Repository with sources and generator of https://larlet.fr/david/ https://larlet.fr/david/
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

article.md 3.6KB

4 jaren geleden
12345678910111213141516171819202122232425262728293031323334
  1. title: Mieux communiquer sur OpenID et OAuth
  2. slug: mieux-communiquer-sur-openid-et-oauth
  3. date: 2009-01-25 13:45:57
  4. type: post
  5. vignette: images/logos/twitter.png
  6. contextual_title1: Son propre TinyURL en Python et HTML5 avec webpy
  7. contextual_url1: 20090221-son-propre-tinyurl-en-python-et-html5-avec-webpy
  8. contextual_title2: ★ Le Web Sémantique ou l'importance des données liées
  9. contextual_url2: 20081117-le-web-semantique-ou-limportance-des-donnees-liees
  10. contextual_title3: Différences entre identification, autorisation et authentification
  11. contextual_url3: 20080716-differences-entre-identification-autorisation-et-authentification
  12. J'étais déjà passablement irrité par [un commentaire de Sam Ruby](http://intertwingly.net/blog/2009/01/16/WHATWG-FAQ?#c1232798089), mais lorsque je lis [de telles énormités](http://www.readwriteweb.com/archives/why_twitters_new_oauth_matters.php) je me sens obligé de réagir. Je ne vais pas énumérer point par point les incohérences déjà décrites par [Stuart Dallas](http://stut.net/) dans les commentaires mais plutôt essayer d'expliquer le plus simplement possible de quoi on parle.
  13. **[edit]** : English readers, take a look at [this excellent translation from Karl Dubost](http://www.la-grange.net/2009/01/26/openid-oauth).
  14. ## OpenID
  15. Prenons le cas concret d'un blog. Lorsque vous utilisez **OpenID, vous prouvez uniquement que la personne qui a laissé un commentaire avec une adresse donnée sera toujours la même**. Il n'y a aucune notion de certification m'assurant que cette adresse correspond à une personne donnée (à part peut-être pour les geeks qui font de la délégation). Je peux très bien créer demain rantanplan.myopenid.net et me faire passer pour Rantanplan sans être Rantanplan donc cette problématique n'est pas résolue par OpenID (du moins pour l'instant).
  16. ## OAuth
  17. **OAuth permet uniquement de gérer plus finement les accès à ses données sur un service**. Ça laisse un plus grand contrôle mais n'augmente en aucun cas la sécurité. Si vous laissez accès à toutes vos données (et personne ne lit ces pages donc ça sera très facile, sinon personne ne laisserait son login/pass à un service tiers), on revient exactement au même problème, que ce soit Twitter ou autre.
  18. Le seul vrai avantage d'OAuth est de permettre de supprimer des accès via le service contenant mes données. Par exemple pour Twitter, j'ai laissé Saloon2.0 accéder à mes billets, le service est racheté par LesDaltons, je peux supprimer le token d'accès via Twitter sans que les autres services utilisant mes données Twitter ne soient impactés (ce qui n'aurait pas été le cas si j'avais dû changer mon mot de passe utilisateur).
  19. **Le véritable contrôle de ses données et de son identité commence par l'éducation des utilisateurs, leur faire prendre conscience des problèmes et expliquer les solutions possibles. OpenID et OAuth ne sont pas des solutions miracles et il faut être conscient de leurs faiblesses et limitations pour pouvoir les utiliser à bon escient et communiquer efficacement sans énoncer des choses fausses à leur sujet.**
  20. ### Aller plus loin
  21. * [Twitter and the Password Anti-Pattern](http://factoryjoe.com/blog/2009/01/02/twitter-and-the-password-anti-pattern/)
  22. * [OAuth, Phishing, and Twitter](http://blog.joncrosby.me/post/68470033/oauth-phishing-and-twitter)
  23. * [OAuth and Twitter: Realistic expectations](http://stut.net/blog/2009/01/24/oauth-and-twitter-realistic-expectations/) (découvert après la rédaction de ce billet en voulant faire un lien dans l'intro, dommage ça m'aurait épargné de la salive numérique ;-))