|
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410411412413414415416417418419420421422423424425426427428429430431432433434435436437438439440441442443444445446447448449450451452453454455456457458459460461462463464465466467468469470471472473474475476477478479480481482483484485486487488489490491492493494495496497498499500501502503 |
- <!doctype html>
- <html lang=fr>
- <head>
- <!-- Always define the charset before the title -->
- <meta charset=utf-8>
- <title>★ Comment utiliser OpenID, la solution d'identification tant attendue — Biologeek — David Larlet</title>
- <!-- Define a viewport to mobile devices to use - telling the browser to assume that the page is as wide as the device (width=device-width) and setting the initial page zoom level to be 1 (initial-scale=1.0) -->
- <meta name="viewport" content="width=device-width, initial-scale=1"/>
- <!-- Fake favicon, to avoid extra request to the server -->
- <link rel="icon" href="data:;base64,iVBORw0KGgo=">
- <link type="application/atom+xml" rel="alternate" title="Feed" href="/david/log/" />
- <link rel="manifest" href="/manifest.json">
-
- <link rel="stylesheet" href="/static/david/css/larlet-david-_J6Rv.css" data-instant-track />
-
- <noscript>
- <style type="text/css">
- /* Otherwise fonts are loaded by JS for faster initial rendering. See scripts at the bottom. */
- body {
- font-family: 'EquityTextB', serif;
- }
- h1, h2, h3, h4, h5, h6, time, nav a, nav a:link, nav a:visited {
- font-family: 'EquityCapsB', sans-serif;
- font-variant: normal;
- }
- </style>
- </noscript>
-
- <!-- Canonical URL for SEO purposes -->
- <link rel="canonical" href="https://larlet.fr/david/biologeek/archives/20070104-comment-utiliser-openid-la-solution-d-identification-tant-attendue">
-
- </head>
- <body>
- <div>
-
- <header>
- <nav>
- <p>
- <small>
- Je suis <a href="/david/" title="Profil public">David Larlet</a>, <a href="/david/pro/" title="Activité professionnelle">artisan</a> du web qui vous <a href="/david/pro/accompagnement/" title="Activité d’accompagnement">accompagne</a><span class="more-infos"> dans l’acquisition de savoirs pour concevoir des <a href="/david/pro/produits-essentiels/" title="Qu’est-ce qu’un produit essentiel ?">produits essentiels</a></span>. <span class="more-more-infos">Discutons ensemble d’une <a href="/david/pro/devis/" title="En savoir plus">non-demande de devis</a>.</span> Je partage ici mes <a href="/david/blog/" title="Expériences bienveillantes">réflexions</a> et <a href="/david/correspondances/2017/" title="Lettres hebdomadaires">correspondances</a>.
- </small>
- </p>
- </nav>
- </header>
-
-
- <section>
- <h1 property="schema:name">★ Comment utiliser OpenID, la solution d'identification tant attendue</h1>
- <article typeof="schema:BlogPosting">
- <div property="schema:articleBody">
- <img src="/static/david/biologeek/images/logos/open_id.png" alt="vignette" style="float:left; margin: 0.5em 1em;" property="schema:thumbnailUrl" />
- <p>Cela fait un moment que je suis ça de loin et la sauce est en train de prendre, <a href="http://programmation-python.org/sections/blog/2006_12_19_openid-systeme">Tarek en parlait d'ailleurs récemment</a>. <a href="http://openid.net/">OpenID</a> permet de s'identifier via une simple <abbr title="Uniform Resource Locator">URL</abbr> sans pour autant être tributaire d'un service puisque vous pouvez avoir votre propre serveur gérant cette identité. Actuellement il y en a 4 « officiellement reconnus » mais rien ne vous empêche de créer le votre et mon petit doigt me dit qu'il ne va pas tarder à y en avoir à foison.</p>
-
- <h2>Comment créer un compte OpenID ?</h2>
-
- <p>Je donne ici la solution simple, celle ne nécessitant pas de serveur particulier. Si vous êtes déjà identifiés sur l'un des sites suivants (<a href="http://www.livejournal.com/">LiveJournal</a>, <a href="http://www.vox.com/">Vox</a> ou <a href="http://pip.verisignlabs.com/">VeriSign Labs</a>), autant utiliser votre compte sinon je préconise <a href="http://www.myopenid.com/">MyOpenID</a> qui me semble plus « libre » et sur lequel j'ai créé mon OpenID très facilement.</p>
