Repository with sources and generator of https://larlet.fr/david/ https://larlet.fr/david/
您最多选择25个主题 主题必须以字母或数字开头,可以包含连字符 (-),并且长度不得超过35个字符

article.md 3.6KB

title: Mieux communiquer sur OpenID et OAuth slug: mieux-communiquer-sur-openid-et-oauth date: 2009-01-25 13:45:57 type: post vignette: images/logos/twitter.png contextual_title1: Son propre TinyURL en Python et HTML5 avec webpy contextual_url1: 20090221-son-propre-tinyurl-en-python-et-html5-avec-webpy contextual_title2: ★ Le Web Sémantique ou l'importance des données liées contextual_url2: 20081117-le-web-semantique-ou-limportance-des-donnees-liees contextual_title3: Différences entre identification, autorisation et authentification contextual_url3: 20080716-differences-entre-identification-autorisation-et-authentification

J’étais déjà passablement irrité par un commentaire de Sam Ruby, mais lorsque je lis de telles énormités je me sens obligé de réagir. Je ne vais pas énumérer point par point les incohérences déjà décrites par Stuart Dallas dans les commentaires mais plutôt essayer d’expliquer le plus simplement possible de quoi on parle.

[edit] : English readers, take a look at this excellent translation from Karl Dubost.

OpenID

Prenons le cas concret d’un blog. Lorsque vous utilisez OpenID, vous prouvez uniquement que la personne qui a laissé un commentaire avec une adresse donnée sera toujours la même. Il n’y a aucune notion de certification m’assurant que cette adresse correspond à une personne donnée (à part peut-être pour les geeks qui font de la délégation). Je peux très bien créer demain rantanplan.myopenid.net et me faire passer pour Rantanplan sans être Rantanplan donc cette problématique n’est pas résolue par OpenID (du moins pour l’instant).

OAuth

OAuth permet uniquement de gérer plus finement les accès à ses données sur un service. Ça laisse un plus grand contrôle mais n’augmente en aucun cas la sécurité. Si vous laissez accès à toutes vos données (et personne ne lit ces pages donc ça sera très facile, sinon personne ne laisserait son login/pass à un service tiers), on revient exactement au même problème, que ce soit Twitter ou autre.

Le seul vrai avantage d’OAuth est de permettre de supprimer des accès via le service contenant mes données. Par exemple pour Twitter, j’ai laissé Saloon2.0 accéder à mes billets, le service est racheté par LesDaltons, je peux supprimer le token d’accès via Twitter sans que les autres services utilisant mes données Twitter ne soient impactés (ce qui n’aurait pas été le cas si j’avais dû changer mon mot de passe utilisateur).

Le véritable contrôle de ses données et de son identité commence par l’éducation des utilisateurs, leur faire prendre conscience des problèmes et expliquer les solutions possibles. OpenID et OAuth ne sont pas des solutions miracles et il faut être conscient de leurs faiblesses et limitations pour pouvoir les utiliser à bon escient et communiquer efficacement sans énoncer des choses fausses à leur sujet.

Aller plus loin