BrowserID è un metodo, presentato nel luglio 2011, per utilizzare gli indirizzi email per dimostrare un'identità e accedere a un sito Web in modo rapido e sicuro.

Il sistema è stato sviluppato da Mozilla Labs.

È progettato per essere più semplice e veloce del metodo esisting di un sito che ti invia un'email e fai clic su un link per verificare la tua vera identità.

Quindi, perché è importante e come funzionerà? Abbiamo deciso di scoprire.

D. Come funzionerebbe nella pratica?

R. Per accedere a un sito Web che supporta BrowserID, è sufficiente fare clic su un pulsante Accedi e quindi selezionare da un menu quale indirizzo email si desidera utilizzare. Il tuo browser e il sito web si prenderanno cura di tutto il resto.

D. Che ne dici di accedere tramite Facebook, Twitter o Google? Sarebbe ancora più veloce e semplice, non sarebbe così?

R. Sì, quando stai navigando mentre sei loggato in uno di questi portali, non devi fare nulla, dal momento che qualsiasi sito web collegato con loro saprà immediatamente chi sei. E questo è il problema L'esternalizzazione di questi compiti a provider privati ​​giganti crea molti problemi di lock-in e protezione della privacy.

Q. Questo è sicuramente vero, ma aspetta un secondo! OpenID doveva fornire (più o meno) lo stesso servizio?

A. In effetti lo era. In pratica, sembra che OpenID non sia riuscito a raggiungere la massa critica per diversi motivi. Probabilmente il più grande era la necessità di andare temporaneamente su un altro sito web per accedere a quello che volevi visitare.

A meno che qualcuno non comprenda davvero il valore dei servizi di autenticazione online affidabili (e se ne preoccupi) è molto più complicato che dire a un browser di ricordare tutte le password o fare clic sulle caselle Remember Me fornite dalla maggior parte dei moduli di accesso. BrowserID tenta di fornire lo stesso livello di sicurezza e affidabilità di OpenID, ma in un modo molto più trasparente.

D. Parlami di più sulla protezione della privacy in BrowserID, per favore.

R. Innanzitutto, a differenza di altri sistemi di accesso, BrowserID non obbliga l'utente a condividere o trasmettere dati personali sensibili online come la data di nascita. Oltre a questo, BrowserID è progettato per non passare a nessun dato del server su quali pagine web visiti.

D. Perché BrowserID si basa su indirizzi email?

R. Innanzitutto perché tutti utilizzano regolarmente il web almeno un indirizzo e-mail e sa che è già utilizzato come token di identità e autorizzazione. Successivamente, perché gli indirizzi email non sono controllati o controllabili da nessuna singola organizzazione.

Infine, poiché praticamente tutti i siti Web che richiedono ai propri utenti di accedere memorizzano già i propri indirizzi e-mail per gestire comunicazioni dirette, richieste di reimpostazione della password e altri servizi: pertanto, BrowserID offre loro un modo migliore di utilizzare per autenticare alcuni dati utente che hanno già.

D. BrowserID mi impedirà di utilizzare i miei nickname preferiti su tali siti Web?

A. Assolutamente no. L'indirizzo email è utilizzato solo per l'autenticazione iniziale. BrowserID non limita in alcun modo il modo in cui un sito Web ti consente di configurare il tuo account locale.

D. Potrei avere più identità ID del browser allora?

A. Certo. L'unico requisito è che ognuno di essi sia associato a un indirizzo email diverso.

D. Cosa ne pensi di altre applicazioni, come i client di chat? Potrei usare BrowserID anche con loro, o è una cosa del solo browser?

R. Sì, è possibile, purché tali programmi implementino il protocollo e forniscano ai propri utenti un'interfaccia per accedere al proprio provider di identità per ottenere le chiavi. Questi possono quindi essere archiviati in Kwallet o in qualsiasi altro gestore di password basato su desktop.

D. Scusa, quale protocollo e tasti? BrowserID è basato su una sorta di tecnologia proprietaria?

R. No. Tecnicamente parlando, BrowserID è un'applicazione del protocollo Email verificato; un sistema di autenticazione decentralizzato basato su crittografia a chiave pubblica / privata, attraverso il quale gli utenti possono provare a un sito Web di possedere un indirizzo email.

