Hogy mi is az az OpenID? Önmagában egy egyszerű kis rendszer, aminek segítségével központilag, egy helyen azonosíthatjuk magunk több weboldal számára: pont, mint az Index-birodalom IndaPassa vagy a Microsoft Passportja. Persze kell vele pár kört trükközni technikai oldalról, hogy mindez működhessen globálisan, oldalak millióin, de nem ez az igazán érdekes benne, hanem mindaz, amit lehetővé tesz.

Az egész mögött rejlő koncepcióról némi angoltudással Dick Hardt zseniális előadásából lehet a legtöbbet megtudni. A Web 2.0 filozófiájából szervesen következő Identity 2.0 fogalomkör lényege, hogy miután a webes tartalmak egyre inkább a felhasználók hozzájárulásából építkeznek, egyre nagyobb szükség van arra, hogy visszakereshessük, kinek a véleményét, írását olvassuk épp. Az egyes oldalak ezt meg is oldják, ott az eBay (és a Vatera) felhasználó-értékelése, ott az iWiW - az Identity 2.0 ötlete épp ezen, jelenleg különálló adatbázisok összekötését foglalja magában, amihez az OpenID a legelső és legalapvetőbb építőkocka.

Ahhoz, hogy meglássunk ennek jelentőségét biztonsági szempontból, egy fontos tényt kell észrevennünk: az, hogy egy felhasználó számára lehetővé tettük, hogy hozzájáruljon az általunk szolgáltatott tartalomhoz, még nem jelenti azt, hogy benne tökéletesen meg is bíznánk. Egy technikailag tökéletes webes alkalmazásban is tud kárt okozni a rosszindulatú felhasználó - a Wikipédia vandáljai vagy a konkurencia könyveit lehúzó ügynökök az Amazonon jó eséllyel sosem hallottak az XSS-ről vagy az SQL injectionről, mégis megkeserítik a szolgáltatás üzemeltetőinek életét.

Egy különálló szolgáltatáshoz szerzett hozzáférés nem sokat ér: ha csak nem vagyunk elszánt tagjai az adott közösségnek (és ez csak a felhasználók töredékét jelenti), nem sokat mond rólunk és elvesztése sem fáj igazán. Az identitások összekötésével azonban megváltozik a helyzet -- többet várhatunk el és felelősséget kényszeríthetünk ki az emberekből. Más közösségek elismert tagjainak mi is bizalmat szavazhatunk, tanúsíthatjuk mások számára, ha valaki jó fiú nálunk, és egészséges kétkedéssel fogadhatunk olyasvalakit, akinek semmi nyoma nincs máshol.

Ahhoz hasonlít ez, amikor egy bank egy hitel megítéléséhez bekéri az előző pár hónap közüzemi számláit. Nem arra kíváncsi, hogy mennyi meleg vizet használtunk el: az érdekli, hogy elfogadott, felelős szereplői vagyunk-e a gazdasági életnek, és ehhez a többi gazdasági szereplő véleményét kérik ki. Ha az OpenID tényleg elterjed, meglesz a választásunk, hogy megmaradjunk a megszokott-megszeretett anonimitás védelmében, elfogadva a való életben is az ismeretleneknek kijáró bizalmatlanságot, vagy vállaljuk az online személyiségünk, és bizonyítjuk, hogy a véleményünk számít és a tevékenységünk nem jelent kockázatot -- és ugyanígy megbízhatunk a másikban is. És ez a webes szolgáltatások történetének egyik legnagyobb változása lesz.

Forrás: BalaBit IT Security Blog