Что за штука… Browser ID? Интервью с создателем

a8de1fbdadb36eb3158b07ec25259f50

Как проще всего удостоверить свою личность в сети? Ответом готов стать BrowserlD, говорит Марко Фиоретти.

Что же за штука —BrowserlD?

BrowserlD (https://browserid.org/) —метод, представленный в июле 2011, который позволяет использовать адреса электронной почты для идентификации и регистрации на сайтах.

Так у нас это уже есть: сайт просит ввести электронный адрес, а затем отправляет сообщение с подтверждением.

Ан нет, с BrowserlD все будет гораздо проще и быстрее.

Что вы имеете в виду? Как это будет работать на практике?

Чтобы зарегистрироваться на сайте, поддерживающем BrowserlD, нужно будет всего лишь щелкнуть по кнопке Регистрация, а затем выбрать в меню желаемый адрес. Об остальном позаботятся ваш браузер и сам сайт.

А как насчет входа через Facebook, Twitter и Google? Это ведь и того проще, не так ли?

Да, если вы просматриваете страницы, войдя на любой из этих порталов, ничего делать вообще не придется: любой связанный с ними сайт немедленно вас идентифицирует. В том-то и беда. Вручение задач такого рода гигантским частным провайдерам влечет кучу привязок, плюс проблем, связанных с защитой информации.

Ну да, но подождите! Разве OpenID не обеспечивал (более-менее) те же нужды?

Так и есть. Но вообще-то похоже, что OpenID не оправдал ожиданий, по нескольким причинам. Главная из них, пожалуй, та, что для получения доступа к желаемому сайту приходилось, пусть и ненадолго, сперва обращаться к другому. Для тех, кто по-настоящему не осознал важность надежной онлайн-аутентификации (и не заботится об этом), гораздо менее трудоемким было просто попросить свой браузер запоминать все пароли, или щелкнуть по кнопке Запомнить Меня, которая есть почти в любой форме регистрации. BrowserlD пытается обеспечить тот же уровень безопасности и надежности, что и OpenID, но гораздо более прозрачным способом.

Пожалуйста, расскажите о защите информации в BrowserlD побольше.

Прежде всего, в отличие от других систем регистрации, BrowserlD не принуждает пользователя раскрывать или передавать в сеть личную, конфиденциальную информацию, такую как дата рождения. Кроме того, BrowserlD не ябедает серверам про сайты, которые вы посещаете.

А почему BrowserID основан на электронных адресах?

Во-первых, потому что любой регулярный посетитель Интернета имеет по крайней мере один почтовый ящик, а также и представление o том, что это уже средство идентификации и авторизации. Во-вторых, потому что электронные ад ре са не контролируются никакой организацией, ни по факту, ни потенциально. И, наконец, потому, что практически все сайты, требующие авторизации, уже содержат эту информацию для непосредственного взаимодействия с пользователями, изменения пароля и других сервисов: BrowserlD лишь упрощает им работу с уже готовыми данными.

С чего начать, если я хочу использовать BrowserID?

Вы должны зарегистрироваться традиционным способом на сайте своего провайдера идентификации. Этот сервер затем велит вашему браузеру, через API JavaScript, сгенерировать пару открытых/закрытых криптографических ключей. После этого браузер отправит открытый ключ провайдеру и получит подписанный сертификат подлинности. Затем секретный ключ и данные верификации будут храниться в браузере, как обычные пароли.

Вернемся к провайдерам идентификации. Вы все время о них упоминаете, а кто это?

По самому простому и естественному сценарию, провайдером идентификации вашего BrowserlD будет провайдер электронной почты.

A если он не поддерживает эту систему?

Можно без проблем использовать другой надежный провайдер идентификации, предлагающий те же услуги. Mozilla Foundation, например.

Запретит ли мне BrowserID пользоваться моими любимыми никами на этих сайтах?

Отнюдь нет. Электронный адрес используется только для первичной аутентификации. Использование BrowserlD никоим образом не ограничивает вас в настройке вашей учетной записи на любом сайте.