-
- <p>Peu d'informations sont demandées et vous pouvez vous identifier sans adresse email. En gros un nom/pseudo est suffisant pour commencer, bien sûr vos informations personnelles peuvent ensuite être complétées et ne sont divulguées aux sites sur lesquels vous vous identifiez que si vous l'autorisez. Il est possible de créer des profils très simplement.</p>
-
- <h2>Comment avoir son propre domaine OpenID ?</h2>
-
- <p>Vous disposez maintenant d'une <abbr title="Uniform Resource Locator">URL</abbr> de la forme <a href="http://david.larlet.myopenid.com/">http://david.larlet.myopenid.com</a> dans mon cas par exemple. Si vous n'avez pas de page internet, vous pouvez utiliser cette adresse pour vous identifier. Si vous avez votre propre page/domaine, il est plus intéressant de pouvoir vous identifier avec votre propre adresse, par exemple <a href="http://larlet.fr/">http://larlet.fr</a> dans mon cas puisque j'ai décidé que ce serait mon identité numérique sur internet.</p>
-
- <p>Rien de plus simple, il suffit d'ajouter deux lignes dans l'entête de votre page (entre <head> et </head>) de la forme :</p>
-
- <pre><link rel="openid.server" href="http://<strong>serveur_OpenID</strong>" />
- <link rel="openid.delegate" href="http://<strong>identifiant_OpenID</strong>/" /></pre>
-
- <p>avec <strong>serveur_OpenID</strong> qui est le serveur fournit par votre site d'authentification :</p>
-
- <ul>
- <li>LiveJournal : http://www.livejournal.com/openid/server.bml</li>
- <li>Vox : http://www.vox.com/services/openid/server</li>
- <li>VeriSign : https://pip.verisignlabs.com/server</li>
- <li>MyOpenID : http://www.myopenid.com/server</li>
- </ul>
-
- <p>et <strong>identifiant_OpenID</strong> votre <abbr title="Uniform Resource Locator">URL</abbr> identifiante.</p>
-
- <p>soit dans mon cas :</p>
-
- <pre><link rel="openid.server" href="http://www.myopenid.com/server" />
- <link rel="openid.delegate" href="http://david.larlet.myopenid.com/" /></pre>
-
- <p>L'avantage de cette redirection est que vous pouvez changer de fournisseur d'identité sans conséquence si vous avez un problème avec l'actuel. En revanche, la page qui est pointée doit être stable. A priori si vous avez votre propre domaine, vous agissez en personne responsable.</p>
-
- <h2>Sur quels sites utiliser OpenID ?</h2>
-
- <p>Le problème d'une technologie « émergente » est qu'elle n'est pas disponible partout à un instant t donc autant le dire tout de suite, peu de sites proposent aujourd'hui de telles manières de s'identifier. Vous trouverez la liste la plus complète sur le <a href="http://openid.net/">site officiel d'OpenID</a> ou <a href="http://del.icio.us/tag/openidconsumer">via le tag openidcustomer sur del.icio.us</a> ou <a href="https://www.myopenid.com/directory">sur MyOpenID</a> directement.</p>
-
- <p>Pour en citer quelques uns : <a href="http://ma.gnolia.com/signin">Ma.gnolia</a>, <a href="http://beta.zooomr.com/login">Zooomr</a> ou <a href="http://wikitravel.org/en/Special:OpenIDLogin">WikiTravel</a> proposent ce type d'identification.</p>
-
- <h2>Créer son propre fournisseur d'identité OpenID</h2>
-
- <p>Je vous renvoi directement à <a href="http://www.intertwingly.net/blog/2007/01/03/OpenID-for-non-SuperUsers#MasterOfYourDomain">la bonne partie du post de Sam Ruby</a> car je n'ai pas encore testé, je n'ai aucune idée de ce que ça peut donner niveau charge ça doit pas être très violent, peut-être que la freebox pour faire l'affaire à l'occasion.</p>
-
- <h2>Utiliser OpenID pour son blog</h2>
-
