OpenID gerçekten bu kadar kötü mü?


31

Bu soruyu Quora'da birçok kişinin OpenID'nin kötü olduğuna katılıyor gibi göründüğü, hatta şunu söyleyene kadar gittiğini gördüm :

OpenID, hayatım boyunca gördüğüm en kötü "çözüm" dür.

Sonra OpenID'nin kaybolduğunu ve Facebook'un kazandığını söyleyen bu soruyu referans alan makaleler ve tweetler gördüm.

OpenID'yi (veya en azından arkasındaki fikirleri) sevdiğim için okumak üzücü. Kelimenin tam anlamıyla başka bir giriş / şifre almaktan nefret ediyorum (yine de unutacağım) - bu benim için oldukça ciddi bir konu ve aynı problemi olan birçok insan tanıyorum. Böylece OpenId'in harika bir çözüm olduğunu düşündüm ama artık emin değilim.

Öyleyse asıl soru, hala OpenID'yi uygulamak için uğraşmalı mıyım yoksa buna değmez mi? Bir kullanıcıyı tanımlamanın ve doğrulamanın en sağlam ve kullanışlı (kullanıcı açısından) yolu nedir?


7
OpenID'nin kusurları var, ancak yerini alacak daha iyi bir şey duymadığım için kaybettiğini söyleyemem. Facebook, OpenID için bir alternatif değildir, çünkü merkezileştirilmiştir ve birçok insan sadece bir facebook hesabına sahip olmak istememektedir. Çabaya değer mi? Benim öznel düşünceme göre, öyle.

Yanıtlar:


13

Bu tartışma her zaman büyük ölçüde göz ardı edilen bir gerçek nedeniyle ortaya çıkar: OpenID hiçbir zaman oturum açma protokolü olarak tasarlanmamıştır. Bu daha sonra yapılan bir yanlış kullanım.

OpenID, ana sayfa URL doğrulama servisi olarak tasarlandı . Ve bunun için uygulanabilir. Ancak alternatiflerin yetersizliği nedeniyle genel giriş protokolü olarak hızlı bir şekilde yeniden düzenlenmiştir. Bunu daha iyi hale getirmek için bazı özellikler (basit kayıt, özellik değişimi) üzerinde oluşturulmuştur. Ancak, çekirdeğinde OpenID bir URL yetkilisi doğrulama şemasıdır.

Bu kullanılabilirlik ve uygulama hatalarının geldiği şeydi. Çoklu giriş avantajı, sıradan kullanıcılar için gerçek bir sadeleştirme değil, sadece teknik-afin kullanıcıları için önemlidir. (Sağlamlığa başlamama izin verme; sadece Stackoverflow giriş bilgilerimi kurtardım.)
Ama yine de yaygın veya teknik olarak üstün bir alternatif yok (daha önce OpenID vardı, ancak kelimelerden ve pazarlama denemelerinden yoksun kaldı). Hevesli bir açık kaynak destekçisi olarak Microsofts Passport veya Cardspace'i her ne olursa olsun düşünürdüm bile, ama şu anda bir seçenek değil.

Sorunuza geri dönün: OpenID'ye sopa. Sıradan kullanıcılar için oldschool kullanıcı adı / şifre çiftlerini mümkün kılar ve OpenID'yi isteğe bağlı hale getirir. Belki OpenID3 yaygın kabul görüyor ve bazı sorunları çözüyor. Ya da belki başka bir şey gelir. Konseptin ardındaki genel fikir güzeldi.


Bu ilginç bir gerçek, bunu bilmiyordum. Cevabınız için teşekkür ederiz Daha önce de bahsettiğim gibi, 'her şeyi' uygulamanın (@DeveloperArt postadaki yorumuma göre) uygulamasının korkutucu ve / veya kullanıcıları şaşırtacağından korkuyorum ama belki de hatalıyım ve bu güzelce yapılırsa en iyi çözüm?
DoPPler

11

HIZI uygulayamıyor musunuz?

Herkes tercihi ve paranoya durumuna göre seçeneği seçer.

OpenID size büyük kolaylık sağlıyor. Ayrıca, daha büyük güvenlik riski de sağlar.

[Kullanıcı riski] Peki ya Facebook / Google / etc. Hesabınızın riske girdiğine ve yeniden etkinleştirmek için telefon numaranıza mı yoksa pasaport kopyasına mı ihtiyacınız olduğuna karar verin. Onun için gider misin?

