RP Discovery の件

ぼくも, この RP Discovery のネタがセッションの中で出てきたときには, そこまで話すのかーと思ってニヤニヤしてしまった. ちなみに資料では 「利用している OP は殆ど無い」 となってるけど, 少なくとも一社, Yahoo! がやってるらしい.

このRP Discoveryって良い仕組みかもなと思いました。
事前にRPが自分の return_to と realm を指定しておいて、おかしなリクエストが来ていたら弾くってのは、
リダイレクトベースの認証プロトコルでは安全性が増すのかなと。

Yahoo! の OP としての実装はさすがに手堅いと思わせる内容なので、今後のYahooの実装のあり方も目が離せないなーと思います。

Me generation の件

「おれはこの Flickr の URL を使って己のディジタル・アイデンティティを確立していくぞ!」 という, Eve Maler が名づけるところの 「Me generation」 の人にとっては, そのサービスが, 積極的に自分の Flickr URL をさらけだしてくれることを望むのではないかと.

あ、これは飲み会ネタですね。確か僕が言ったのは、
「URIにせよXRIにせよ画面に出すIdentifierとして微妙じゃないか」みたいな話だったはず。

確かにドメイン名から個が連想出来るだとか、はてなだとしたらはてなidから個人が連想出来るくらいのレベルであれば、URIだとかXRIが表現する文字列がアイデンティティ足りえるんだと思いますが、XRIはともかくURIは一般人にとってはそうはならないだろうなと思います。

とは言え対象とするユーザがそちらの方が分かりやすい場合はそれでも構わないとは思います。*1
この話はユースケース次第なので答えは無いですけどね。

プレゼンのClaimd IdentifierをRP上の"ID"としてそのまま採用するというケースは利便性の向上と言う観点から行くと、新たに立ち上げるサービスならばともかく、既存のシステムに入れる場合は余りよろしくないなと思います。
気になって調べたiKnowですが、既存のアカウントに対してOpenID認証でログインさせるような仕組みがどうも無さそうでしたが、こういう実装は余りよくないなと思う次第です。

SSOとしてのOpenIDの利用をまず先に訴えるのが先決なのかなーと。

XRI とか CanonicalID とか

一人の持つ複数の i-name (e.g. =zigorou) が, 最終的には一つの i-number (e.g. =!545A.6972.43FA.38AD) にひもづく」 というしくみは, いわゆる 「ペルソナ」 との相性があんまよくないように見える. つまり性質の異なる RP ごとに, それぞれ違う i-name を用いても, 結局は一人の個人に結びついてしまうんじゃないかと.

なるほど、確かに仰る通りですね。
これってどちらかと言うと一つのi-numberに割り当てるi-nameが "複数" であることその物が問題な気がしますね。
ペルソナの使い分けが用途として発生するのって公私での使い分けが最もユースケースとしてあり得そうなので、その場合別のi-nameを取るのが妥当な気がします。

ついでに, その Internet Identity Workshop のお話とかも聴きたいなー. ぜひぜひ. > =nat さん

IIWに行く人は、本職の人は多そうだし誰かしらがダイジェスト版みたいな感じで噛み砕いた内容を聞かせてくれると嬉しかったりしますね。

それと今度 XRI 2.0 の webinar があるらしくて, ちょっと興味あるんだけど, 日時が日本時間の 5/7 未明なんだよなあ..

そうそう、そうなんですよねー。僕も興味あったんだけど、内容って公開されちゃったりしないのかなー。XRIの中の人たちの温度感みたいなの知りたいんですよね。

Reputation の話

「今度改めて」は変わらないんですけど、

ぼくが思ったのは, たとえば Yahoo! OpenID のリピュテーション・スコアは低くなるだろう, とぼくは勝手に想像してる (みんなにタダでアカウントを配ってるから) んだけど, だからといって, RP がそれをもって Yahoo! の OpenID の受け入れを拒否するようなことはないのではないか, でもそしたら 「リピュテーション・スコア」 って何のためにあるのかわからないなー, ってことです.

いや、これは分かります。元の文章が酔っ払って書いてるのでｇｄｇｄ感満載*2なのですが、セキュアであり、信頼がおけるという観点から評価したらそうなるんでしょうね。但しビジネス的な側面を考えると広く知られる(あるいは知られたい)WebサイトがRPとなるときYahooのようなメガOPを無視するなんてあり得ないでしょう。

Reputation Service が誰でもやれて、評価基準にある程度の分類があり、例えば監査したよ的な側面で評価している Reputation Service があっても、それを参考にするかしないかは RP の性質によるんでしょうね。
何となくなんですが、評価値を求めるのはよりセキュアでヘビーな話なのかなと思っていて、先日思ったのは、「セキュア」な用途で使えると言うOPがクリアすべき指針を定めて、XRDSかなんかで主張*3し、これはセキュアじゃないとけしからんみたいな用途の時に、そういう主張をしているOPに対して Reputation Service に問い合わせが行くみたいな、extension としての扱いがしっくりきそうと思いました。

しょこたん

あまりのアイデンティティ・セレブっぷりに軽く嫉妬しましたw

ｗｗｗｗｗｗｗ
アイデンティティがもてるとかだったら面白いんですけどねｗ
しょこたん見てるー？

某OP

某 OP はギャグでやってんのかとか

きゃー＞＜

OpenID と自分の考えるアイデンティティ感

OpenID のメリットと言うか、良さってやっぱり、

• それがURIないしはURI化出来る物(XRI)であること

が最もでかいなと思ってます。user centricはその次なのかなと。
twitterを例にすると、followとか気軽でいいんだけど、素で思うのはお前誰だよと言う疑念が晴れぬまま、いつの間にかタメ語を使われるみたいな気持ち悪さがあったりして、それはそれでフランクでいいなと思う反面、何となく気持ちが悪い側面もあったり。
でもそれがURIで、URIで○○の人だったのかーとか分かるってのは中々面白い事だし、アイデンティティって本来そうあるべきなのかと勝手に思ってます。*4

そう思うとURIベースの知人関係だとか、知人だとか信頼関係をベースとしてメールじゃないコンタクトが取れたりとかそういう方向性があると面白いなーとか思って居たりします。

次のidconでそういう話をしてみたいなー。

以上、酔っ払いの戯言でした。