- <p>Bien sûr le rêve de tout blogueur c'est de ne plus avoir de spam. C'est aussi le but de cette identification... à condition d'avoir rendue possible l'identification via OpendId. Actuellement je ne crois pas que les différents outils de blog proposés en donnent la possibilité, la seule page que je connaisse relative à son implémentation est celle de django, donc si vous avez votre <a href="http://kib2.webfactional.com/">blog déjà</a> <a href="http://aon.shortbrain.org/">sous django</a> (bientôt, bientôt...), n'hésitez pas à lire la page <a href="http://code.djangoproject.com/wiki/CookBookShortcutsOpenIDAuthentication">OpenID Authentication</a> qui donne la solution quasiment clés en main.</p>
-
- <p>Pour les autres plateforme de blogs, n'hésitez pas à mettre des liens vers les ressources en commentaires, je suis assez peu ces développements là. <a href="http://www.openidenabled.com/openid/libraries">Des bibliothèques sont disponibles sur le site OpenIDEnabled</a>.</p>
-
- <h2>Ressources</h2>
-
- <p>Principalement le post de Simon Willison : <a href="http://simonwillison.net/2006/Dec/19/openid/">How to turn your blog in to an OpenID</a> ainsi que <a href="http://simonwillison.net/2006/openid-screencast/">le screencast associé</a> (très compréhensible) ainsi que l'article <a href="http://www.intertwingly.net/blog/2007/01/03/OpenID-for-non-SuperUsers">OpenID for non-SuperUsers</a> de Sam Ruby. Ces sites utilisent bien sûr OpenID pour l'identification dans leur commentaires.</p>
-
- <p><strong>[edit du 5]</strong> : je viens de tomber sur la traduction du billet de Simon Willison : <a href="http://xtof.livejournal.com/3305.html">Comment transformer votre blog en une OpenID ?</a></p>
-
- <p><strong>[edit du 8]</strong> : ça bouge encore du côté de Django avec <a href="http://trac.nicolast.be/djangoid/">DjangoID</a> :</p>
-
- <blockquote><p>DjangoID is a Django-based OpenID server. It allows you to host your own (or someone else's) OpenID identity.</p></blockquote>
-
- <p>Et <a href="http://www.b-list.org/weblog/2007/01/08/openid-delegation-under-django-and-lighttpd">James en remet une couche</a>.</p>
- </div>
- </article>
- <footer>
- <h6 property="schema:datePublished">— 04/01/2007</h6>
- </footer>
- </section>
- <section>
- <div>
- <h3>Articles peut-être en rapport</h3>
- <ul>
- <li><a href="/david/biologeek/archives/20070418-myopenid-propose-des-solutions-interessantes-contre-le-phishing/" title="Accès à myOpenID propose des solutions intéressantes contre le phishing">myOpenID propose des solutions intéressantes contre le phishing</a></li>
- <li><a href="/david/biologeek/archives/20091202-discussions-sur-les-applications-web-libres/" title="Accès à ★ Discussions sur les applications web libres">★ Discussions sur les applications web libres</a></li>
- <li><a href="/david/biologeek/archives/20080907-pourquoi-avoir-peur-de-google/" title="Accès à ★ Pourquoi avoir peur de Google ?">★ Pourquoi avoir peur de Google ?</a></li>
- </ul>
- </div>
- </section>
- <section>
- <div id="comments">
- <h3>Commentaires</h3>
-
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">NiCoS</span> le <span class="comment-date" property="schema:commentTime">04/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Intéressant tout ça - merci pour ce résumé :-)</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">giz404</span> le <span class="comment-date" property="schema:commentTime">04/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Encore un très bon article ! Voilà qui me simplifie la vie en présentant clairement openID, un projet que je ne suivais que distraitement.</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Bader</span> le <span class="comment-date" property="schema:commentTime">04/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>L'initiative OpenID est notable car il semble que c'est le seul SSO qui a l'air d'être adopté par la communauté Web. (Liberty Alliance SSO, autre SSO libre n'a pas pris, ni les autres SSO.)<br />
- C'est également un protocole se basant sur l'architecture REST , donc très simple à mettre en place dans des applications web !<br />
- <br />
