BrowserID er en metode som ble presentert i juli 2011, for å bruke e-postadresser for å bevise en identitet og logge på et nettsted raskt og trygt.

Systemet ble utviklet av Mozilla Labs.

Den er designet for å være enklere og raskere enn esisting-metoden til et nettsted som sender deg en e-post, og du klikker en kobling for å bekrefte din sanne identitet.

Så hvorfor er det viktig, og hvordan vil det fungere? Vi bestemte oss for å finne ut.

Q. Hvordan ville det fungere i praksis?

A. For å logge på et nettsted som støtter BrowserID, trenger du bare å klikke på en Logg inn-knapp og deretter velge hvilken e-postadresse du vil bruke fra en meny. Din nettleser og nettsiden vil ta vare på alt annet.

Q. Hva med å logge inn via Facebook, Twitter eller Google? Det ville være enda raskere og enklere, ville det ikke?

A. Ja, når du surfer når du er logget på noen av disse portaler, trenger du ikke gjøre noe, siden et nettsted som er tilknyttet dem, vil umiddelbart vite hvem du er. Og det er problemet. Outsourcing disse oppgavene til gigantiske private tilbydere skaper mange låse-og personvern problemer.

Q. Det er sikkert sant, men vent et sekund! Var ikke OpenID ment å gi (mer eller mindre) samme tjeneste?

A. Faktisk var det. I praksis ser det ut som om OpenID ikke oppnådde kritisk masse av flere grunner. Sannsynligvis den største var behovet for midlertidig å gå til et annet nettsted for å få tilgang til den du ønsket å besøke.

Med mindre noen virkelig forstår verdien av pålitelige online autentiseringstjenester (og bryr seg om det), er det mye mer besværlig enn å bare fortelle en nettleser for å huske alle passord, eller klikk på boksene Husk meg som tilbys av de fleste log-in webskjemaer. BrowserID forsøker å gi samme nivå av sikkerhet og tillit som OpenID, men på en mye mer gjennomsiktig måte.

Q. Fortell meg mer om personvern i BrowserID, vær så snill.

A. Først og fremst, i motsetning til andre innloggingssystemer, tvinger BrowserID ikke brukeren til å dele eller overføre online personlige, sensitive data, for eksempel fødselsdato. I tillegg til dette, er BrowserID designet for ikke å overføre til noen serverdata om hvilke websider du besøker.

Spørsmål Hvorfor er BrowserID basert på e-postadresser?

A. Først av alt, fordi alle som bruker nettet regelmessig, allerede har minst en e-postadresse og vet at den allerede er brukt som en identitets- og autorisasjons-token. Deretter fordi e-postadresser ikke styres eller kontrolleres av en enkelt organisasjon.

Til slutt, fordi nesten alle nettsteder som krever at brukerne logger på, lagrer allerede deres e-postadresser for å håndtere direkte kommunikasjon, tilbakestillingsanmodninger for passord og andre tjenester. Derfor gir BrowserID dem en bedre måte å bruke til å godkjenne noen brukerdata som de allerede har.

Q. Ville BrowserID hindre meg fra å bruke mine favoritt kallenavn på disse nettstedene?

A. Ikke i det hele tatt. E-postadressen brukes bare til den første godkjenningen. BrowserID begrenser på ingen måte hvordan et nettsted lar deg konfigurere din lokale konto.

Spørsmål: Kan jeg ha flere BrowserID-identiteter da?

A. Selvfølgelig. Det eneste kravet er at hver av dem er knyttet til en annen e-postadresse.

Q. Hva med andre programmer, for eksempel chat-klienter? Kan jeg også bruke BrowserID med dem, eller er det bare en nettleser for nettleseren?

A. Ja, det kan du, så lenge disse programmene implementerer protokollen, og gi brukerne et grensesnitt for å logge inn på deres identitetsleverandør for å få nøklene. Disse kan deretter lagres i Kwallet eller en annen desktop-basert passordbehandling.

Q. Beklager, hvilken protokoll og nøkler? Er BrowserID basert på en slags proprietær teknologi?

A. Nei. Teknisk sett er BrowserID et program av den verifiserte e-postprotokollen; et desentralisert autentiseringssystem basert på offentlig / privat nøkkelkryptografi, der brukerne kan vise til et nettsted at de eier en e-postadresse.

Q. Fungerer BrowserID på alle nettlesere?

A. BrowserID kan fungere på alle moderne nettlesere, inkludert mobile enheter. Det eneste kravet er at disse nettleserne er kompatible med JavaScript-APIen for BrowserID. Dette sa, selv om du ble tvunget til å bruke en ikke-kompatibel nettleser, ville det fortsatt være mulig å bruke en tilsvarende nettbasert tjeneste.

