiunčiant duomenis neperduodami vartotojo prisijungimo duomenys,

Saugumas

Saugumas realizuojamas naudojant viešojo rakto principą. Nors tai realizuoja peruodamų duomenų saugumą, pats principas nėra visiškai atsparus nuo fišingo, todėl vartotojas bet kokiu atveju turi būti budrus.

Kas palaiko OAuth plėtrą?

Google proteguojamos atviros socialinės platformos "OpenSocial" autorizacija su trečiųjų šalių tinklalapiais vyksta naudojant OAuth standartą.

WordPress 2.7 viena iš pasiūlytų savybių yra OAuth palaikymas.

2008-08-26 buvo patvirtinta OAuth licenzija. Ją pasirašė (abėcėlės tvarka) AOL, Citizen Agency, Google, Ma.gnolia, Pownce, Six Apart, Twitter, Wesabe, Yahoo! ir keli fiziniai asmenys.

Google Code pateikia parašytas OAuth funkcijų bibliotekas (API) šioms programavimo kalboms:

• coldfusion
• csharp
• java
• obj-c
• perl
• php
• python
• ruby

Naudingos nuorodos

Oficialus OAuth tinklalapis

Eran Hammer-Lahav - Yahoo! darbuotojo, OAuth plėtotojo, tinklaraštis

OAuth API iš Google Code

Problema

    Šiuolaikinis žmogus intensyviai dalyvauja įvairių Interneto tinklalapių veikloje: forumuose, socialiniuose tinkluose, naudojasi el. paštu ir t.t. Tam, kad vartotojas būtų identifikuojamas, prisijungiant prie Interneto svetainės, reikia įvesti savo vartotojo vardą (arba el. pašto adresą) bei slaptažodį, tačiau neretai kiekviename tinklalapyje šie prisijungimo duomenys yra skirtingi ir vartotojui reikia įsiminti kiekvieną jų. Nors daugelis naudoja vieną slaptažodį kelioms svetainėms, vartotojo vardai neretai būna skirtingi, kadangi registruojantis įprastas vartotojo vardas gali būti jau naudojamas kito asmens. Be to, ne visuose tinklalapiuose yra skiriama pakankamai vartotojo duomenų saugumui, todėl vartotojas negali būti tikras, jog kažkas kitas neprisijungs prie jo asmeninės Interneto erdvės.

Sprendimo būdai

    Sukurti saugią vieningą vartotojų prisijungimo sistemą keliems tinklalapiams nėra nauja idėja. Google naudoja GMail vartotojų duomenis įvairioms savo paslaugoms (Reader, Documents, Picasa, Calendar ir t.t.), Microsoft naudoja "Live ID" (anksčiau vadinosi .NET Passport). Lietuvoje taipogi yra panašus sprendimas - Epasas.lt, kurio pagalba galima prisijungti prie klase.lt, skelbimai.lt, skelbikas.lt, supervideo.lt svetainių. Tačiau šie prisijungimo standartai yra uždari ir naudojami tik prisijungimui prie tinklalapių, tiesiogiai priklausančių konkrečioms įmonėms, kurios pasilieka teisę kontroliuoti vartotojo internetinę tapatybę.

OpenID - kas tai?

    OpenID - vieningas ir atviras Interneto tapatybės standartas, kurio pagalba turint vieną OpenID identifikatorių galima prisijungti prie visų Internete esančių tinklalapių, kurie suteikia tokią galimybę. Būdamas atviras ir dokumentuotas, OpenID suteikia galimybę kiekvienam tinklalapiui turėti įdiegtą OpenID vartotojų prisijungimo sistemą. Taip gali būti sutaupomos lėšos, kurios turėtų būti skirtos vartotojų prisijungimo sistemos saugumui užtikrinti. Be to, toks tinklalapis bus patrauklus vartotojui, turinčiam OpenID identifikatorių, kadangi prisijungimo ir registracijos į OpenID palaikantį tinklalapį procesas gali būti pusiau arba pilnai automatizuotas ir greitas.

    OpenID - decentralizuota sistema. Tai reiškia, jog vartotojas gali rinktis iš daugybės skirtingų OpenID tiekėjų, tarp kurių yra ir IT milžinės: "Google", "Verisign", "Yahoo" ir kt.