- OpenID est déjà supporté par 2 plugins wordpress: <a href="http://verselogic.net/projects/wordpress/wordpress-openid-plugin/" title="http://verselogic.net/projects/wordpress/wordpress-openid-plugin/" rel="nofollow">verselogic.net/projects/w...</a> et <a href="http://the-notebook.org/12/01/2006/openid-comments-for-wordpress/" title="http://the-notebook.org/12/01/2006/openid-comments-for-wordpress/" rel="nofollow">the-notebook.org/12/01/20...</a><br />
- <br />
- Malheureusement il existe actuellement un problème intrinsèque de sécurité avec OpenID. En effet le site sur lequel vous vous logguerez avec OpenID aura toute latitude pour faire ce qu'il veut sur le serveur OpenID et tous les autres sites surlequel vous êtes connecté en OpenID.<br />
- Exemple concret:<br />
- 1) je me logge sur monblog.fr en OpenID<br />
- 2) je visite un blog mechant-pira.te dans lequel je poste un commentaire en utilisant mon identité OpenID<br />
- 3) le blog en question utilise mon identification pour modifier mon mot de passe sur monblog.fr et y faire plein de betises !<br />
- Pour plus d'infos cherchez: openid phishing sur votre moteur de recherche préféré</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Simon Rozet</span> le <span class="comment-date" property="schema:commentTime">05/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Salut David,<br />
- <br />
- J'avais déjà lu les originaux, mais je pense qu'une version française est réellement un plus :-)<br />
- <br />
- Au passage, un lien est passé il y a quelque temps sur PlanetRDF donnant un moyen d'utiliser OpenID avec son FOAF : <a href="http://geospatialsemanticweb.com/2006/10/25/openid-for-the-semantic-web" title="http://geospatialsemanticweb.com/2006/10/25/openid-for-the-semantic-web" rel="nofollow">geospatialsemanticweb.com...</a><br />
- <br />
- Je ne suis pas tout à fait satisfait du résultat, mais c'est déjà ca.</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Pierre-Luc Daoust</span> le <span class="comment-date" property="schema:commentTime">05/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Il existe des plugins pour Wordpress qui rendent possible l'intégration de OpenID. J'en ai installé un, et ça marche vraiment bien. Aucune modification à faire à l'interface graphique, tout se joue dans la page d'identification.</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Yann</span> le <span class="comment-date" property="schema:commentTime">05/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Excellent article ! Ca résume parfaitement tout ce qui se raconte en ce moment sur OpenID. A garder dans les bookmarks ! ;)<br />
- <br />
- Bader > J'ai tendance à être paranoïaque et je ne comprends pas ta démonstration du problème de sécurité d'OpenID... J'aimerais bien que tu développes... Cela dit, je te remercie pour les liens vers les plugins WordPress ! :)<br />
- Il faut que j'étudie ça...</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">vincent</span> le <span class="comment-date" property="schema:commentTime">05/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Très intéressant ! Je vais chercher du côté du module de développement python un de ces quatres pour voir :D<br />
- <br />
- Et du coup que je refais 'encore' mon site avec django (c'est la 4ème fois, plus ça va, mieux ça va, m'enfin :D) je vais tester ça :D</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Thomas</span> le <span class="comment-date" property="schema:commentTime">05/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Merci David, j'avais lu le post de Tarek, mais je n'avais donné suite, cependant là je vais regarder ça de plus prêt.</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Misdre</span> le <span class="comment-date" property="schema:commentTime">06/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Merci pour ce billet sur OpenId ^^ J'étais en train de réfléchir à "l'identification en ligne" et plus spécifiquement à FOAF...<br />
