Wednesday, May 28, 2008

OpenID tocado

Hace un tiempo escribí un poco sobre OpenID y aunque teníá curiosidad de profundizar un poco en el tema, no pude sacar tiempo para ello.

Hoy sin embargo, en muchos sitios veo enlaces a un post que ataca sin piedad a OpenID. El contenido es bastante técnico y la verdad es que muchos de los argumentos parecen ser de peso.

Entre los mas importates yo destacaría:
  • Falta se seguridad: vulnerable a DNS poisoning, XSS al proveedor, CSRF.
  • Perdida de privacidad: tanto por reuso de credenciales (que muchos proveedores no hacen y lo resaltan explicitamente) como por seguimineto por parte del proveedor, inherente al funcionameinte del protocolo.
  • Problemas de confianza, ya que OpenID no se basa en un sistema de autenticación previa.
  • Problemas de usabilidad: como casi siempre, lo nuevo es dificil, aunque ni siquiera se haya intentado. PEBKAC.
  • Bajada de disponibilidad: al downtime propio del servicio que queramos usar hay que sumarle el del proveedor de OpenID.
El articulo tiene una conclusión clara:

OpenID: Fail

Muchos de los argumentos son muy solidos y por desgracia inevitables, como el de la resistencia de los usuarios a todo lo que huela, suene o parezca nuevo. Pero por otro lado hay que tener en cuenta que el autor es empleado de una empresa que hace productos que compiten contra OpenID y no es del todo imparcial por ello.

A primera vista parece que alguno de los problemas se podria solucionar con SSL y otros usando un proveedor fiable, ya sea propio, del ISP, etc, pero el tema es bastante complejo y puede que se me escape algun detalle del funcionamiento, así que antes de escribir nada prefiero consultarlo con la almohada y documentarme un poquito mas. Espero que no necesitar otros 6 meses para ello ;)

1 comment:

Gorriz said...

interesantes tus articulos, a ver si vamos actualizando XD