日向夏特殊応援部隊

俺様向けメモ

OpenID Providerのreputation問題、AOLの方針など

久しぶりに真面目にエントリを書いて見ます。OpenIDのreputation問題に関して、AOLがちょっと前に打ち出した一つの方針について思うところを書いてみます。

reputationとは

OpenIDに関するreputation問題とは、Claimed Identifierが指し示すIdP/OP*1が信頼するに値するかどうかと言う評価・評判の事です。

と言うのもIdP/OPと言うのは誰でもでっち上げる事が出来るので、どこの馬の骨とも分からないIdP/OPでも何も対策しなければ許可してしまうのがOpenIDの仕様です。
そのIdPを提供するwebサイトに脆弱性があり、アカウントがクラックされでもしたら、そのようなアカウントをもって認証されたユーザーを信頼できるでしょうか。

よって何らかの指針を持ってして、OpenIDのIdP/OPを評価しなければならないのでは無いか…と言うお話です。

AOLが打ち出した方針はホワイトリスト形式

ちなみに許可しているIdP/OPは以下のリストです。

via: Yahoo!

  • myopenid.com
  • claimid.com
  • livejournal.com
  • verisignlabs.com
  • myvauthid.com
  • openid.sun.com
  • myvidoop.com
  • signon.com
  • idtail.com
  • xlogon.net
  • idproxy.net
  • typekey.com
  • sxipper.com
  • alwaysknownas.com

ホワイトリストの抽出に関する評価指標

SignOne.com中の人が曰く

  1. How long have you been in existence? (どんくらい長く存在するか)
  2. What form of authentication do you support? (認証フォームにヘルプはあるか)
  3. Do you support https? (httpsに対応してるか)
  4. What’s your account recovery process? (アカウントのリカバリの仕組みはどうなってるか)
  5. What’s your privacy policy? (プライバシーポリシーがどうなってるか)
  6. How do you handle spamming? (どのようにスパム対策してるか)
  7. Do you support Attribute exchange? (Attribute Exchangeに対応してるか)
  8. Do you support PAPE? (PAPEに対応してるか)
  9. What’s your registration process? (登録手続きがどのようになってるか)
  10. Are you OpenID compliant (wait…that’s another big topic)? (OpenIDの仕様に準拠してるか。待てよ、もっと大事な事があるかも)
  11. Do you charge your users? (ユーザーを管理出来てるかどうか)
  12. Do you have a cool logo? (超クールなロゴを採用してるかどうかw)

と言った指標を打ち出してる。

まぁ最後のロゴはともかくして、概ね全うな事は言ってると思われる。
注意しなければならないのは、OpenID Attribute Exchange, PAPEの辺り。PAPEはOpenID Provider Authentication Policy Extensionの事でまだドラフトの仕様。Attribute Exchangeもドラフトのもの。

まだドラフトなのにreputation問題のトピックに挙がってるってのも、どうなんだろうなぁ。

reputation問題についてのまとめ

IdP/OP向け

このような指針に出来る限りマッチするようにIdP/OPの実装をするべきなんでしょう。
reputationが良くなるようなIdP/OPになるようにしないとですね。

Consumer向け

OpenIDのIdP/OPはホワイトリストブラックリストなどによって、制限するのも考え方の一つとしてはアリって事です。
mixiも内部的に一部OpenIDに対応してるらしいですけど、外側からはまったく使い物にならない。

つまりmixi関連のサービスがConsumerで、信頼するIdP/OPはmixiが提供する物だけって構図ですね。


発想としては以前から考えてはいたけど、OpenIDの思想に著しく反すると考えるとどうしても無しと思い込んでいましたが、四の五の言えない問題をはらんでいるので、非常に参考にはなると思います。



うわー、活字だらけだ。

*1:Identity Provide, OpenID Provideの事。端的に言えば、OpenIDの認証サーバー