чи OpenID насправді такий поганий?

31

Я бачив це запитання в Quora, де багато людей, схоже, згодні з тим, що OpenID поганий, навіть зазначаючи, що:

OpenID - це найгірше можливе "рішення", яке я коли-небудь бачив за все своє життя проблеми, якої у більшості людей насправді немає

Тоді я бачив статті та твіти, в яких посилаються на це питання, в яких говорилося, що OpenID програв, а Facebook переміг.

Сумно читати, як мені дуже подобається OpenID (або принаймні ідея за ним). Я буквально ненавиджу отримати ще один логін / пароль для сторінки (я все одно забуду) - це досить серйозна проблема для мене, і я знаю багато людей з тією ж проблемою. Таким чином, я подумав, що OpenId - це чудове рішення, але я вже не впевнений.

Тож питання полягає в тому, чи варто мені все ж таки намагатися впроваджувати OpenID чи це не варто? Який найбільш надійний і зручний (з точки зору користувача) спосіб ідентифікації та автентифікації користувача?

openid  user-experience 
DoPPler
джерело
7
У OpenID є свої недоліки, але оскільки я не чув нічого кращого, щоб замінити його, я б не сказав, що він втратив. Facebook не є альтернативою для OpenID, оскільки він централізований і багато людей просто не хочуть мати обліковий запис у Facebook. Чи варто докладати зусиль? На мою суб’єктивну думку, це так.

Відповіді:

13

Ця дискусія завжди виникає через одного факту, який значною мірою ігнорується: OpenID ніколи не був розроблений як протокол входу. Це пізніший невдалий розподіл.

OpenID був задуманий як послуга підтвердження URL-адрес домашньої сторінки . І для цього це було працездатно. Але через брак альтернатив це було швидко замінено як загальний протокол входу. Деякі функції були створені на основі (простий регістр, обмін атрибутами) для полегшення цього. Але по суті OpenID - це схема підтвердження авторитетних URL-адрес.

Це були помилки щодо зручності використання та впровадження. Перевага багаторазового входу має значення лише для технічно налаштованих користувачів, а не для реального спрощення для звичайних користувачів. (Не запускайте мене на надійність; просто врятували мій логін Stackoverflow.)
Але все ще не існує широко поширеної або технічно чудової альтернативи (було кілька попередніх OpenID, але бракувало модного слова та маркетингового засвоєння). Як завзятий прихильник відкритого коду я б навіть розглядав Microsofts Passport або Cardspace, що б там не було, але це наразі не є можливим.

Назад до свого питання: Дотримуйтесь OpenID. Для звичайних користувачів можливі пари старих імен користувачів / паролів, а OpenID необов’язковий. Можливо, OpenID3 знаходить широке поширення та виправляє деякі проблеми. А може, приходить щось інше. Загальна ідея за концепцією була крутою.

Маріо
джерело
Це цікавий факт, я цього не знав. Дякую за вашу відповідь. Як я вже згадував, я побоююся, що реалізація "все" (відповідно до мого коментаря до публікації на @DeveloperArt) відлякує та / або збентежить користувачів, але, можливо, я помиляюся, і якщо це зробити добре, це найкраще рішення?
DoPPler
11

Ви не можете реалізувати BOTH?

Кожен вибирає варіант виходячи зі своїх уподобань та стану параної.

OpenID забезпечують велику зручність. Це також забезпечує ще більш великий ризик безпеки.

[Ризик для користувача] Що робити, якщо Facebook / Google / тощо. вирішите, що ваш обліковий запис порушено, і вам потрібно надати свій номер телефону або копію паспорта, щоб повторно використовувати його? Ви б пішли на це?

[Ризик компанії] Що робити, якщо Facebook / Google / тощо. вирішите вимкнути їхню послугу або почати стягувати плату за неї? Тоді як власник сайту вас масово накручують.

[Шпигунство за даними] Чому дозволяють їм збирати детальну статистику з багатьох споживчих сайтів і допомагати їм формувати особисті профілі людей? Хто знає, що з цим вони зроблять? Продавати, використовувати його для коригування своєї маркетингової тактики, подавати в ЦРУ?

Людина, це так просто і просто - уникай будь-кого залежати і вирішуй сам, що коли і якщо станеться з тобою.

Я міг би піти і реалізувати і те, і інше, це правда. Я можу додати підтримку будь-якого постачальника OpenID через URL, потім перерахувати 3-4 найпопулярніших, потім додати підтримку OAuth для Facebook та Twitter, а потім додати власну стару (хорошу?) Форму для входу / пароля / реєстрації електронної пошти / реєстрації для користувачів, які не заперечуйте ще один пароль. Справа в тому, що я не хочу лякати своїх користувачів - я просто хочу, щоб вони могли швидко входити. Щодо згаданих ризиків для безпеки - чи справді вони такі масові ?
DoPPler
Ймовірність їх виникнення не є великою, але якщо вони відбудуться, їх наслідки будуть величезними.
4
У будь-якому випадку просто пам’ятайте, що багато людей не мають облікового запису Facebook і не створюватимуть його. Недоцільно забороняти їм доступ.
Тут багато хороших моментів @Developer Art щодо того, щоб не залежати від одного постачальника, для бізнесу та окремої людини. Системи коментарів Disqus та Wordpress зрозуміли, що вони дають адміністраторам (і користувачам) вибір OpenID, Yahoo, Google, Facebook, Twitter, а може й більше. І запропонуйте можливість пов’язати ідентифікатори, але цього не вимагайте. Другий сприятливий момент: не допускайте до того, щоб одна організація збирала вашу інформацію! Такий справжній. Це може статися в будь-якому випадку. Навіщо робити це простіше, використовуючи одного і того ж постачальника щоразу? Також: все-Facebook, ТОЛЬКО світ у Facebook НЕ рішення! Бажаю, щоб я міг дати вам більше грошей.
Еллі Кессельман
Ваші аргументи проти OpenID - це фактично аргументи для OpenID! Будь-хто може запустити власні повноваження OpenID. Мені не потрібно створювати обліковий запис Google або Facebook, щоб увійти на сайт, який використовує OpenID. Тепер, коли Google витягнув плагін на OpenID як спосіб просувати свою службу Google+, ймовірно, це теж буде, і ми програли битву за справді відкритий стандарт для входу на сайти.
Бред
5