    Pagrindinės sąvokos:

• Vartotojas - interneto vartotojas (pvz.: Jūs);
• OpenID tiekėjas - interneto servisas, suteikiantis vartotojams OpenID identifikatorius;

• OpenID identifikatorius - Interneto adresas (URL), identifikuojantis vartotoją. OpenID tiekėjai kiekvienam vartotojui suteikia atskirą OpenID adresą, kuris naudojamas prisijungiant prie OpenID palaikančių Interneto svetainių. OpenID identifikatorių pavyzdžiai: http://vartotojo-vardas.myopenid.com, http://www.kitas-openid-tiekejas.com/vartotojo-vardas;
• Tinklalapis - interneto svetainė, kuri naudoja OpenID, leidžiančią vartotojams prisijungti prie to tinklalapio sistemos.

Kaip tai veikia?

1. Vartotojas užsiregistruoja OpenID tiekėjo sistemoje ir gauna OpenID identifikatorių:
   
   
2. Vartotojas ateina į tinklalapį ir OpenID prisijungimo laukelyje įveda savo OpenID identifikatorių:
   
   
3. Vartotojas perkeliamas į OpenID tiekėjo tinklalapį. Šiame etape vartotojas perkeliamas į savo OpenID teikėjo tinklalapį, kuriame jis patvirtina savo tapatybę (pvz.: slaptažodžiu ar kitomis saugumo priemonėmis):
   
   
   Jei vartotojas prie tinklalapio jungiasi pirmą kartą, paprašoma patvirtinimo, jog leidžiama tinklalapiui perduoti prašomus duomenis apie vartotoją:
   
   
4. Vartotojas prijungiamas prie tinklalapio, perduodami duomenys, kurių prašo tinklalapis, vartotojas perkeliamas į tinklalapį jau kaip prisijungęs vartotojas.
5. Jei vartotojas prie tinklalapio prisijungia pirmą kartą ir jam reikia užpildyti papildomus duomenis ar patvirtinti tuos, kuriuos tinklalapis gavo iš OpenID tiekėjo, vartotojo paprašoma tai padaryti.
6. Vartotojas naudojasi tinklalapio funkcijomis, skirtomis registruotiems vartotojams:
   
   

Saugumas

    Kai kurie skeptikai teigia, jog OpenID turi saugumo pažeidžiamumų duomenų vagystės atžvilgiu. Vartotojas, įvedęs savo OpenID identifikatorių žalingame tinklalapyje gali būti perkeliamas ne į savo OpenID tiekėjo tinklalapį, bet į vizualiai panašų kenksmingą tinklalapį. Suvedęs savo prisijungimo duomenis vartotojas juos perduoda sukčiams.

    Tam, kad apsisaugoti nuo galimos duomenų vagystės, reikia rinktis patikimą ir saugų OpenID tiekėją ir naudotis jų siūlomais saugumo sprendimais (pvz.: asmeninė iliustracija, kuri rodoma prisijungus TIK prie tikrojo tinklalapio).

Kas plėtoja ir prižiūri OpenID standartą

    OpenID yra valdomas ir prižiūrimas OpenID fondo. Šio fondo tarybos nariai yra "Google", "Microsoft", "IBM", "Verisign", "Yahoo" ir kt. kompanijų atstovai.

Reziume

    Pastaruoju metu Internetas tampa vis atviresnis ir labiau orientuotas į vartotoją, jo poreikius, asmens duomenų apsaugą. OpenID neabejotinai prisidės prie šio veiksnio ir bus plačiai naudojamas kaip vartotojų tapatybės sistema. Tai patvirtina didžiausių informacinių technologijų kompanijų veiksmai: Google (turintiems tinklaraštį blogspot.com sistemoje) ir Yahoo jau įdiegė OpenID į savo servisus.

Naudingos nuorodos

Oficialus OpenID tinklalapis

OpenID tiekėjai:

OpenID.lt
Person.lt
Manoid.lt
MyOpenID.com

Lietuvos tinklalapiai, prie kurių galima prisijungti su OpenID:

CARDS.LT - elektroniniai atvirukai ir sveikinimai
Fotofabrikas.lt - skaitmeninės nuotraukos internetu
Skaityta.lt - knygų apžvalgos
Gute.lt - vaikiški rūbai
asmeniniai-finansai.lt