D. BrowserID funziona su tutti i browser?

A. BrowserID può funzionare su tutti i browser moderni, compresi quelli mobili. L'unico requisito è che quei browser siano compatibili con l'API JavaScript BrowserID. Detto questo, anche se si fosse costretti a utilizzare un browser non conforme, sarebbe comunque possibile utilizzare un servizio Web equivalente.

D. Cosa devo fare per iniziare a utilizzare BrowserID?

A. Devi accedere al vecchio modo al sito web del tuo provider di identità. Quel server dirà quindi al tuo browser, attraverso un'API JavaScript, di generare una coppia pubblica / privata di chiavi crittografiche.

Subito dopo, il browser invierà la chiave pubblica al provider di identità e recupererà un certificato di identità firmato. Il browser memorizzerà quindi la chiave privata e il certificato come farebbe con le password tradizionali.

D. Cosa succederebbe successivamente, quando visiterò un sito Web conforme a BrowserID?

A. Quel sito web dirà al tuo browser di eseguire una funzione JavaScript che ti chiede se vuoi accedere e con quale identità - che è l'indirizzo email.

D. E quando accetto ...

A. Il browser invierà al sito web il certificato di identità, firmato con la chiave privata. A quel punto, il sito Web scaricherà la tua chiave pubblica dal tuo provider di identità e verificherà che la firma sia autentica.

D. Ed è così che dimostrerò a quel sito che sono davvero chi dico di essere?

A. Sì ... e no. Ciò che questa procedura fornisce è una conferma di terze parti (diversamente da quanto accade con i cookie!) Che la richiesta di autenticazione proviene da un browser che ha la chiave segreta associata all'indirizzo di posta elettronica fornito. Che significa che…

D. Non dovrei mai permettere ad altre persone di usare il mio browser!

A. È assolutamente vero. Tuttavia, è lo stesso rischio che si ha già con ogni altro sistema di autenticazione che non ti obbliga a inserire una password ogni volta, non è vero??

Q. Suppongo che sia vero, ma questo significa anche che non sarò in grado di autenticarmi da altri browser, giusto?

A. Dipende. Dipende solo da te. In sé e per sé, BrowserID ti consente di avere un certificato per ogni computer o smartphone che utilizzi, compresi quelli presi in prestito o pubblici come i chioschi internet. Ovviamente, in quei casi dovresti eliminare la chiave privata e il certificato non appena hai finito!

D. Torniamo ai provider di identità. Continui a menzionarli - chi sono loro?

A. Nello scenario più semplice e naturale, il tuo provider di identità BrowserID sarebbe il tuo provider di posta elettronica.

D. Cosa succede se non supporta il sistema?

R. Si può ancora utilizzare, senza problemi, un provider di identità secondario affidabile che offre gli stessi servizi. La Mozilla Foundation, ad esempio, ha creato un sito Web chiamato BrowserID.org per questo scopo, al fine di accelerare i test e l'adozione di BrowserID.

D. Ah, sì, adozione. Qual è lo stato corrente di BrowserID? Qualcuno lo sta già usando?

A. Al momento della stesura di questo pezzo (fine novembre), BrowserID è ancora agli inizi. La maggior parte degli sviluppatori di browser non ha annunciato alcun piano ufficiale per integrare il supporto BrowserID nel proprio software. Questo non è il problema principale, però.

Q. Davvero? Quindi cos'è?

R. Il vero problema è se e quando i principali provider di posta elettronica e le comunità online, come Facebook e Twitter, supporteranno BrowserID, che diventa provider di identità. Soprattutto quando, come Facebook, hanno la loro alternativa interna.

Inoltre, tutti questi fornitori dovrebbero concordare un modo standard per rendere accessibili le chiavi pubbliche. Fortunatamente, nulla di tutto ciò rende impossibile provare BrowserID o implementarlo sul tuo sito web.

Q. Fantastico. Come posso provarlo oggi?

R. Per il momento, il modo migliore per vedere come si usa BrowserID è visitare il sito demo ufficiale su Myfavoritebeer.org.

D. E i webmaster?

A Se utilizzano software open source popolare, come WordPress o Drupal, sono fortunati: i plug-in BrowserID per quei sistemi di gestione dei contenuti esistono già.

In alternativa, dovrebbero seguire le istruzioni per gli sviluppatori pubblicati su browserid.org. Anche in quel caso, però, sarebbero in grado di utilizzare BrowserID senza dover scrivere alcun codice di autenticazione autonomamente.

--------------------------------------------------------------------------------------------------

Pubblicato per la prima volta in Linux Format Issue 154