IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

BrowserID : Mozilla dévoile une alternative aux services d'authentification centralisée


Sujet :

Conception Web

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 507
    Points
    68 507
    Par défaut BrowserID : Mozilla dévoile une alternative aux services d'authentification centralisée
    BrowserID : Mozilla dévoile une alternative aux services d'authentification centralisée
    Fondée sur le « Verified Email Protocol »



    Permettre aux utilisateurs de s'identifier aux différents sites sans mot de passe spécifique et sans passer par les services d'authentification centralisée (comme Facebook ou OpenID), telle est l'ambition de « BrowserID », une nouvelle expérimentation de la fondation Mozilla.

    Fondé sur le nouveau protocole « Verified Email Protocol », BrowserID utilise une clé de chiffrement publique pour prouver très rapidement que l'utilisateur est bien le propriétaire de l'adresse email qu'il souhaite utiliser auprès des sites.

    Deux clics suffiront donc pour clôturer l'opération, mais dans les coulisses, le site et le navigateur font appel à un service d'authentification.

    Comme preuve de faisabilité, la fondation Mozilla a créé un site de test et son propre service BrowserID (browserid.com), mais étant basé sur un protocole libre, le principal atout de ce concept est qu'il peut être implémenté par n'importe quel fournisseur de compte email.

    « Confier l'identification et la gestion de l'identité [de son site] aux grands services comme Facebook, Twitter ou Google est une option, mais ces produits ont leurs propres problèmes de verrouillage [lock-in] et de fiabilité, et soulèvent des inquiétudes sur la confidentialité des données », justifie Mozilla.

    Pour utiliser BrowserID, l'utilisateur doit fournir un mot de passe et une adresse email, et confirmer cette dernière de manière classique, en cliquant sur le lien de confirmation ou en saisissant le code reçu sur sa boîte.

    Le service crée dès lors un couple de clés de chiffrement, il utilise la clé publique et enregistre la clé privée au niveau du navigateur.

    Quand l'utilisateur tente de s'identifier à un site qui implémente le protocole, l'utilisateur peut choisir l'adresse email qu'il souhaite utiliser pour ce site (s'il en a plusieurs reliées à BrowserID) et le voilà vite et bien identifié.

    [ame="http://www.youtube.com/watch?v=l0t9yDLAmFo"]Présentation de BrowserID[/ame]

    Il reste donc à convaincre les fournisseurs d'email à adopter indépendamment ce système afin de rendre toute création de compte BrowserID inutile et éviter la centralisation du concept comme c'est le cas pour d'OpenID.

    En parlant de ce service qui utilise un protocole basé sur les Tokens, déclare la fondation : « ce que des années d'expérience avec OpenID (et des protocoles similaires) nous ont appris est que ce n'est pas une solution suffisante : établir un Token d'identification isolé du reste du Web, n'aide pas réellement les sites à s'engager avec leurs utilisateurs ».



    Documentation pour implémenter BrowserID sur son site

    Source : Mozilla

    Et vous ?

    Que pensez-vous de ce nouveau concept ?
    L'adopteriez-vous pour vos sites quand il sortira en version stable ?
    Quelles solutions d'identification préférez-vous ?

  2. #2
    Expert éminent
    Avatar de kdmbella
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2010
    Messages
    799
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : août 2010
    Messages : 799
    Points : 7 036
    Points
    7 036
    Par défaut
    Que pensez-vous de ce nouveau concept ?
    c'est un très concept très intéressant
    L'adopteriez-vous pour vos sites quand il sortira en version stable ?
    pas tout de suite je préfère en général lorsqu'une technologie nouvel apparait la laisser être éprouvé pendant 1 à 2 ans le temps qu'elle soit mature avant de l'adopter
    Quelles solutions d'identification préférez-vous ?
    pour l'instant la solution open ID a fait ses preuves mais si lcette solution de Mozilla s'avère plus robuste je pense que je migrerait rapidement vers elles a condition que les géants du web l'adopte également

    mais c'est déja du super travail
    "L'humanité se divise en trois catégories : ceux qui ne peuvent pas bouger, ceux qui peuvent bouger, et ceux qui bougent."
    - Benjamin Franklin

    De l'aide en Javascript , consultez la FAQ JS.

