Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

BrowserID : Mozilla dévoile une alternative aux services d'authentification centralisée
Fondée sur le « Verified Email Protocol »

Le , par Idelways, Expert éminent sénior
Permettre aux utilisateurs de s'identifier aux différents sites sans mot de passe spécifique et sans passer par les services d'authentification centralisée (comme Facebook ou OpenID), telle est l'ambition de « BrowserID », une nouvelle expérimentation de la fondation Mozilla.

Fondé sur le nouveau protocole « Verified Email Protocol », BrowserID utilise une clé de chiffrement publique pour prouver très rapidement que l'utilisateur est bien le propriétaire de l'adresse email qu'il souhaite utiliser auprès des sites.

Deux clics suffiront donc pour clôturer l'opération, mais dans les coulisses, le site et le navigateur font appel à un service d'authentification.

Comme preuve de faisabilité, la fondation Mozilla a créé un site de test et son propre service BrowserID (browserid.com), mais étant basé sur un protocole libre, le principal atout de ce concept est qu'il peut être implémenté par n'importe quel fournisseur de compte email.

« Confier l'identification et la gestion de l'identité [de son site] aux grands services comme Facebook, Twitter ou Google est une option, mais ces produits ont leurs propres problèmes de verrouillage [lock-in] et de fiabilité, et soulèvent des inquiétudes sur la confidentialité des données », justifie Mozilla.

Pour utiliser BrowserID, l'utilisateur doit fournir un mot de passe et une adresse email, et confirmer cette dernière de manière classique, en cliquant sur le lien de confirmation ou en saisissant le code reçu sur sa boîte.

Le service crée dès lors un couple de clés de chiffrement, il utilise la clé publique et enregistre la clé privée au niveau du navigateur.

Quand l'utilisateur tente de s'identifier à un site qui implémente le protocole, l'utilisateur peut choisir l'adresse email qu'il souhaite utiliser pour ce site (s'il en a plusieurs reliées à BrowserID) et le voilà vite et bien identifié.

[ame="http://www.youtube.com/watch?v=l0t9yDLAmFo"]Présentation de BrowserID[/ame]

Il reste donc à convaincre les fournisseurs d'email à adopter indépendamment ce système afin de rendre toute création de compte BrowserID inutile et éviter la centralisation du concept comme c'est le cas pour d'OpenID.

En parlant de ce service qui utilise un protocole basé sur les Tokens, déclare la fondation : « ce que des années d'expérience avec OpenID (et des protocoles similaires) nous ont appris est que ce n'est pas une solution suffisante : établir un Token d'identification isolé du reste du Web, n'aide pas réellement les sites à s'engager avec leurs utilisateurs ».

Documentation pour implémenter BrowserID sur son site

Source : Mozilla

Et vous ?

Que pensez-vous de ce nouveau concept ?
L'adopteriez-vous pour vos sites quand il sortira en version stable ?
Quelles solutions d'identification préférez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Firwen Firwen - Membre expérimenté https://www.developpez.com
le 15/07/2011 à 19:37
Le système semble assez ingénieux, merci mozilla



A première vue,
Il permet trois choses vraiment intéressante:
- d’éviter le gros problème d'openID/OAuth : Un phishing qui conpromez l'intégralité de vos comptes en une fois en volant votre mot de pass dans un popup.
- d'éviter le détournement de DNS ( problème récurrent à OpenID/OAuth )
- Aucune transmission de password sur le réseau à aucun moment,à aucune entité. Donc pas de données compromise si le serveur OpenID est corrompu/piraté.

Par contre, Tout est dans le browser, en cas de changement de PC/device, si on se trimbale pas son certificat avec soit, c'est vraiment pas pratique :s
Avatar de Firwen Firwen - Membre expérimenté https://www.developpez.com
le 16/07/2011 à 13:42
Je l'adopterais sans hésiter quand... il y aura une solution pour sécuriser un peu plus !

Je parle du fait qu'apparemment si les cookies ne sont pas effacés, alors une personne peut utiliser notre identifiant sans problème...

Il est donc nécessaire de trouver une solution tout de suite à ce problème de sécurité sans quoi ce petit projet très sympa restera dans les cartons.

Tu as un lien vers ce probleme ?
Avatar de rocel rocel - Membre du Club https://www.developpez.com
le 16/07/2011 à 16:32
Citation Envoyé par Firwen  Voir le message
Tu as un lien vers ce probleme ?

il a raison, il suffi de tester, meme si on se deconnect, il est toujours possible de se reconnecter en 1 click .... sans demande de mot de passe ( donc si ce n'est pas toi ...)

je sais pas si j'ai pas vraiment compris le principe, parce que je vois pas trop où le concept est prouvé dans ce proof of concept.
j'ai cependant peut être manqué un truc.
Avatar de nazoreen nazoreen - Membre actif https://www.developpez.com
le 16/07/2011 à 16:52
Citation Envoyé par Firwen  Voir le message
Tu as un lien vers ce probleme ?

Comme Rocel l'a dit il suffit de tester.

Avec Firefox : Je me suis connecté une fois, puis reconnecté (donc plus besoin du mot de passe)

Avec Chrome : Je tente de me connecter et le système me demande le mot de passe, donc ce n'est pas sur l'IP qu'est mémorisé l'identifiant.

Avec Firefox : je ferme sans supprimer les cookies, j'ouvre et je retente, ça ne demande pas de mot de passe.

Avec Firefox : je supprime les cookies, je tente de me reconnecter et ça demande un mot de passe.

Donc le système utilise clairement les cookies selon moi.

L'idée est bonne mais manque singulièrement de sécurité.

Je pense qu'il faudrait le coupler à une clé USB qui aurait un certificat, mais là l'identifiant pourrait ne plus servir à rien sauf le choix peut-être...
Avatar de Firwen Firwen - Membre expérimenté https://www.developpez.com
le 16/07/2011 à 21:19
Par contre, Tout est dans le browser, en cas de changement de PC/device, si on se trimbale pas son certificat avec soit, c'est vraiment pas pratique :s

Autant pour moi défaut de compréhension de ma part, le premier schéma fait à la main n'étant pas des plus explicite :p.

Oui en effet, la session est maintenue via un cookie, qui se voit trés bien sous firebug d'ailleurs.
Mais la durée de validité de la session semble configurable dans la norme et le cookie est envoyé uniquement via https au primary browserid,
alors est-ce réellement un problème ?
Avatar de nazoreen nazoreen - Membre actif https://www.developpez.com
le 16/07/2011 à 22:44
Citation Envoyé par Firwen  Voir le message
Mais la durée de validité de la session semble configurable dans la norme et le cookie est envoyé uniquement via https au primary browserid,
alors est-ce réellement un problème ?

Bien je pense que oui, un hacker (pas besoin d'être très bon) peut certainement spoofer tout ça...

Moi je ne fais jamais confiance aux cookies et autres subtilités côté client, ça donne trop d'incertitude sur la sécurité.
Avatar de ulspider ulspider - Membre éprouvé https://www.developpez.com
le 18/07/2011 à 10:09
Pour le moment j'utilise PassPack, ça réponds à mes attentes
Avatar de Julien Bodin Julien Bodin - Membre éclairé https://www.developpez.com
le 18/07/2011 à 11:59
Le fait qu'on soit bloqué sur sa machine est rédhibitoire pour moi. Si j'ai un webmail c'est pour pouvoir consulter mes mails depuis n'importe quelle machine.
Avatar de Firwen Firwen - Membre expérimenté https://www.developpez.com
le 18/07/2011 à 13:28
C'était une mauvaise compréhension de ma part d'un schéma de spec ( ).

C'est tout à fait possible de s'authentifier sur plusieurs machine avec juste un password.
Avatar de firebird_dev firebird_dev - Nouveau membre du Club https://www.developpez.com
le 20/07/2011 à 14:29
Avatar de tralloc tralloc - Membre actif https://www.developpez.com
le 21/07/2011 à 9:41
@Julien Bodin
J'imagine qu'avec firefox sync on sera moins lié à SA machine.

Par contre à mon sens le problème viens si on est dans un cybercafé, une machine partagée...
Offres d'emploi IT
Ingénieur H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil