Posted in Uncategorized | March 28th, 2007 9 Comments » 
add to del.icio.us
이번 mashup 경진대회 출품작으로 다음아이디를 오픈아이디로 사용할 수 있게 하는
사이트를 janrain python API 와 django 를 사용해서 만들고 있다. 이름하여 opendaumid.net
그냥 열심히 기능에 충실해서 만들다 보니 UI 가 정말로 좌절이다;; 하지만 테스트 해보니 그럭저럭 동작한다.
아쉬운 점 및 개선해 나가고 있는 점 몇가지.
- 다음 인증 API 를 이용한다면서 아이디 패스워드를 묻고 있다. 이유는 간단하다. 다음에서 받은 인증토큰으로는 이 사용자의 다음다이디를 알아낼수 없다. 그래서는 누구나 다음 아이디만 있으면 다른사람의 openid 가 도용가능해진다. 이거 주니님께 더 물어봐야겠다… (대신 로그인 한번 하면 2주동안은 귀찮게 안물어보게 해놨다.;;;)
- opendaumid.net/userid 보다는 userid.opendaumid.net 이 되는게 더 났다. 그렇게 하려고 준비중이고 결론적으로 둘다 사용가능하게 할것이다.
- 인증 히스토리가 없다. 하지만 실제로는 기능은 완료고 페이지만 안 만들었다. 만드는중
- 패스워드 변경은 안되나? 이것도 페이지만 안만들었다
- 설명이 전혀 없고 불친절하다. 친절하게 만들고 있다 일단 동작하게 해서 출품하고 나서 고칠예정;;
- Cancel checkid_setup 안된다. 알고 있다. 만드는중;;;
- Simple Registration Extension 도 아직 구현 안했다;;;
사용자 feedback 과 기타 소통의 용도로 블로그도 만들었다 의견 주실 분은 언제나 환영
Tags:
오픈아이디,
openid,
daumopenid,
매쉬업캠프,
mashup
Posted in cool | January 20th, 2007 11 Comments » add to del.icio.us
이제는 퇴사한 야후직원이자 django 프레임웍의 공동 창시자인 Simon Willison 이 자신의 블로그에 “Solving the OpenID phishing problem” 이라는 포스트를 통해 OpenID 와 Phishing 문제에 대해 이야기를 했다.
아시다시피 Phising Attack 이라는 것은 교모하게 위장된 로그인 페이지를 통해 사용자를 속이고 낚인 사용자는 무의식적으로 패스워드를 입력하여 자신을 위험에 빠뜨리게 되는 누군가 한번은 겪어 봤을 만한 요즘 아주 흔한 abuse 패턴이다. 야후는 얼마전부터 “personalized sign-in seal” 을 통하여 이러한 문제들에 대한 해결책을 사용자에게 제시하고 있다
아주 악랄한 사용자는 OpenID identity provider 의 로그인폼을 그대로 흉내냄으로서 전형적인 man-in-the-middle-attack 을 가할 수가 있다는 점이 지적되었다. Ben Laurie 는 OpenID: Phishing Heaven” 를 통해 이런 문제를 보다 자세히 다루고 있다.
OpenID 를 통해 사용자가 Identity Provider 페이지로 redirect 되는 경우는 1. 이미 로그인은 되었지만 해당 서비스를 한번도 사용한적이 없어서 confirmation 이 필요한 경우 이거나, 2. 이미 로그인도 되었고 confirm 도 되어서 redirect 할 필요가 없는 경우이거나, 3 로그인이 필요하여 identity provider 의 로그인 페이지로 redirect 되는 경우의 세가지 중에 하나일텐데 보통 attacker 들은 3번 경우를 노리게 된다.
Simon Willison 이 제안하는 이러한 경우의 Identity Provider 들의 대처법은 다음과 같은 메시지를 사용자에게 보여주는 것이다.
To log in, please navigate to login.example.com. The page your are currently viewing should contain no links; if there are any links or this text is changed in any way you may become a victim of online identity theft.
즉, Identity Provider 는 sign-in redirect 에 대해서 로그인 폼을 바로 보여줘선 안된다 는 것이며 대신 사용자에게 귀찮지만 직접 지정된 주소로 navigate 하라고 요청하라는 것이다. (얼마나 많은 사람이 여기서 귀찮음을 느끼게 될지는 여러분의 상상에 맡기겠다.;;) 하지만 개인적으로 나는 야후의 personalized sign-in seal 이 훨씬더 효율적인 해법으로 보인다. (팔이 안으로 심하게 굽었다;;)
Jeremy 가 “The Tipping Point for OpenID” 에서 말한대로 이제는 누군가 big-player 가 OpenID 에 뛰어들때가 된 것 같은데. 모르겠다 아직 해결해야 할 난제가 많은것 같아 보이기도 하고…
Tags:
OpenID,
오픈아이디,
phishing,
피싱,
abuse,
야후
Posted in cool | January 16th, 2007 102 Comments » add to del.icio.us
.png "openid")
코멘트 달기에 OpenID 를 사용할 수 있도록 하기 위해서 OpenID Comments for Wordpress 플러그인을 설치했다.
어떤 러시아 블로거가 Dan Huntley 의 원작 플러그인에 여러가지 부분을 추가한 버전 이라는데 이름을 못읽겠다. -_-;
0.9.0 버전 이후부터는 내부적으로 OpenID Server 가 구현되어있어서 자신의 블로그 사이트를 바로 identity 로 사용할수 있다고 한다.
http://updong.net/author/nickname 식으로 사용이 가능하다는 이야기 인데… 귀찮아서 나는 그냥 만들어 놓은 http://kwryu.myopenid.com/ 를 사용할 생각이다. (myid.net 은 어제만 해도 가입 링크가 클릭이 안 되었었는데 지금은 어떤지 모르겠다)
여러분도 자신의 OpenID 를 사용해서 코멘트를 날려 보시라~
Tags:
openid,
오픈아이디,
identity,
wordpress