[Şirket riski] Ya Facebook / Google / vb. hizmetlerini kapatmaya veya bunun için ücret almaya mı karar verdiniz? Sonra bir site sahibi olarak, büyük bir sıkıntı yaşadın.

[Veri casusluğu] Neden birçok tüketici sitesinden ayrıntılı istatistikleri toplamalarına ve insanların kişisel profillerini oluşturmalarına yardımcı olmalarına izin veriyor? Bununla ne yapacaklarını kim bilebilir? Sat, pazarlama taktiklerini ayarlamak için kullan, CIA’a gönderilsin mi?

Dostum, bu çok basit ve basit - kimseye bağımlı olmaktan kaçının ve ne zaman ve ne olacağına kendiniz karar verin.


Gidip her ikisini de uygulayabilirim, bu doğru. Herhangi bir OpenID sağlayıcısı için URL üzerinden destek ekleyebilir, sonra 3-4 en popüler olanları listeleyebilir, sonra Facebook ve Twitter için OAuth desteğini ekleyebilir ve sonra kullanıcılar için kendi eski (iyi?) Giriş / şifre / e-posta kaydı / giriş formumu ekleyebilirim. Başka bir şifre aldırma. Sorun, kullanıcılarımı korkutmak istemiyorum - Sadece hızlı şekilde oturum açabilmelerini istiyorum. Bahsedilen güvenlik riskleri gelince - bunlar gerçekten bu kadar büyük mü?
DoPPler

Oluşma olasılığı büyük değildir, ancak olurlarsa sonuçları da büyük olacaktır.

4
Her neyse, bir çok kişinin bir Facebook hesabının olmadığını ve hesap oluşturmayacağını unutmayın. Onların erişimini reddetmek akıllıca değil.

Burada pek çok iyi nokta var: Geliştirici Art, iş ve bir birey için tek bir sağlayıcıya bağımlı olmama konusunda. Disqus ve Wordpress yorum sistemleri, yöneticilere (ve kullanıcılara) OpenID, Yahoo, Google, Facebook, Twitter ve daha pek çok seçenek sunduğunu fark ettiler. Ve kimlikleri ilişkilendirme fırsatı sunun ancak buna gerek yok. 2. iyi nokta: Bir işletmenin bilgilerinizi toplamasına izin vermekten kaçının! Çok doğru. Yine de olabilir. Her zaman aynı sağlayıcıyı kullanarak neden daha kolay hale geliyor? Ayrıca: hepsi-Facebook, SADECE Facebook dünyası çözüm değil! Keşke sana daha fazla oy verebilseydim.
Ellie Kesselman 10:11

OpenID karşı argümanlar aslında argümanlar vardır için OpenID! Herkes kendi OpenID yetkilerini başlatabilir. OpenID kullanan bir siteye giriş yapmak için bir Google veya Facebook hesabı oluşturmak zorunda değilim. Artık Google, Google+ hizmetlerini tanıtmanın bir yolu olarak OpenID'deki eklentiyi çektiğine göre, muhtemelen diğerleri de olacaktır ve sitelere giriş yapmak için gerçekten açık bir standart olan savaşı kaybettik.
Brad

5

Aslında, OpenID ile ilgili asıl sorunun uygulama veya kullanıcı dostu olmadığını düşünüyorum. Bence de, OpenID ile olan güvenlik sorunları değil. Bence asıl problem, bunun bir problem arayışı için bir çözüm olduğudur - çoğu kullanıcı için zaten büyük bir sorun olmayan bir problem.

Çok fazla şifreyi hatırlamak zorunda kalmamak için daha iyi bir çözüm, bir şifre yöneticisi uygulaması kullanmaktır. Parola yöneticisi, tüm ortak alanları (ad vb.) Otomatik olarak dolduracağı ve otomatik olarak rasgele bir parola oluşturacağı için kayıt işlemini sizin için kolaylaştıracaktır. Yapmanız gereken tek şey, genellikle e-posta adresinizi doğrulamaktır.


Bu, Quora'daki genel görüşün ne olduğuna çok yakın, ancak hem teknik hem de teknik olmayan arkadaşlarımdan defalarca duydum; bu “olmayan” bir sorundur (ancak benden daha az sıkıntı yaratabilir). Kesinlikle bir şifre yöneticisinin kullanılması bazı çözümlerdir (kendi kusurları olmadan), ancak ziyaretçilerimin daha iyi bir sing-in deneyimi elde etmelerine yardımcı olmak için uygulayabileceğim bir teknoloji arıyorum.
DoPPler

1

Web sitesinde oturum açmak için web sitesinde çeşitli hesap sağlayıcılarının bulunması ile openid veya daha genel olan sorun, kullanıcıların daha önce hangi sağlayıcıyı seçtiklerini unutma eğiliminde olmalarıdır. Bir gün google, gelecek ay facebook ve üç ay sonra belki twitter kullanabilirler. Web sitesi için üç farklı kullanıcı gibi görünecek. Böyle bir durumda, kullanıcılar sisteminize giriş yapabildikleri için, ancak daha önce olduğu gibi aynı hesaba giriş yapamadıkları için sinirlenirler.


