reputationとは

OpenIDに関するreputation問題とは、Claimed Identifierが指し示すIdP/OP*1が信頼するに値するかどうかと言う評価・評判の事です。

と言うのもIdP/OPと言うのは誰でもでっち上げる事が出来るので、どこの馬の骨とも分からないIdP/OPでも何も対策しなければ許可してしまうのがOpenIDの仕様です。
そのIdPを提供するwebサイトに脆弱性があり、アカウントがクラックされでもしたら、そのようなアカウントをもって認証されたユーザーを信頼できるでしょうか。

よって何らかの指針を持ってして、OpenIDのIdP/OPを評価しなければならないのでは無いか…と言うお話です。

AOLが打ち出した方針はホワイトリスト形式

ちなみに許可しているIdP/OPは以下のリストです。

via: Yahoo!

• myopenid.com
• claimid.com
• livejournal.com
• verisignlabs.com
• myvauthid.com
• openid.sun.com
• myvidoop.com
• signon.com
• idtail.com
• xlogon.net
• idproxy.net
• typekey.com
• sxipper.com
• alwaysknownas.com

ホワイトリストの抽出に関する評価指標

SignOne.comの中の人が曰く、

1. How long have you been in existence? (どんくらい長く存在するか)
2. What form of authentication do you support? (認証フォームにヘルプはあるか)
3. Do you support https? (httpsに対応してるか)
4. What’s your account recovery process? (アカウントのリカバリの仕組みはどうなってるか)
5. What’s your privacy policy? (プライバシーポリシーがどうなってるか)
6. How do you handle spamming? (どのようにスパム対策してるか)
7. Do you support Attribute exchange? (Attribute Exchangeに対応してるか)
8. Do you support PAPE? (PAPEに対応してるか)
9. What’s your registration process? (登録手続きがどのようになってるか)
10. Are you OpenID compliant (wait…that’s another big topic)? (OpenIDの仕様に準拠してるか。待てよ、もっと大事な事があるかも)
11. Do you charge your users? (ユーザーを管理出来てるかどうか)
12. Do you have a cool logo? (超クールなロゴを採用してるかどうかｗ)

と言った指標を打ち出してる。

まぁ最後のロゴはともかくして、概ね全うな事は言ってると思われる。
注意しなければならないのは、OpenID Attribute Exchange, PAPEの辺り。PAPEはOpenID Provider Authentication Policy Extensionの事でまだドラフトの仕様。Attribute Exchangeもドラフトのもの。

まだドラフトなのにreputation問題のトピックに挙がってるってのも、どうなんだろうなぁ。

reputation問題についてのまとめ