- jusqu'à songer à un profil FOAF que l'on gérerait de chez nous, et qui pourrait être fourni à n'importe quel site lors de la création d'un compte, et servant également à s'identifier.. de même lorsque l'on poste un message sur un blog, ou ailleurs. On pourrait alors, en plus, avoir un moyen de retrouver ses propres participations sur le web, là où à chaque fois le profil FOAF a été utilisé...<br />
- <br />
- Enfin, je dis sans doute n'importe quoi. Je vais jeter un oeil du côté d'OpenId !</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Bader</span> le <span class="comment-date" property="schema:commentTime">06/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>@Yann<br />
- Je réexplique peut-être plus clairement le problème de sécurité.<br />
- Lorsque tu te logges sur un blog A tu utilises ton compte sur un autre site B. Ce qui fait que tu es loggé sur B. Donc si B est ton blog, le blog A vient d'être mis au courant que tu es loggé (ton navigateur) sur B. De ce fait, il connait le logiciel utilisé car il le connait vu qu'il a réalisé l'authentification et donc a obtenu l'identification de B. A peut donc utiliser ton navigateur loggé (grace au cookie) pour faire ce qu'il veut sur B.<br />
- Autre cas, là il s'agit de spoof. Tu arrives sur A qui te présente une authentification OpenID. Tu n'es pas encore loggé, tu entres tes informations personnelles en pensant que A t'as bien orienté sur B. Or A a très bien pu te présenter une page de log qui n'est pas celle de B et ainsi A récupère ton login et mot de passe.<br />
- La documentation bien plus précise est disponible sur le web, il suffit de chercher: "openid security issue" ou "openid spoof"</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">NiCoS</span> le <span class="comment-date" property="schema:commentTime">08/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>J'étais un peu sceptique sur le système mais avec les propos de Bader sur la partie phishing et sécurité, j'avoue être encore plus sceptique.<br />
- <br />
- Je reconnais néanmoins à la solution le mérite d'exister et peut-être suffit-il qu'elle gagne un peu plus en maturité.<br />
- <br />
- Pour les afficionados de Django/Lighttpd/OpenID, il y a cette entrée qui devrait vous intéresser : <a href="http://www.b-list.org/weblog/2007/01/08/openid-delegation-under-django-and-lighttpd" title="http://www.b-list.org/weblog/2007/01/08/openid-delegation-under-django-and-lighttpd" rel="nofollow">www.b-list.org/weblog/200...</a></p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">David, biologeek</span> le <span class="comment-date" property="schema:commentTime">08/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>@Simon : merci.<br />
- <br />
- @Bader : je vais me renseigner là-dessus, ça me parait trop énorme pour être possible.<br />
- <br />
- @NiCoS : c'était déjà rajouté en edit ;-).</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">NiCoS</span> le <span class="comment-date" property="schema:commentTime">08/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Oups, j'avais pas vu :-)</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Biologeek : Ubuntu, bio-informatique et geekeri...</span> le <span class="comment-date" property="schema:commentTime">09/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <!-- TB -->
- <p><strong>OpenId et phishing sont dans un bateau...</strong></p>
- <p>Suite aux commentaires de Bader relatifs aux problèmes de phishing, je me suis renseigné et je pense qu'il est nécessaire de mettre en garde les lecteurs un peu trop emballés par le premier billet. Il existe clairement un risque...</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Eric Daspet</span> le <span class="comment-date" property="schema:commentTime">09/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Désolé Bader, j'ai du mal à voir.<br />
- <br />
- Je pars de la seule hypothèse que tu as une confiance dans ton provider openid et que cette confiance est légitime.<br />
- <br />
- Tu as deux problèmes : le pishing et les CSRF.<br />
- <br />
- Pishing ?<br />