1
Bundan emin misin? OpenID'yi ilk dinlediğimde aynı şeyi merak ettim. Kendimi test etmeye çalıştım, tarif ettiğin şeyin doğru olup olmadığına bak. Bazen, OpenEx'in uygulanmasıyla StackExchange'te olduğu gibi. Ancak diğer web siteleri DO'yu geçmiş girişlerle ilişkilendirir veya önceden bir hesabım olup olmadığını sorar ve OpenID sağlayıcısını genel bir şekilde gösterir. Belki de bu birleşik OpenID-OAuth oturum açma işleminden kaynaklanıyordur? Bilmiyorum. Ama sana katılıyorum, kullanıcılar daha önce hangi sağlayıcıyı seçtiklerini unutuyorlar! Bu gerçek bir problem.
Ellie Kesselman 10:11

0

Gördüğüm gibi, OpenID ile ilgili temel problemler iki:

  • A) Teknik olmayan erkekler için kullanıcı dostu değil
  • B) Alternatifler kadar yaygın kullanılmaz

A üzerinde, bir kullanıcının "facebook ile giriş yap" düğmesini görmesi kolay ve basittir. Bir kontrolü 10 simgeyle (Google, Yahoo, AOL vb.) Görmek kafa karıştırıcıdır. "Giriş" in bir URL olması gerçeği daha da fazla, birçok insanın var olduğunu bilmediği bir şey var, Bing / Google'da bir arama yazın ve bağlantıları izleyin. Facebook’a gittikleri zaman, Google’da Facebook’u aradıklarını ve bağlantıyı tıkladıklarını, etki alanı kavramını onlara açıklamaya çalışmadıklarını biliyorum.

B'de, Facebook standarttır. Bu biraz PayPal ve alternatifleri gibidir: Bir e-ticaret için PayPal, işlem ücretleri nedeniyle fiyat açısından en iyi seçenek olmayabilir, ancak PayPal kullanmazlarsa potansiyel müşterileri riske atıyorlar. Giriş hakkında aynıdır: Facebook, internetinizi aktif internet kullanıcısı olan ve muhtemelen sitenizi 'almak' için yeterli teknolojiye sahip 500 milyon kullanıcıya açar. Açıkçası, neden diğer şeyleri desteklemek için daha fazla zaman harcamalısınız? Ürünü geliştirmek için zaman harcayın!

B nedeniyle, kullanıcılar Facebook'un giriş yapmasını beklediklerinden A daha kötü hale gelir ve Open Id onları daha fazla karıştırır.

Üstelik daha önce Code Horror'da tartışılan ve aynı sitede farklı Open Id hesapları olan kullanıcıların giriş yaptıkları ve bunun neden olabileceği sorunlar hakkında başlamam ...

Sonuçta, Açık Kimlik konusundaki fikri sevdim, fakat (ne yazık ki?) Facebook bunu daha iyi yaptı.


4
Gerçekten kötü olan birçok uygulama gördüm. Ancak burada Stack Exchange'deki uygulama bence oldukça iyi. Muhtemelen bir adım öteye gidebilir ve bu deneyimi “Facebook ile giriş yapma” deneyimine çok benzer hale getirebilirsiniz (ayrıca Google ve Yahoo bir tür OAuth veya OpenID / OAuth melezini destekler). Birden fazla sağlayıcıyı görmenin yanıltıcı olabileceği ve bazı ek sorunlara yol açabileceği konusunda hemfikirim, ancak diğer yandan kullanıcılarınıza en fazla esnekliği sağlayan (ayrıca Facebook kullanmayan insanları tanıyorum).
DoPPler

Her seferinde farklı bir SE şubesine gittiğimde giriş yapmak zorunda olduğum gerçeği, uygulamanın kötü olduğunu hissettiriyor. FFS, SO ve Prog’a kaydolmak için OpenID’mi kullandıysam, neden her ikisinde de aynı ziyarette oturum açmak zorundayım? Bu ilerleme?
Drew,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.