Q. Hva skal jeg gjøre for å begynne å bruke BrowserID?

A. Du må logge deg på den gamle måten til nettstedet til din identitetsleverandør. Den serveren vil da fortelle nettleseren din, via en JavaScript-API, å generere et offentlig / privat par kryptografiske nøkler.

Like etter det vil nettleseren sende den offentlige nøkkelen til identitetsleverandøren og få tilbake et signert identitetssertifikat. Nettleseren vil da lagre den private nøkkelen og sertifikatet som det ville gjøre med tradisjonelle passord.

Spørsmål: Hva vil skje neste, når jeg besøker et nettleser-kompatibelt nettsted?

A. Det nettstedet vil fortelle nettleseren din å kjøre en JavaScript-funksjon som spør deg om du vil logge inn og med hvilken identitet - det er e-postadressen.

Q. Og når jeg godtar ...

A. Nettleseren vil sende til identitetssertifikatet, signert med den private nøkkelen. På det tidspunktet vil nettstedet laste ned din offentlige nøkkel fra din identitetsleverandør og bekrefte at signaturen er autentisk.

Q. Og det er slik jeg vil bevise for den nettsiden at jeg egentlig er den jeg sier jeg er?

A. Ja ... og nei. Hva denne prosedyren gir, er en bekreftelse fra tredjepart (i motsetning til hva som skjer med informasjonskapsler!) At godkjenningsforespørselen kommer fra en nettleser som har den hemmelige nøkkelen som er knyttet til den angitte e-postadressen. Som betyr at…

Spørsmål. Jeg burde aldri la andre folk bruke nettleseren min!

A. Det er helt sant. Det er imidlertid den samme risikoen du allerede møter med alle andre autentiseringssystemer som ikke tvinger deg til å skrive inn et passord hver gang, er det ikke?

Q. Jeg antar at det er sant, men dette betyr også at jeg ikke vil kunne godkjenne fra andre nettlesere, rett?

A. Det avhenger. Det er virkelig opp til deg. I og av seg tillater BrowserID at du har ett sertifikat for hver datamaskin eller smarttelefon du bruker, inkludert lånte eller offentlige enheter som internettkiosker. Selvfølgelig, i disse tilfellene måtte du slette den private nøkkelen og sertifikatet så snart du er ferdig!

Q. La oss gå tilbake til identitetsleverandører. Du fortsetter å nevne dem - hvem er de?

A. I det enkleste og mest naturlige scenariet vil din BrowserID-identitetsleverandør være din e-postleverandør.

Q. Hva om det ikke støtter systemet?

A. Du kan fortsatt bruke, uten problemer, en pålitelig, sekundær identitetsleverandør som tilbyr de samme tjenestene. Mozilla Foundation, for eksempel, har opprettet et nettsted kalt BrowserID.org for dette formålet, for å øke hastigheten på testing og adopsjon av BrowserID.

Q. Å, ja, adopsjon. Hva er den nåværende statusen til BrowserID? Bruker noen det allerede?

A. Når du skriver dette stykket (slutten av november), er BrowserID fortsatt i sin barndom. De fleste nettleserutviklere har ikke annonsert noen offisielle planer om å integrere BrowserID-støtte i deres programvare. Det er ikke det største problemet, skjønt.

Q. Egentlig? Hva er det da?

A. Det virkelige åpne spørsmålet er om og når de store e-postleverandørene og nettsamfunnene, som Facebook og Twitter, vil støtte BrowserID - det er blitt identitetsleverandører. Spesielt når de, som Facebook, har eget eget alternativ.

Dessuten må alle disse leverandørene være enige om en standard måte å gjøre offentlige nøkler tilgjengelige. Heldigvis gjør ingen av dette det umulig å prøve BrowserID eller implementere det på nettstedet ditt.

Q. Det er kult. Hvordan kan jeg prøve det i dag?

A. For øyeblikket er den beste måten å se hvordan du bruker BrowserID, å besøke det offisielle demoområdet på Myfavoritebeer.org.

Q. Hva med webmastere?

A Hvis de bruker populær åpen kildekode programvare, for eksempel WordPress eller Drupal, er de heldige: BrowserID-plugin-moduler for disse innholdsstyringssystemene eksisterer allerede.

Alternativt må de følge instruksjonene for utviklere publisert på browserid.org. Selv i så fall vil de kunne bruke BrowserID uten å måtte skrive noen autentiseringskode av seg selv.

--------------------------------------------------------------------------------------------------

Først publisert i Linux Format Issue 154