Commentaires sur : Vers de la micro-authentification avec MicroID

Par : Changaco

Changaco — Wed, 06 Aug 2008 10:04:55 +0000

J’ai pas bien compris comment c’est sensé fonctionner mais à mon avis ce qu’il faut c’est faire une sorte de fil des commentaires postés avec un certain pseudo. L’utilisateur qui a enregistré ce pseudo ayant accès à ce fil et pouvant supprimer des messages qui n’auraient pas été postés par lui. Reste à trouver le moyen de s’assurer que la demande de suppression vient bien de l’utilisateur en question …

Par : Différences entre identification, autorisation et authentification - To take away

Wed, 06 Aug 2008 06:35:49 +0000

[...] en train de lire le billet de Fred Cavazza sur MicroID et plus particulièrement les commentaires mais ça part un peu dans tous les sens, principalement [...]

Par : Olivier D. alias ze kat

Olivier D. alias ze kat — Wed, 30 Jul 2008 10:30:43 +0000

Pour authentifier efficacement le visiteur, avec son accord, il faudrait ;
1/ s’inspirer des spyware via du Javascript,
2/ ou mieux que les navigateurs ré-introduisent les cookies cross-site.

A noter que les blogs avec le widget de MyBlogLog (celui des stats non visible ou celui des avatars) disposent en mémoire une variable de l’ID du visiteur (si inscrit et session active). On pourrait imaginer que le commentaire serait accompagné d’une mention du genre “Identité certifiée par MyBlogLog”, en plus de remplir automatiquement les champs de saisie.

Avis aux courageux ; j’ai déjà repéré que les API fournissent tout le nécessaire ;o)

Par : De tout de rien, c'est la boîte à liens ! | Weezonaute, le blogueur masqué

De tout de rien, c'est la boîte à liens ! | Weezonaute, le blogueur masqué — Tue, 29 Jul 2008 21:21:38 +0000

[...] Vers la micro-authentification avec MicroID via Fred Cavazza [...]

Par : florence meichel

florence meichel — Mon, 28 Jul 2008 07:27:35 +0000

Merci Sunny pour cette reférence

Manuel Vila vient de mettre en ligne aussi une vidéo fort intéressante qui explique clairement et simplement un certains nombres de principes lié au web orienté objet (en français)

A découvrir

http://frenchblog.kindalab.com/2008/07/27/refaire-le-web-premier-episode/

Par : AMZANI

AMZANI — Thu, 24 Jul 2008 00:14:17 +0000

@Pasmoi > Mais il y’a toujours un problème avec ce système basé sur l

Par : Pasmoi

Pasmoi — Tue, 22 Jul 2008 17:27:41 +0000

Je ne comprends pas tout ce brassage de vent. Que l’on demande un mot de passe ou une adresse mail, cela reste un facteur d’authentification.

Pour gérer une identité sur le web, il suffit d’utiliser un système de clé dans l’esprit openpgp.

Une adaptation aux blogs:
Le blogueur télécharge sa clé publique sur son blog.
Quand il poste sur un autre blog, il fournit avec son commentaire un lien vers sa clé publique et signe son message à l’aide de sa clé privée.

Il suffit ensuite aux lecteurs de vérifier si la signature du message correspond à la clé publique présente sur le blog.

Ce système est décentralisé et entièrement automatisable. On peut imaginer qu’un plugin présent dans le navigateur se charge de signer et de vérifier tout les messages automatiquement.

Par : Antoine

Antoine — Tue, 22 Jul 2008 10:07:55 +0000

Comme rappelé plus haut, j’imagine que MicroID fonctionne en supposant que lorsqu’on dépose un commentaire, on demande l’adresse email (qui n’est pas publiée) de l’auteur.
Le système fonctionne alors uniquement si l’adresse mail est connue de l’auteur seul (idem à un mot de passe). Sinon c’est l’usurpation assurée.
L’adresse du site sert à comparer le hash calculé avec celui publié sur la page (balise meta).
A ce moment là, on a bien un système viable d’identification.

Et pour avoir une adresse email “privée”, rien ne vaut l’utilisation du “Plus addressing” ( http://en.wikipedia.org/wiki/E-mail_address#Plus_.28or_Minus.29_addressing ) bien répandu – fonctionne chez Gmail, Yahoo, …

Donc, en “signant” mon commentaire par “michel.dupond+motsecret@gmail.com”, je fournis une adresse email valide (mon adresse email que j’utilise tous les jours) et connue de moi seul

Ca marche non ?

Par : Sunny

Sunny — Fri, 18 Jul 2008 15:34:07 +0000

En fait il suffit que la clé soit générée avec un mot secret en plus. Je rentre l’adresse de mon site plus le mot secret, le serveur concatène mon email + mot secret ou url + mot secret, génère la clé md5 ou autre à partir de là et va vérifier sa présence sur le site en question.
L’avantage c’est que comme ce système sert à valider des commentaires par exemple, on peut décider de changer le mot secret quand on veut sans que ça affecte la validation des commentaires puisqu’elle a déjà été effectuée.
Néanmoins je ne suis pas complètement sur de l’intérêt vs openId.

Florence: tu peux regarder autour de l’apml ce qui se fait (mes quelques liens apml si ça t’intéresse : http://www.yoolink.fr/people/sun/tag/apml )

Par : LeTroll

LeTroll — Fri, 18 Jul 2008 12:25:10 +0000

En fait, si j’ai bien compris (d’après wikipedia) la sécurité du MicroID repose sur le fait que l’on génère un hash (chaine de caractère) depuis deux clés : une adresse de site web, et un email.

Si on connait les deux clés, on peut falsifier la signature sans problème (logique!).

DONC, le MicroID prends pour postulat de base que vous allez générer votre hash d’authentification public avec une adresse email connue de vous seul, et qui à été au préalable vérifiée par une tierce partie.

l’idée de base étant, je pense, que quand vous entrez un commentaire dans un blog, vous fournissez votre adresse email, mais elle n’est pas publiée. Donc, le moteur du blog est capable de générer le hash et de le comparer à celui de référence…

Mais tout cela m’apparait bien faible (micro!) comme protection… à tester!