Можно ли, в таком случае, иметь несколько BrowserID?

Конечно. Единственное условие в том, чтобы каждый был привязан к отдельному ящику.

А что с другими приложениями, типа чат-клиетов? Могу ли я использовать с ними BrowserID, или это работает только в браузере?

Да, можете, если эти программы реализуют протокол и снабжают пользователя интерфейсом для подключения к их провайдеру, чтобы получить ключи. Последние затем могут храниться в KWallet или любом другом настольном хранителе паролей.

Простите, какой протокол, какие ключи? BrowserID основан на какой-то проприетарной технологии?

Нет. Говоря на техноязе, BrowserlD —это приложение Verified Email Protocol, децентрализованной системы аутентификации, использующей криптографиюсоткрытым/закрытым ключом, посредством которой пользователь может доказать сайту, что он —владелец этого электронного адреса.

BrowserID работает во всех браузерах?

Он может работать на любом современном браузере, включая мобильные. Единственное требование —совместимость с APl JavaScript. К слову, если ваш браузер его все-таки не поддерживает, можно воспользоваться аналогичным web-сервисом.

А что произойдет потом, когда я зайду на BrowserID-совместимый сайт?

Этот сайт инструктирует ваш браузер, чтобы тот запустил функцию JavaScript, которая спросит вас, хотите ли вы войти, и под каким ID —то есть электронным адресом.

И если я дам согласие…

Браузер отправит на сайт подтверждение, подписанное закрытым ключом. Далее, сайт получит ваш открытый ключ от провайдера и верифицирует подпись.

И так я докажу этому сайту, что я —действительно я?

И да… и нет. Эта процедура представляет собой подтверждение третьей стороны (в отличие от того, что реализуется с cookie!), о том, что запрос на аутентификацию отправляется браузером, имеющим секретный ключ, связанный с электронным адресом. А это значит…

Что я никогда не должен давать другим пользоваться моим браузером!

Абсолютно верно. Однако риск тот же, что и с любой другой системой аутентификации, нетребующей каждый раз вводить па роль, не так ли?

Думаю, что да, но ведь это также значит, что я не пройду аутентификацию с других браузеров, правильно?

Варианты возможны разные. Здесь все зависит от вас. Сам по себе, BrowserlD позволяет завести по сертификату на каждый компьютер или смартфон, который вы используете, включая временные и предоставленные в публичный доступ, такие как в интернет-кафе. Естественно, в подобных случаях по завершении работы следует немедленно удалить закрытый ключ и сертификат!

Кстати о применении. В каком нынче статусе BrowserID? Им уже кто-то пользуется?

На момент написания статьи (начало июля), BrowserlD еще довольно сырой. Большинство разработчиков браузеров пока не сообщали о своих планах включить его в свое ПО. Хотя главная проблема не в этом.

Вот как? А в чем же?

Открытым остается вопрос, согласятся ли, и когда, крупнейшие почтовые провайдеры и интернет-сообщества, такие как Facebook и Twitter, поддерживать BrowserlD —то есть стать провайдерами идентификации. Особенно если, как в случае с Facebook, у них есть собственные альтернативы. Кроме того, все эти провайдеры должны будут прийти к соглашению по способам доступа к открытым ключам. К счастью, это не мешает попробовать BrowserlD или применить его на вашем сайте.

Это здорово. Как попробовать его сегодня?

На данный момент, лучший способ увидеть BrowserlD в действии —посетить официальный демо-сайт на Myfavoritebeer.org.

Как насчет web-разработчиков?

Если они используют популярное открытое ПО, наподобие WordPress или Drupal, то им повезло: модули расширения BrowserlD для этих систем управления контентом уже есть. В противном случае, нужно следовать инструкции на BrowserlD.org. Но даже в этом случае они смогут пользоваться BrowserlD без необходимости написания какого-либо кода аутентификации.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

2 + один =