- Un site te redirige vers un tiers qui fait semblant d'être ton provider, en espérant que tu t'y identifies. On se retrouve dans un cas de pishing on ne peut plus classique, comme certains tenteront de le faire avec ta banque. Openid n'y change rien, ni en mieux ni en moins bien. A toi de toujours vérifier l'url et le ssl avant de t'identifier quelque part. Ca vaut pour openid, pour ta banque et finalement où que ce soit sur Internet, openid ou non.<br />
- <br />
- CSRF ?<br />
- La là menace est plus réelle car le problème ne vient pas de l'utilisateur, il vient des sites que potentiellement tu utilises. CSRF c'est un site vilain.com qui te renvoie via un formulaire ou un lien vers un site à toi (monsiteamoi.com), en tentant de te faire faire une action dangereuse.<br />
- Ce n'est pas spécifique à OpenId. Prend vilain.com, construits y une requête qui va effacer les 100 premiers mails du compte gmail et fais la lancer par ton visiteur. Le seul truc important pour que ça fonctionne c'est que tu sois identifié sur gmail. Que ce soit avec OpenId ou un login propre n'y change rien. En ciblant gmail j'ai de bonne chances de réussites (beaucoup de gens sous gmail, et une bonne chance qu'ils soient déjà identifiés)<br />
- Heureusement mon exemple avec gmail ne fonctionne pas. Justement parce que la problématique n'est pas nouvelle. Gmail vérifie l'entête "referer" du navigateur pour retirer les tentatives les plus flagrantes, puis il impose la présence d'un jeton spécifique dans l'url : aléatoire et différent à chaque connexion. Celui qui construit le lien ou la requête de suppression ne connait pas ce jeton (et n'a aucun moyen de le connaitre, openid ou non), la requête sera ignorée car considérée comme "fausse"<br />
- Pour que CSRF fonctionne il faut donc une faille de sécurité ou au moins une imprudence de la part du site ciblé. Si c'est un gros site il y a de bonnes chances pour que ce genre d'erreur soit déjà comblé, parce que les attaques par CSRF n'ont pas attendu openid. Si c'est une petite application perso qui est ciblée (genre mon forum perso ou mon moteur de blog perso) il y a plus de chance que j'y sois sensible, mais ça veut dire aussi que la personne qui a fait l'attaque l'a faite expressément pour moi. Et dans ce cas il n'a pas besoin d'openid pour faire tout ça, il a juste à trouver un moment où je suis probablement identifié sur l'application cible.<br />
- <br />
- Non, franchement, ces problématiques sont à prendre en compte, elles sont à connaitre vis à vis du fonctionnement d'openid, mais openid lui même ne créé aucun risque supplémentaire.<br />
- Je dirai même que pour peu qu'on s'identifie au préalable sur le provider openid (au lieu d'attendre de s'y faire rediriger pour s'identifier), il devient assez complexe de faire du pishing. <br />
- Et si vous craignez CSRF, demandez à votre provider une validation manuelle de chaque demande d'identification (pas en resaisissant les mots de passe mais juste en cliquant sur "oui je veux m'identifier sur xxx"), ça limitera les effets du "tu es identifié chez moi donc tu l'es automatiquement ailleurs aussi". Tous les providers que j'ai vu proposent la chose.<br />
- où te rediriger vers un site où tu as un compte, et qu'il te fasse faire quelque chose de gênant.<br />
- Pour que ça fonctionne il faut qu'il y ait une faille de </p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Amaury</span> le <span class="comment-date" property="schema:commentTime">15/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>J'ai pas tout suivi dans la faille de sécurité qu'expose Bader, mais cependant j'ai une question semblable: qu'est-ce-qui empêche quelqu'un d'utiliser mon url d'OpenId ? pour peut qu'un site soit en "allow forever" cette personne peut usurper mon identité sans problème non ?</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Stéphane Bortzmeyer</span> le <span class="comment-date" property="schema:commentTime">19/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Amaury (#15) : "Qu'est-ce-qui empêche quelqu'un d'utiliser mon url d'OpenId ?"<br />
