OpenID на сервере Афиши

[dolboed]

Вебдванольный сервер Афиши втихомолку обогатился возможностью, известной в миру как OpenID.
Если кто не в курсе, это такой протокол, придуманный Брэдом Фитцпатриком, позволяющий пользователю ЖЖ на любом другом сайте идентифицироваться как username@livejournal.com, не вводя пароля, и добавлять там любого рода записи, локально не регистрируясь (если, разумеется, этот сайт поддерживает OpenID). В обратную сторону тоже работает: можно и в ЖЖ залогиниться пользователем любой другой платформы... Создатели проекта рассказывают, что, несмотря на незадокументированность этой новой фичи, введённой в тестовом режиме, в первые же дни ею воспользовались примерно 10% посетителей сайта Афиши.

Я не поленился протестировать: всё работает, как надо.
Можно даже нахлобучить на свой OpenID-логин целую афишную анкету (в которой криво имплементированы поля MSN и Gtalk, остальное прекрасно работает). В анкете можно указать свои ники в ЖЖ, LiveInternet, Last.fm, del.icio.us, а также логины в ICQ, Skype, MSN, Gtalk (отсутствие flickr в этом списке выглядит, пожалуй, ещё более подозрительно, чем присутствие лирушечки).
Ограничение одно: нельзя при заполнении анкеты OpenID-пользователя Афиши указывать тот адрес Email, который система уже закрепила за одним из своих логинов. Нужно придумывать другой. Что в общем случае дурацкое дело нехитрое. Скажем, любой платный пользователь ЖЖ может юзернейм@livejournal.com и в качестве почтового адреса задействовать, там у платников пересылка почты стоит.

Непонятно теперь только, что делать с моим изначальным афишенским логином.

Comments

[apazhe-at-lj.livejournal.com]

Ну вот к примеру, модуль опенайди для друпала позволяет склеить опенайди с обычным логином или наоборот. Посмотреть, как это - можно на http://lib.rus.ec

[liora-silver.livejournal.com]

Как сделать себе OpenID и какие сайты его поддерживают?
Глючный сайт Афиши меня не интересует.

[prblnce.livejournal.com]

во-во, как раз юзернейм@livejournal.com и использовал ... что проще и просто логичней ...

[yakovis.livejournal.com]

у вас уже есть. где попросят openid, вводите liora-silver.livejournal.com

[liora-silver.livejournal.com]

Спасибо, а где найти список сайтов, его поддерживающих?

[yakovis.livejournal.com]

http://openiddirectory.com/
ну вот тут есть некий список, но вряд ли он полон.

[liora-silver.livejournal.com]

Аа, нет там рускоязычных :(
Тогда, зачем он, OpenID, нужен, тогда?

[yakovis.livejournal.com]

эээ. Есть ли там русскоязычные, я не знаю. Русскоязычных сайтов, поддерживающих openid, довольно много. Вот Афиша теперь.

Зачем он нужен лично вам, вам и решать.

[yakovis.livejournal.com]

впрочем, поискал наскоро... в той или иной форме яндекс и рамблер, афиша и таймаут, xpoint, куча блогов.

[liora-silver.livejournal.com]

Ключевое слово для поиска?

[yakovis.livejournal.com]

я искал не в поисковиках, а по собственному rss-ридеру.

но зачем? везде, где предлагают залогиниться, об этом обычно написано.

[liora-silver.livejournal.com]

Что за фича такая персональный rss-ридер?
Прошу прощения за настырность и обещаю, что этот вопрос будет последним.

[yakovis.livejournal.com]

Тут, мне кажется, довольно понятно: http://ru.wikipedia.org/wiki/Rss

я читаю rss с помощью lenta.yandex.ru

что делать с моим изначальным афишенским логином

[nuns-islander.livejournal.com]

продать на благотворительном аукционе

[urbansheep.livejournal.com]

Антон, изначальный логин придержите пока, его потом можно будет склеить с опенайди-логином.

Фича не такая уж недокументированная — при входе на сайт форма честно предлагает войти с логином из ЖЖ/Лиру, поясняя про опенайди.

[dolboeb.livejournal.com]

Не при входе на сайт, а только при вызове всплывающего окна login.
Излишне говорить, что при полном отсутствии срока годности у собственного афишного логина, человек, один раз зарегистрированный на этом сервере, вообще не имеет шансов узнать, что такая новая фича появилась.
По крайней мере, пока не сменит браузер.

[urbansheep.livejournal.com]

При наличии логина афиши и регулярном его использовании фича с опенайди довольно бесполезна.

Её смысл всё же в том, чтобы, не пришлось проходить нуднятину с регистрацией/емейлами/паролями тем, кто только что пришёл и хочет вот-прям-щас сказать, что клуб Икра жжот, а Пропка сакс, и что Михалков в фильме 12 превзошёл себя же в цирюльнике и потому невыносимо это смотреть.

[yurvor.livejournal.com]

А можно ли сделать так, чтобы при входе на Афишу меня _не_ опознавали как ЖЖ-пользователя автоматически?

[maksa.livejournal.com]

Аналогичный вопрос — почему авторизация на серверах kommersant.ru, livejournal.ru, ljplus.ru происходит с параметром checkid_immediate вместо checkid_setup и, соответственно, без явного подтверждения пользователем? Я не желаю передавать сторонним сервисам информацию о том, какой ЖЖ-логин открыт на моём компьютере в тот момент, когда я их посещаю. Это частная информация, и я должен иметь возможность не предоставлять её, если не имею на то желания.

