davidbgk
/
larlet-fr-david
Watch 1
Star 0
Fork 0
Code Releases 0 Activity
Repository with sources and generator of https://larlet.fr/david/ https://larlet.fr/david/
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.
244 Commits
1 Branch
Tree: f16aada5e3
Branches Tags
${ item.name }
Create branch ${ searchTerm }
from 'f16aada5e3'
${ noResults }
larlet-fr-david/david/biologeek/archives/20090125-mieux-communiquer-.../comments.html

comments.html 11KB
Raw Blame History

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141 
  1. 

  2. <div class="comment" typeof="schema:UserComments">

  3.     <p class="comment-meta">

  4.         <span class="comment-author" property="schema:creator">NiKo</span> le <span class="comment-date" property="schema:commentTime">26/01/2009</span> :

  5.     </p>

  6.     <div class="comment-content" property="schema:commentText">

  7.         <p>Tu devrais nous écrire tout ça... en anglais.</p>

  8. 

  9. <p>Parce que c&#39;est juste essentiel ce que tu dis là.</p>

  10.     </div>

  11. </div>

  12. <div class="comment" typeof="schema:UserComments">

  13.     <p class="comment-meta">

  14.         <span class="comment-author" property="schema:creator">karl Dubost</span> le <span class="comment-date" property="schema:commentTime">26/01/2009</span> :

  15.     </p>

  16.     <div class="comment-content" property="schema:commentText">

  17.         <p>Je vais le traduire aujourd&#39;hui sauf si David me dit qu&#39;il l&#39;a déjà fait.</p>

  18.     </div>

  19. </div>

  20. <div class="comment" typeof="schema:UserComments">

  21.     <p class="comment-meta">

  22.         <span class="comment-author" property="schema:creator">Damien B</span> le <span class="comment-date" property="schema:commentTime">26/01/2009</span> :

  23.     </p>

  24.     <div class="comment-content" property="schema:commentText">

  25.         <p>&quot;Il n&#39;y a aucune notion de certification m&#39;assurant que cette adresse correspond à une personne donnée [...] cette problématique n&#39;est pas résolue par OpenID (du moins pour l&#39;instant).&quot;</p>

  26. 

  27. <p>Pour y arriver, il faudrait une vérification d&#39;identité ET faire confiance au fournisseur OpenID dans cette vérification d&#39;identité. Pour en arriver là, le plus simple est de jeter OpenID à la poubelle et faire une bonne vieille authentification par certificat :D</p>

  28. 

  29. <p>&quot;OAuth permet uniquement de gérer plus finement les accès à ses données sur un service.&quot;</p>

  30. 

  31. <p>Wo l&#39;aut&#39;, il essaie de nous faire croire que la gestion des autorisations est normalisée dans OAuth :-)</p>

  32.     </div>

  33. </div>

  34. <div class="comment" typeof="schema:UserComments">

  35.     <p class="comment-meta">

  36.         <span class="comment-author" property="schema:creator">David, biologeek</span> le <span class="comment-date" property="schema:commentTime">26/01/2009</span> :

  37.     </p>

  38.     <div class="comment-content" property="schema:commentText">

  39.         <p>@NiKo : mon niveau d&#39;anglais m&#39;interdit toute forme de publication sérieuse dans cette langue malheureusement... (et puis le but de ce blog c&#39;était aussi de pouvoir communiquer en français sur ce genre de problématiques).</p>

  40. 

  41. <p>@Karl Dubost : je ne l&#39;ai pas traduit, par contre c&#39;est vrai qu&#39;il y a quelques inexactitudes concernant la sécurité et OAuth, comme nous en discutons sur <a href="http://lists.w3.org/Archives/Public/public-social-web-talk/">http://lists.w3.org/Archives/Public/public-social-web-talk/</a> (mais tu dois être au courant ;-)).<br />Ma conclusion c&#39;est qu&#39;il y a en effet un gain au niveau sécurité en théorie mais dans les faits ce n&#39;est malheureusement pas le cas (en tout cas pour l&#39;instant).</p>

  42. 

  43. <p>@Damien B : ah, tes commentaires me manquaient !</p>

  44. 

  45. <p>&gt; il faudrait une vérification d&#39;identité ET faire confiance au fournisseur OpenID dans cette vérification d&#39;identité</p>

  46. 