    De l'aide sur le FrameWork JS DHTMLX : posez vos questions sur le forum des Bibliothèques & Frameworks JS.

  3. #3
    Membre actif
    Homme Profil pro
    Gérant
    Inscrit en
    février 2006
    Messages
    256
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : Dom-Tom

    Informations professionnelles :
    Activité : Gérant

    Informations forums :
    Inscription : février 2006
    Messages : 256
    Points : 298
    Points
    298
    Par défaut
    Je l'adopterais sans hésiter quand... il y aura une solution pour sécuriser un peu plus !

    Je parle du fait qu'apparemment si les cookies ne sont pas effacés, alors une personne peut utiliser notre identifiant sans problème...

    Il est donc nécessaire de trouver une solution tout de suite à ce problème de sécurité sans quoi ce petit projet très sympa restera dans les cartons.

  4. #4
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : juin 2009
    Messages : 472
    Points : 1 539
    Points
    1 539
    Par défaut
    Le système semble assez ingénieux, merci mozilla



    A première vue,
    Il permet trois choses vraiment intéressante:
    - d’éviter le gros problème d'openID/OAuth : Un phishing qui conpromez l'intégralité de vos comptes en une fois en volant votre mot de pass dans un popup.
    - d'éviter le détournement de DNS ( problème récurrent à OpenID/OAuth )
    - Aucune transmission de password sur le réseau à aucun moment,à aucune entité. Donc pas de données compromise si le serveur OpenID est corrompu/piraté.

    Par contre, Tout est dans le browser, en cas de changement de PC/device, si on se trimbale pas son certificat avec soit, c'est vraiment pas pratique :s
    It's not a bug, it's a feature

  5. #5
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : juin 2009
    Messages : 472
    Points : 1 539
    Points
    1 539
    Par défaut
    Je l'adopterais sans hésiter quand... il y aura une solution pour sécuriser un peu plus !

    Je parle du fait qu'apparemment si les cookies ne sont pas effacés, alors une personne peut utiliser notre identifiant sans problème...

    Il est donc nécessaire de trouver une solution tout de suite à ce problème de sécurité sans quoi ce petit projet très sympa restera dans les cartons.
    Tu as un lien vers ce probleme ?
    It's not a bug, it's a feature

  6. #6
    Membre du Club
    Profil pro
    Inscrit en
    juin 2006
    Messages
    68
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : juin 2006
    Messages : 68
    Points : 48
    Points
    48
    Par défaut
    Citation Envoyé par Firwen Voir le message
    Tu as un lien vers ce probleme ?
    il a raison, il suffi de tester, meme si on se deconnect, il est toujours possible de se reconnecter en 1 click .... sans demande de mot de passe ( donc si ce n'est pas toi ...)

    je sais pas si j'ai pas vraiment compris le principe, parce que je vois pas trop où le concept est prouvé dans ce proof of concept.
    j'ai cependant peut être manqué un truc.

  7. #7
    Membre actif
    Homme Profil pro
    Gérant
    Inscrit en
    février 2006
    Messages
    256
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : Dom-Tom

    Informations professionnelles :
    Activité : Gérant

    Informations forums :
    Inscription : février 2006
    Messages : 256
    Points : 298
    Points
    298
    Par défaut
    Citation Envoyé par Firwen Voir le message
    Tu as un lien vers ce probleme ?
    Comme Rocel l'a dit il suffit de tester.

    Avec Firefox : Je me suis connecté une fois, puis reconnecté (donc plus besoin du mot de passe)

    Avec Chrome : Je tente de me connecter et le système me demande le mot de passe, donc ce n'est pas sur l'IP qu'est mémorisé l'identifiant.

    Avec Firefox : je ferme sans supprimer les cookies, j'ouvre et je retente, ça ne demande pas de mot de passe.

    Avec Firefox : je supprime les cookies, je tente de me reconnecter et ça demande un mot de passe.

    Donc le système utilise clairement les cookies selon moi.

    L'idée est bonne mais manque singulièrement de sécurité.