[dolboeb.livejournal.com]

По этому поводу есть некие рацпредложения, которые потихоньку внедряются.
Надеюсь, в обозримом будущем появится возможность это распознавание отключать.
Но тут не всё от нас зависит.

[dolboeb.livejournal.com]

Аналогичный вопрос — почему авторизация на серверах kommersant.ru, livejournal.ru, ljplus.ru происходит с параметром checkid_immediate вместо checkid_setup и, соответственно, без явного подтверждения пользователем?

Правильная формулировка вопроса, если угодно - почему вообще существует в природе checkid_immediate?
Потому что если он существует, то всегда есть риск, что он будет кем-то использован.

Я надеюсь, что по этому вопросу будет автоматический opt out в ЖЖ.
Все спецификации сданы в Калифорнию летом.

[yurvor.livejournal.com]

Спасибо за ответ.

А нельзя ли попросить кого-нибудь из СУПа, чтобы он осветил этот вопрос? А то нареканий раздаётся много, а ясности - никакой...

[maksa.livejournal.com]

Правильная формулировка вопроса, если угодно - почему вообще существует в природе checkid_immediate?

Я не автор OpenID, но предполагаю, для того, чтобы для отдельных пар «зависимая сторона — провайдер OpenID» была возможна авторизация без лишнего ввода пароля, просто по факту логина на сервере OpenID-провайдера.

Вообще, нетрудно заметить, что это немного разные вещи — автоматическое узнавание пользователя и его беспарольная (методом checkid_immediate) авторизация. Первое без второго невозможно, но второе не подразумевает первого. Претензия-то не к тому, что ЖЖ автоматически подтверждает запрос от «Коммерсанта», а к тому, что при этом «Коммерсант» делает это не при попытке пользователя оставить комментарий, предварительно введя свой ЖЖшный OpenID, а сразу при загрузке страницы! Логично, если бы kommersant.ru отправлял запрос к ЖЖ (пусть и с параметром checkid_immediate) лишь при попытке пользователя авторизоваться, когда тот руками ввёл свой ЖЖшный OpenID или просто логин в ЖЖ. А если не вводил, то и запроса быть не должно.

Не секрет, что «Коммерсант» не поддерживает OpenID в полном объёме, а использует технологию лишь для опознания пользователей ЖЖ. Очевидно, что авторизация через OpenID изначально планировалась для того, чтобы моментально узнавать ЖЖшников при заходе на страницу. Получается, что когда принималось решение о том, что «Коммерсант» будет автоматом получать подтверждения ЖЖшных логинов, уже было известно, что узнавать пользователей будут без их ведома, и избежать этого штатными средствами у них не получится. Загрузил страницу — готово: информация о твоей личности передана третьей стороне. Собственно, поэтому претензия не к Брэду и даже не к «Коммерсанту», а к тому, кто договаривался с последним об автоматической авторизации. Видимо, к СУПу.

[a-sergeyev.livejournal.com]

Обратите внимания на One-Face.ru, это поудобнее будет, чем OpenID. Наберется побольше сайтов, станет таким же стандартом, а из-за большего юзабилити, возможно, и затмит.

[dolboeb.livejournal.com]

Это называется "куда конь с копытом, туда и рак с клешнёй".
В России насчитывается 2,7 млн блогов с поддержкой OpenID и 11 блогов с поддержкой One-Face.
В мире больше 100 млн блогов с поддержкой OpenID, и 11 блогов с поддержкой One-Face.
Какие удобства могут перевесить глобальную совместимость?

[a-sergeyev.livejournal.com]

Какие удобства - пользовательские. Отсутствие необходимости что-то с клавы вводить, посещая каждый новый сайт.
OpenID не дает автоматизации. Это просто распределенные учетные записи.
Плюс соображения конфиденциальности и безопасности.

Насчет цифр, вы правильно их указали, но неправильно истолковали. 100 млн блогов в мире могут поддерживать OpenID. Но это не означает, что этой фичей пользуются.

Кстати, One-Face не конкурент OpenID. В One-Face поддерживается OpenIВ протокол, и выдается желающим сайтам указанный пользователем OpenID-URL. Но веры, что это кому-нибудь из подключенных сайтов пригодится, честно говоря, никакой. Есть более удобная фича.

Поживем - увидим:)

[heavywave.livejournal.com]

я вам поражаюсь. openid тут не при чём. просто запретите своему браузеру отдавать куки всем подряд.
меня ни один из перечисленных сайтов не распознаёт.

[dolboeb.livejournal.com]

В sup_ru можно запросто задать этот вопрос.
Его там, кстати, задавали неоднократно. :)

[dolboeb.livejournal.com]

Вы так много написали, а casus belli - в одной фразе, ближе к концу.

Загрузил страницу — готово: информация о твоей личности передана третьей стороне.

А вот этого-то как раз и не происходит.

[yurvor.livejournal.com]

Ну, в общем, суть проблемы подробно описана здесь - http://community.livejournal.com/sup_ru/162607.html

Однако ни работники LJ-дот-ру, ни уж тем более LJ-дот-ком как-то не комментируют подобные заявления... И, в общем, не слишком понятно, зачем существует http://www.livejournal.com/openid/options.bml, если этот список пополняется без ведома пользователя...

В общем, здесь я спрашиваю, потому что там не отвечают :)

[yurvor.livejournal.com]

Т.е. спасение утопающих - дело рук самих утопающих. чтд.