  47. <p>Tout à fait, après peut-on faire confiance à des fournisseurs comme l&#39;état ou les communes par exemple ? (ça va dépendre des pays, etc bien sûr)</p>

  48. 

  49. <p>La méthode des certificats est intéressante (et je suis de près ce qui se fait avec FOAF+SSL) mais ça reste très geek. Est-ce que les clés PGP ont une chance d&#39;arriver à percer, je ne pense pas et c&#39;est un peu la même chose là... enfin ça dépend de l&#39;évolution des navigateurs en parallèle aussi.</p>

  50. 

  51. <p>&gt; il essaie de nous faire croire que la gestion des autorisations est normalisée dans OAuth</p>

  52. 

  53. <p>En effet, ça dépend de l&#39;implémentation que l&#39;on en fait, d&#39;où le nombre d&#39;extensions qui fleurissent pour spécifier quelles ressources sont concernées, etc. Note que c&#39;est un peu mieux précisé dans la spec IETF:<br /><a href="http://oauth.googlecode.com/svn/spec/core/IETF/drafts/1/draft-hammer-oauth-00.txt">http://oauth.googlecode.com/svn/spec/core/IETF/drafts/1/draft-hammer-oauth-00.txt</a></p>

  54. 

  55. <p>o  The Service Provider presents to the User information about the<br />      Consumer requesting access (as registered by the Consumer<br />      Developer).  The information includes the duration of the access<br />      and the Protected Resources provided.  The information MAY include<br />      other details specific to the Service Provider.</p>

  56. 

  57. <p>Mais ça reste bien flou :-)</p>

  58.     </div>

  59. </div>

  60. <div class="comment" typeof="schema:UserComments">

  61.     <p class="comment-meta">

  62.         <span class="comment-author" property="schema:creator">Neovov</span> le <span class="comment-date" property="schema:commentTime">26/01/2009</span> :

  63.     </p>

  64.     <div class="comment-content" property="schema:commentText">

  65.         <p>Merci beaucoup David, je vais mettre à jour mon dossier sur l&#39;identité numérique ;-) .</p>

  66. 

  67. <p>Par contre, je vois mal l&#39;état ou les communes comme Provider ou même une initiative permettant de certifier une identité… Une bonne alternative serait les FAI, qui eux ont au moins la certitude qu&#39;on est la personne qu&#39;on prétend être (ils ont des coordonnées bancaires et postales quand même). Mais ça pose d&#39;autres problématiques…</p>

  68. 

  69. <p>Par contre pour OAuth, en quoi ce n&#39;est pas si sécurisé que ça ? Parce que les consumers ne précisent pas les données qu&#39;ils vont utiliser ?</p>

  70.     </div>

  71. </div>

  72. <div class="comment" typeof="schema:UserComments">

  73.     <p class="comment-meta">

  74.         <span class="comment-author" property="schema:creator">karl Dubost</span> le <span class="comment-date" property="schema:commentTime">26/01/2009</span> :

  75.     </p>

  76.     <div class="comment-content" property="schema:commentText">

  77.         <p>Et voila, tu peux en faire ce que tu veux :)<br /><a href="http://www.la-grange.net/2009/01/26/openid-oauth">http://www.la-grange.net/2009/01/26/openid-oauth</a></p>

  78.     </div>

  79. </div>

  80. <div class="comment" typeof="schema:UserComments">

  81.     <p class="comment-meta">

  82.         <span class="comment-author" property="schema:creator">Damien B</span> le <span class="comment-date" property="schema:commentTime">27/01/2009</span> :

  83.     </p>

  84.     <div class="comment-content" property="schema:commentText">

  85.         <p>@David<br />&quot;Est-ce que les clés PGP ont une chance d&#39;arriver à percer&quot;</p>

  86. 

  87. <p>Non, c&#39;est du décentralisé :)</p>

  88. 

  89. <p>&quot;Note que c&#39;est un peu mieux précisé dans la spec IETF&quot;</p>

  90. 