- <br />
- Je pense que rien ne l'empêche. Comme rien n'empêche le gérant d'un blog de présenter un fil de discussions avec des commentaires dont il affirme qu'il ont été écrits par "Jacques Chirac" ou "Un expert" ou "<a href="https://bortzmeyer.myopenid.com/" title="https://bortzmeyer.myopenid.com/" rel="nofollow">bortzmeyer.myopenid.com/</a>" (attention, les URL sont massacrés par le moteur de blog, c'était mon URL OpenID [David : ok, corrigé.]). <br />
- <br />
- (Alors que le méchant a tout fabriqué lui-même.)<br />
- <br />
- En d'autres termes, si on ne fait pas confiance au blog en question, on ne fait pas confiance aux URL OpenID qu'il affiche.<br />
- <br />
- <br />
- </p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Amaury</span> le <span class="comment-date" property="schema:commentTime">19/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>ok, je comprends mieux</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">DevBlog</span> le <span class="comment-date" property="schema:commentTime">22/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <!-- TB -->
- <p><strong>OpenID Delegation</strong></p>
- <p>Après une plongée profonde dans l'univers de openID, voici un premier plugin qui implémente ces spécifications. Ce plugin vous permet de définir les tags nécessaires à l'utilisation de l'URL de votre blog comme identifiant OpenID. Une meilleur</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Stéphane Bortzmeyer</span> le <span class="comment-date" property="schema:commentTime">23/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>D'ailleurs, ce serait bien de permettre l'authentification OpenID sur ce blog :-)<br />
- </p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">David, biologeek</span> le <span class="comment-date" property="schema:commentTime">23/01/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>C'est prévu pour la prochaine version ;-).</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Idée contre phishing</span> le <span class="comment-date" property="schema:commentTime">24/03/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Si j'ai bien compris ce qu'est un OpenID il suffit juste de son adresse URL + login pour se connecter aux sites qui proposent. Il n'y a donc pas de changement de ce côté là en terme de sécurité par rapport aux sites auquel on se connecte tout les jours... sauf que là toutes les infos sont centralisés au meme endroit, donc risqué en cas d'intrusion. Une solution serait de renforcer cela par un système comme le propose les banques, je travaille en Lituanie et oui ici le système bancaire est bien plus sécurisé qu'en France - c'est à dire avoir un certificat en plus enregistré sur son PC ou un login aléatoire mais qui se tape sur un clavier à l'écran... sinon trop risqué à mon gout... Je vois qu'il y a un site OpenID français : OpenID France ==> <a href="http://www.openidfrance.fr/" title="http://www.openidfrance.fr/" rel="nofollow">www.openidfrance.fr/</a> je voulais tester mais on peu pas encore : dommage ! :( faut encore attendre... David</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">David, biologeek</span> le <span class="comment-date" property="schema:commentTime">28/03/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Le problème du phishing est dans la redirection effectuée vers le serveur OpenId. Il n'existe pas à ce jour de solution pour contrer ça, si ce n'est l'absence de redirection, ce qui nécessite que l'utilisateur tape l'adresse de lui-même pour s'enregistrer, ce qui n'est pas envisageable car trop contraignant...</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Nicofrand's blog</span> le <span class="comment-date" property="schema:commentTime">02/05/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <!-- TB -->
- <p><strong>To be (a web identity) or not to be... That is the question</strong></p>
