OpenID a citlivá data

Tenhle článek se zamýšlí nad jevem, který OpenID přináši – centralizace osobních dat, vznik “autorit” – obecně tedy téma bezpečnosti.

Your OpenID is your passport to all websites requiring a username and password. Once you create your OpenID, you’ll never need to go through the registration process again, with sites that support OpenID. Zdroj: I want my OpenID!

To zní slibně, no ne? Ale když o tom člověk začne přemýšlet, může se dostat až k téhle otázce: “Takže jedním účtem mám přístup ke spoustě míst, kde jsem registrován. Můžu ale tomu vyvolenému poskytovateli účtů natolik věřit, že mu předám přístup k mým účtům a s tím i moje velice osobní informace o tom, kde se na internetu pohybuju?”

Tohle je docela častá první námitka, viděná tam, kde někdo princip OpenID zrovna čerstvě pochopil. Například jedna firma se veřejně vyjádřila k iniciativě podporující OpenID v tom smyslu, že nechce podporovat sbírání (harvesting) uživatelských účtů, a tedy podporu OpenID do svého produktu nezahrne. Ta firma se mýlí, a o odstavec dál vysvětlím proč.

Co vlastně prokazuji svým OpenID účtem? To, že mi patří nějaká adresa. Například mně teď v tuto chvíli patří johnnycz.myopenid.com. Když tuhle adresu zadáte do prohlížeče, vypíše vám to o mně moje některé osobní údaje (ty, co jsem povolil zveřejnit). Stejně tak, když server bloguje.cz zjišťuje, jestli jsem to já, komu patří tahle adresa, jednoduše na tuhle adresu přistoupí protokolem HTTP. Co z toho plyne? Adresu, kterou vlastním, můžu mít jakoukoliv!

To, že jsem si vybral zrovna server myopenid.com znamená, že věřím jemu. Pokud ale například já, nebo nějaký můj známý provozuje nějaký veřejně přístupný webový server, mohl bych mít svůj účet tam. Vlastnictví nějaké webové stránky vám dává šanci vlastnit OpenID účet k ní přiřazený.
Navíc, OpenID umožňuje vést několik “osobností” (Personas), neboli: pro každý server můžete jedním účtem o sobě říct něco jiného.

Takže až si někdy například koupím doménu ferda.com, můžu si na ní začít provozovat svůj OpenID účet, například mravenec.ferda.com. Stejně tak tohle lze udělat i s freehostingem. Takže je možné se prokazovat například adresou nekdo.wz.cz. Takhle podobně například ověřuje Google AdSense to, že jste majitelem nějakého webu. Pošle vám zprávu typu “založ na svém serveru soubor s názvem bflmpsvz.html” a vy, až to uděláte, necháte Google, aby se na váš server podíval, že tam ten soubor skutečně je. Tím, že máte pod kontrolou nějakou URL adresu, prokazujete, že jste to skutečně vy.

Samozřejmě, kdo je lenivý (jako já), zřídí si účet na nějakém volném OpenID serveru, jako je třeba myopenid.com a věří jemu. Potom na tomhle serveru jsou data jeho uživatelů, senzitivní podle toho, jak si uživatelé vybrali. Já jsem si vybral, že server myopenid.com bude mít přístup k mému blogu tady na bloguje.cz.

Je otázka, nakolik je tahle paranoia vůči poskytovatelům OpenID účtů opodstatněná, když v dnešní době je většina našich účtů vázaná na e-mail. Stačí, když někdo získá přístup k vašemu e-mailu a pak pomocí běžné funkce “obnovit zapomenuté heslo” získá i heslo z jakéhokoliv webu, kde zná vaše přihlašovací jméno.