  91. <p>&quot;draft-00.txt&quot;, ah ouais, ça fouette :) &quot;The information MAY include other details &quot; : oh, c&#39;est précis comme une spécification de µFormat.</p>

  92.     </div>

  93. </div>

  94. <div class="comment" typeof="schema:UserComments">

  95.     <p class="comment-meta">

  96.         <span class="comment-author" property="schema:creator">David, biologeek</span> le <span class="comment-date" property="schema:commentTime">27/01/2009</span> :

  97.     </p>

  98.     <div class="comment-content" property="schema:commentText">

  99.         <p>@Neovov : oui les deux autres entités que je vois qui pourraient avoir un rôle à jouer sont les banques et les fai, mais ça pose d&#39;autres problèmes et je ne vois pas pourquoi l&#39;état, qui nous représente déjà, ne pourrait pas certifier notre statut de citoyen du net (en théorie en tout cas, après vu l&#39;inertie c&#39;est pas près d&#39;arriver...).</p>

  100. 

  101. <p>&gt; Par contre pour OAuth, en quoi ce n&#39;est pas si sécurisé que ça ? Parce que les consumers ne précisent pas les données qu&#39;ils vont utiliser ?</p>

  102. 

  103. <p>Comme le soulignait Damien, la spec est très imprécise à ce niveau, le service provider peut faire ce qu&#39;il veut : d&#39;un gros bouton qui signifie &quot;Donner toutes mes données en lecture/écriture à untel&quot; à une gestion beaucoup plus fine par ressource. Bon en 1.0, tu n&#39;as pas la possibilité non plus de spécifier en tant que consumer à quelles ressources est-ce que tu veux accéder (du moins de manière standard) ce qui est clairement limitant...</p>

  104. 

  105. <p>Maintenant sur la sécurité, il y a du bon et du moins bon. En fait, ça dépend pas mal du niveau des utilisateurs de ton appli. S&#39;ils savent détecter un hameçonnage (phishing), alors OAuth est vraiment mieux. Sinon ça laisse toujours ta porte grande ouverte (comme l&#39;était la demande de login/pass) mais tes fenêtre sont mieux renforcées (youpi).</p>

  106. 

  107. <p>@karl Dubost : merci ! Bon je sais pas quoi en faire du coup :p<br />Soit je la met à la suite du billet actuel, soit je fais un lien vers la-grange, ce que j&#39;ai commencé à faire, mais il va falloir nettoyer un poil plus le html (au moins le title et les liens).</p>

  108. 

  109. <p>@Damien B : En même temps il faut reconnaître que c&#39;est pas évident à spécifier non plus si tu veux rester assez générique.&lt;/avocatdudiable&gt;</p>

  110.     </div>

  111. </div>

  112. <div class="comment" typeof="schema:UserComments">

  113.     <p class="comment-meta">

  114.         <span class="comment-author" property="schema:creator">Clément</span> le <span class="comment-date" property="schema:commentTime">05/02/2009</span> :

  115.     </p>

  116.     <div class="comment-content" property="schema:commentText">

  117.         <p>De mon point de vue l&#39;avantage qu&#39;apporte la &quot;méthode&quot; d&#39;authentification Oauth en terme de sécurité est qu&#39;elle certifie à l&#39;utilisateur que ses identifiants permettant de se connecter au service auquel il souhaite accéder ne pourront pas être interceptés par l&#39;application tierce à partir de laquelle il agit.</p>

  118.     </div>

  119. </div>

  120. <div class="comment" typeof="schema:UserComments">

  121.     <p class="comment-meta">

  122.         <span class="comment-author" property="schema:creator">akaj</span> le <span class="comment-date" property="schema:commentTime">09/03/2009</span> :

  123.     </p>

  124.     <div class="comment-content" property="schema:commentText">

  125.         <p>Tu veux pas donner ton mot de passe et ton login à un service tiers mais tu veux bien faire certifier ton identité sur le net par l&#39;état... J&#39;ai l&#39;impression que cela va donner lieu à divers vagues problèmes sur la vie privée mais bon.</p>

  126. 

  127. <p>merci encore pour tous ces postes qui me rassure.</p>

  128.     </div>

  129. </div>

  130. <div class="comment" typeof="schema:UserComments">

  131.     <p class="comment-meta">

  132.         <span class="comment-author" property="schema:creator">Boboss</span> le <span class="comment-date" property="schema:commentTime">11/01/2012</span> :

  133.     </p>

  134.     <div class="comment-content" property="schema:commentText">

  135.         <p>Twitter utilise exclusivement OAuth pour ses API depuis le 31 août 2010.</p>

  136. 

  137. <p><a href="https://dev.twitter.com/docs/auth">https://dev.twitter.com/docs/auth</a></p>

  138. 

  139. <p>=)</p>

  140.     </div>

  141. </div>