- <p>J'ai découvert assez récemment seulement le concept d'identité sur le web, par un billet sur Biologeek parlant d'OpenID...</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">yjoyeux</span> le <span class="comment-date" property="schema:commentTime">08/09/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Bonjour,<br />
- <br />
- Pour ceux qui chercherais un serveur openid français, je vous propose <a href="http://www.getmyopenid.com/" title="http://www.getmyopenid.com/" rel="nofollow">www.getmyopenid.com/</a> basée sur le framework Joomla.<br />
- <br />
- C'est un service gratuit, profitez-en !<br />
- <br />
- <a href="http://www.getmyopenid.com/yjoyeux" title="http://www.getmyopenid.com/yjoyeux" rel="nofollow">www.getmyopenid.com/yjoye...</a></p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Toff</span> le <span class="comment-date" property="schema:commentTime">30/12/2007</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Bader t'es sur de toi ?<br />
- j'aimerai bien que Stéphane Bortzmeyer confirme tes dires<br />
- </p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Andlil</span> le <span class="comment-date" property="schema:commentTime">27/04/2009</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Alors sécurisé ou pas ?</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">Deedigit</span> le <span class="comment-date" property="schema:commentTime">10/06/2010</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Joomla a intégré openid depuis un bon moment, tout comme la possibilité de se connecter a travers un compte gmail ou un annuaire ldap ;-)</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">free coloring pages</span> le <span class="comment-date" property="schema:commentTime">02/08/2010</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>Merci pour les bonnes idées, je vais donner LiveJournal, Vox ou VeriSign Lab un essai à l'aide de vos conseils.</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">informatique Grenoble</span> le <span class="comment-date" property="schema:commentTime">09/04/2011</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>merci pour cet article</p>
-
- <p>il date un peu aussi qu'en est il aujourdh'ui de ce type de solution : sécurité, liberté d'utilisation …</p>
-
- <p>quelles sont les meilleures solutions ?</p>
-
- <p>merci par avance</p>
-
- <p>Cordialement,</p>
-
- <p>Sébastien</p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">site bio</span> le <span class="comment-date" property="schema:commentTime">19/04/2011</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>merci pour cet article<br />par contre j'ai essayé de m'inscrire sur myopenID pour mon site de produits bio mais une fois mon inscription validée quand j'essaye de me loguer il me renvoie à la page d'acceuil sans aucun message</p>
-
- <p></p>
- </div>
- </div>
- <div class="comment" typeof="schema:UserComments">
- <p class="comment-meta">
- <span class="comment-author" property="schema:creator">serge-web54</span> le <span class="comment-date" property="schema:commentTime">14/09/2011</span> :
- </p>
- <div class="comment-content" property="schema:commentText">
- <p>j'ai bien lu ce que disent tous les intervenants , mais au niveau de sécurité c'est le cas de tous les systèmes ou tu te loggues en permanence ?(google /gamil, facebook etc)</p>
- </div>
- </div>
-
- </div>
- </section>
-
-
- <footer>
- <nav>
- <p>
- <small>
- Je réponds quasiment toujours aux <a href="mailto:david%40larlet.fr" title="Envoyer un email">emails</a> (<a href="/david/signature/" title="Ma signature actuelle avec possibilité de chiffrement">signés</a>) et vous pouvez me rencontrer à Montréal. <span class="more-infos">N’hésitez pas à <a href="/david/log/" title="Être tenu informé des mises à jour">vous abonner</a> pour être tenu informé des publications récentes.</span>
- </small>
- </p>
- </nav>
- </footer>
-
- </div>
-
- <script src="/static/david/js/larlet-david-3ee43f.js" data-no-instant></script>
-
- <script data-no-instant>InstantClick.init()</script>
-
- </body>
- </html>
|