日向夏特殊応援部隊

俺様向けメモ

Re:OpenIDが面白いのはWebサービス間の連携

OpenID

概ね核心をついているんだけど、少し分かりにくいと思ったので補足してみたりとか。

結局、それなりに責任が伴うサービスとしては二段構えの対応にならざるを得なく、「お試し利用としてのOpenID対応」というフェーズと、「本気で使うならうちに個人情報を登録してね」という状態は分かれるだろう。 ユーザーサポートが絡むサービスであればあるほど、この部分は意識せざるを得ないし、マーケティングという大人の事情も絡めば絶対に無視できない。ネットのサービスはHTTPだけで完結するものではない。

f-shinさんが言っている「お試し利用」と「本気の利用」ってのは恐らく、メールアドレス等の個人情報を自前で持つか持たないかの話だと思うんですが合ってますかね?
Simple Registration Extension(sreg)Attribute Exchangeのような枠組みを使えばプロフィール交換が出来る訳で、これを用いればユーザーの個人情報をユーザーの同意が得られれば、OpenID Providerから拝借出来る訳なんだけど、そこまでやるサービスなのか、そうじゃないかって事かなと思いました。

そもそもOpenIDは単純な認証部分を外部のOpenID Providerに丸投げ出来ると言う要素と、プロフィール交換の枠組みが規定されているだけの物だから、この分析は正しいと思います。

せいぜいmixi日記に書かれたネタ的サービスに登録する程度のユーザーにとっては、今まで、メールアドレスと使い慣れたパスワードで登録可能だったサービスは、十分簡単なログイン方法であり、そんなに利便性があがるのか?というと結構疑問である。 そういうユーザーにとっては、例え「mixi.jp」だけでログインできるようになったとしても、OpenIDのログイン方法を覚えるコストは今とそんなに変わらないんじゃないか?と

この点は反論したいなと思います。

そもそも、ちょっとしたサービスとは言え何らかのIdentityとパスワードを登録しなければならないサービスは、必ず「会員登録」と言う手続きを踏まねばなりません。またいちいちメールアドレスの死活確認としての会員登録確認メール的な物が送られて来て、アクティベーションを行うってのは中々面倒な作業。
また使いなれたアカウント、メールアドレスやらパスワードと言う物を、ちょっと使いたいだけなのにも関わらずそうしたサービスに預けなければならないと言う事にもなり、余り嬉しく無いと思います。

また、恐らくちょっとしたサービスだから大した情報は入力の手間とか考えて取れないだろうと言う前提の元に作るのが多くの人が考える所だと思うのですが、仮に先のプロフィール交換が普及していくと、そうした懸念と言うのがだいぶ減って来ます。*1

また今までのOpenIDは長ったらしいIdentity URLを覚えておかねばなりませんでしたが、mixi.jpのようにOpenID ProviderのIdentifierを入力するだけで済むと言うのは相当利便性が高まると思います。

それよりも、「mixiのログインアカウントをそのまま使えます」ということに対して、フィッシングサイトにログイン情報を入れさせるのと同じように見えてしまうことを回避させる努力が必要に思える。

ここは仰る通りです。フィッシングはリダイレクションを挟む事から、

  • Relying PartyからOpenID Providerにリダイレクトする部分
  • OpenID ProviderからRelying Partyにリダイレクトする部分

にて、意図しない第3者のサーバーにアクセスしないような枠組みが必要だと思います。これはProviderだけの努力では如何ともし難いので、

  • ブラウザそのものがフィッシングサイトにアクセスさせないように
  • またブラウザ側でRP-OP間でのOpenIDのリダイレクトを検出し、関わるはずの無いホストへのリダイレクションがあった場合は検出しアクセスさせない

などと言った対策があるのが一番良さそうだと思います。
セキュリティに関しては、以前僕が書いた記事がある程度参考になるかと思います。

違う意味でオープンIDとなっていたりするので、場合によってはOpenIDに登録する方が利便性が下がることも考えられる。(もちろんセキュリティレベルが向上することを意味する)

これはなんか前の文章読んでも意味が分からなかった><

現状は、mixiサービス内で閉じている認証も、mixiの下にぶら下がる外部サービスという流れができれば、OpenID認証はユーザーが認識することなく使われる仕組みになるだろう。 オープンソーシャルなる流れと絡むのか否かは知らないが、サービス間の信頼関係が元々取れているなら、ユーザーが「OpenIDを利用する」ボタンを押す必要もなく、例えばWidgetのような形で、利用前に確認画面を出せば良い。具体的なベネフィットが伴うこの流れなら自然にsubmitボタンを押してもらえる。

暗にホワイトリストの存在を指してるって言えると思います。結果的にやはり事前にある程度信頼出来る相手とじゃないと現実的じゃない気がします。

まぁついでに言っておくとOpenIDってのはURLがIDになる訳です。今まではメールアドレスと言うレガシーなIDで、そこにメールを送ればコンタクトが取れそうだと言うのがIDたる所以だったんですが、それをURLとしてさらにそのURLの所有者に対してのコンタクト方法がきちんと定まれば、メールアドレスに取って変わる存在になりうる物だと思っています。

追記(2008-03-04T22:44:41+09:00)

id:miyagawaさんのブクマコメントより。

yahoo!sregに対応してないのはプライバシー上しょうがない(ウンコだとはおもわない)。あと Y!みたいにログインシールを出すとか、どっかのハードウェア認証みたいなので、Providerがフィッシング対策にできることもあ

文字数制限に引っかかったので途切れてるんですけど、Y!のsreg未対応の件については言葉が過ぎましたので謹んで訂正致します。

それとログインシールがY!で提供されているのは知りませんでした。ありがとうございます。
なるほど、こういう風にして自分が意図したProviderへリダイレクトされているかどうかを視覚的に判断させる方法もあるんですね。

*1:但しY!のOpenID Providerはsreg未対応。ウンコ過ぎる。追記参照