Власне, я думаю, що головна проблема OpenID - це не реалізація, а зручність у користуванні - це погано. Я також не думаю, що це проблеми із захистом у OpenID, як такому. Я думаю, що головна проблема полягає в тому, що це рішення в пошуках проблеми - проблема, яка для більшості користувачів все одно не є величезною справою.

Кращим рішенням проблеми запам'ятовування багатьох паролів тощо є використання програми керування паролями. Менеджер паролів навіть спростить процес реєстрації для вас, оскільки він автоматично заповнить усі загальні поля (ім’я тощо) та автоматично генерує випадковий пароль. Про єдине, що вам потрібно зробити, це, як правило, підтвердити свою електронну адресу.

Дін Хардінг
джерело
Це дуже близько до загальної думки у Quora, але я чув багато разів від своїх технічних та не дуже технічних друзів, що у них виникає проблема з відстеженням кількох паролів, тому я не думаю це проблема, яка "не існує" (однак, це може бути меншою шкодою, ніж я з неї). Безумовно, використання менеджера паролів - це певне рішення (не без власних вад), але я шукаю технологію, яку я міг би впровадити, щоб допомогти своїм відвідувачам отримати кращий досвід роботи.
DoPPler
1

Проблема, пов’язана з openid або, загалом, із вибором постачальників облікових записів на веб-сайті для входу на ваш веб-сайт, полягає в тому, що користувачі, як правило, забувають, якого постачальника вони обрали раніше. Одного разу вони можуть користуватися Google, наступного місяця вони можуть використовувати facebook, а через три місяці, можливо, щебетати. Для веб-сайту він буде схожий на трьох різних користувачів. У такому випадку користувачі розчаровуються, оскільки вони можуть увійти у вашу систему, але не на той самий рахунок, як раніше.

Марцін
джерело
1
Ви впевнені в цьому? Я запитав те саме, щойно почув про OpenID. Я спробував перевірити себе, побачити, чи правда те, що ви описали. Іноді це відбувається, як у StackExchange, з їх реалізацією OpenID. Але інші веб-сайти правильно роблять зв'язок із минулими входами або запитують, чи був у мене попередній обліковий запис, і загалом вказують минулого постачальника OpenID Можливо, це через комбінований вхід OpenID-OAuth? Не знаю. Але я згоден з вами, користувачі НЕ забувають, якого постачальника вони обрали раніше! Це справжня проблема.
Еллі Кессельман
0

Як я бачу, основні проблеми з OpenID:

  • A) Це не є зручним для користувачів для нетехнічних хлопців
  • Б) Це не так широко використовується, як альтернативи

На A, для користувача, який бачить кнопку "увійти через facebook", отримати легко і просто. Бачити елемент керування з 10 іконок (Google, Yahoo, AOL тощо), це заплутано. Ще більше той факт, що "логін" - це URL-адреса, що багато людей не знають, що існує, тому що все, що вони роблять, - це ввести пошук у Bing / Google та перейти за посиланнями. Я знаю багатьох людей, що, переходячи до Facebook, вони шукають Facebook у Google і клацають посилання, не намагаються пояснити їм домен!

На B - стандарт Facebook. Це дещо схоже на PayPal та альтернативи: для електронної комерції PayPal може бути не найкращим варіантом, що залежить від ціни через його витрати на транзакції, але якщо вони не використовують PayPal, вони ризикують багатьма потенційними клієнтами. Щодо входу в систему - те саме: Facebook відкриває вашу веб-сторінку 500 мільйонам користувачів, які є активними користувачами Інтернету та достатньо досвідченими в техніці, щоб, ймовірно, "отримати" ваш сайт. Чесно кажучи, навіщо вам витрачати більше часу на підтримку інших речей? Витратьте цей час на розробку продукту!

Через B, A стає гірше, оскільки користувачі начебто очікують входу в Facebook, а Open Id плутає їх ще більше.

І я не починаю з питань, про які вже йшлося в Code Horror про те, що користувачі входять на один і той же сайт з різними обліковими записами Open Id, і проблеми, які можуть виникнути ...

Загалом, ідея на Open ID мені подобається, але (на жаль?) Facebook зробила це краще.

Пере Віллега
джерело
4
Я бачив багато реалізацій, які справді погані. Але реалізація тут на Stack Exchange, на мій погляд, досить хороша. Можливо, ви могли б піти на крок далі і зробити цей досвід дуже схожим на "увійти з використанням досвіду Facebook" (також Google і Yahoo підтримують якийсь гібрид OAuth або OpenID / OAuth). Я повністю згоден з тим, що бачення декількох провайдерів може ввести в оману і викликати деякі додаткові проблеми, але з іншого боку, що дає вашому користувачеві найбільшу гнучкість (також я знаю людей, які не користуються Facebook).
DoPPler
Той факт, що мені доводиться входити кожен раз, коли я переходжу в іншу галузь SE, змушує мене відчувати себе поганим. FFS, якщо я використовував свій OpenID для реєстрації в SO та Prog, чому, до біса, мені потрібно входити в обох в одному візиті? Це прогрес?!?
Дрю
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.