    Je pense qu'il faudrait le coupler à une clé USB qui aurait un certificat, mais là l'identifiant pourrait ne plus servir à rien sauf le choix peut-être...

  8. #8
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : juin 2009
    Messages : 472
    Points : 1 539
    Points
    1 539
    Par défaut
    Par contre, Tout est dans le browser, en cas de changement de PC/device, si on se trimbale pas son certificat avec soit, c'est vraiment pas pratique :s
    Autant pour moi défaut de compréhension de ma part, le premier schéma fait à la main n'étant pas des plus explicite :p.

    Oui en effet, la session est maintenue via un cookie, qui se voit trés bien sous firebug d'ailleurs.
    Mais la durée de validité de la session semble configurable dans la norme et le cookie est envoyé uniquement via https au primary browserid,
    alors est-ce réellement un problème ?
    It's not a bug, it's a feature

  9. #9
    Membre actif
    Homme Profil pro
    Gérant
    Inscrit en
    février 2006
    Messages
    256
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : Dom-Tom

    Informations professionnelles :
    Activité : Gérant

    Informations forums :
    Inscription : février 2006
    Messages : 256
    Points : 298
    Points
    298
    Par défaut
    Citation Envoyé par Firwen Voir le message
    Mais la durée de validité de la session semble configurable dans la norme et le cookie est envoyé uniquement via https au primary browserid,
    alors est-ce réellement un problème ?
    Bien je pense que oui, un hacker (pas besoin d'être très bon) peut certainement spoofer tout ça...

    Moi je ne fais jamais confiance aux cookies et autres subtilités côté client, ça donne trop d'incertitude sur la sécurité.

  10. #10
    Membre éprouvé
    Homme Profil pro
    Inscrit en
    mai 2011
    Messages
    328
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : mai 2011
    Messages : 328
    Points : 1 121
    Points
    1 121
    Par défaut
    Pour le moment j'utilise PassPack, ça réponds à mes attentes

  11. #11
    Membre éclairé Avatar de Julien Bodin
    Homme Profil pro
    Devops
    Inscrit en
    février 2009
    Messages
    473
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Calvados (Basse Normandie)

    Informations professionnelles :
    Activité : Devops
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2009
    Messages : 473
    Points : 831
    Points
    831
    Par défaut
    Le fait qu'on soit bloqué sur sa machine est rédhibitoire pour moi. Si j'ai un webmail c'est pour pouvoir consulter mes mails depuis n'importe quelle machine.

  12. #12
    Membre expérimenté Avatar de Firwen
    Profil pro
    Inscrit en
    juin 2009
    Messages
    472
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : juin 2009
    Messages : 472
    Points : 1 539
    Points
    1 539
    Par défaut
    C'était une mauvaise compréhension de ma part d'un schéma de spec ( ).

    C'est tout à fait possible de s'authentifier sur plusieurs machine avec juste un password.
    It's not a bug, it's a feature

  13. #13
    Nouveau membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2003
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mai 2003
    Messages : 42
    Points : 33
    Points
    33
    Bats-toi avec les meilleurs; crève avec les autres !

  14. #14
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    février 2006
    Messages
    378
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Enseignement

    Informations forums :
    Inscription : février 2006
    Messages : 378
    Points : 305
    Points
    305
    Par défaut
    @Julien Bodin
    J'imagine qu'avec firefox sync on sera moins lié à SA machine.


    Par contre à mon sens le problème viens si on est dans un cybercafé, une machine partagée...

Discussions similaires

  1. Réponses: 0
    Dernier message: 15/07/2011, 12h10
  2. Réponses: 0
    Dernier message: 22/10/2010, 10h08
  3. une alternative aux variables globales ?
    Par scheme dans le forum Général Python
    Réponses: 18
    Dernier message: 24/07/2009, 00h55
  4. Je cherche une alternative aux frames
    Par Gizmil dans le forum Général Conception Web
    Réponses: 9
    Dernier message: 02/11/2007, 08h40
  5. Je cherche une alternative aux frames
    Par Gizmil dans le forum Général JavaScript
    Réponses: 1
    Dernier message: 29/10/2007, 14h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo