(программистское)
Aug. 27th, 2011 05:51 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
jsnAm I missing something huge, or did Yahoo indeed went to great lengths to make their OpenID *and* OAuth support utterly useless (borderline harmful, in fact) for any purposes related to, eh, identification? It's called "Open *ID*", for Pete's sake. The consumer should be given an unique, recognizable, human readable identification name or URL or something. What they give you instead is a pair of Last name, First name (practically guaranteed to be non-unique, and user-editable anyway), and God-awful random token a few miles long, useless for every practical intent and purpose. No usable nickname, no profile link, no email, nothing. WTF were they thinking? So okay, OpenID was a damn mess to start with, but then they go ahead and implement the new shiny OAuth spec, hooray! Oh wait, here we go again: no nickname, no profile link, and an ugly useless random token. F-ng atrocious.
no subject
Date: 2011-08-28 07:10 pm (UTC)Я был уверен, что фейсбук поодерживает openid, но вы правы - он только consumer. Это эпичский фейл с их стороны, ПМСМ, причём совершенно не имеющий рационального обьяснения.
no subject
Date: 2011-08-28 07:39 pm (UTC)Представьте себе, что FB таки реализовал бы OpenID as THE way to authenticate FB users. Во-первых, каждый конзьюмер, желающий такой же степени удобства, как с OAuth/OG, должен был бы предоставлять для FB отдельный "nascar link", в терминологии OpenID. Во-вторых, всю информацию, которую FB желает отдавать конзьюмерам, им пришлось бы втискивать в AX attributes, которые нестандартны по определению -- то есть конзьюмерам пришлось бы всё равно делать отдельный протокол парсер под FB. On top of that, развитие Open Graph-а вело бы к непрерывной тасовке этого самого набора AX attributes, что сделало бы жизнь конзьюмеров совершенным адом. Наконец, для случаев, когда интеграция не сводится к передаче identity information, всё равно пришлось бы реализовывать OAuth, в дополнение к OpenID, и значительной части реальных конзьюмеров пришлось бы поддерживать одновременно два стандарта -- с соответствующими удобствами для пользователя (я не представляю себе, как это можно удобно сделать, не заставляя пользователя проходить повторную авторизацию для доступа к чему-либо кроме identity).
Словом, ну реально, это был бы сущий ад. OpenID реально совершенно не подходит для всех этих современных штук. OpenID относительно выносим для случаев, когда ничего, кроме identity в виде URL-а, вам не требуется -- ни аватара, ни имени, ни данных почитать, ничего. Такие случаи бывают, но они совершенно точно не исчерпывают все распространённые в наше время use case-ы.
no subject
Date: 2011-08-28 08:06 pm (UTC)Да, openid не покрывает advanced cases - но мой пойнт как раз в том, что 99% cases, которые я вижу - вовсе не advanced.
no subject
Date: 2011-08-28 08:16 pm (UTC)no subject
Date: 2011-08-28 08:30 pm (UTC)Это, ПМСМ, gaping security hole - доверять какому-то сайту постить от моего имени комментарии в фейсбуке. Потому как никакого способа сказать "этот комментарий можно, а остальные нельзя", натурально, нет. Т.е. теперь вопрос о появлении червяка, который утащит эти токены и устроит всем фейсбучникам много лулзов - это вопрос только "когда".
Ну и - это ведь уже далеко не identity, это write access. Это совершенно другой юзкейс.
no subject
Date: 2011-08-28 08:48 pm (UTC)Разумеется, это не identity. Интеграция с federated login в общем случае не сводится к identity. Which is exactly the point I'm trying to make.
Токены фейсбучные утекают регулярно, я полагаю. Фейсбуковская автоматика ловит, полагаю, такие случаи на взлёте и не вспотев. Но будут и fuck up-ы, чего ж. Не следует думать, что вовлечённые стороны не в курсе этого риска.