Traduction d'un article de Marshall Kirkpatrick paru sur ReadWriteWeb le 21 avril 2008. Publiée ici sous usage raisonnable à des fins d'étude. Seul le lien original fait référence.

Grosse actualité dans le monde OpenID ; de nouvelles solutions arrivent sur le marché et cherchent à résoudre ce qui demeure probablement le plus gros problème que rencontre le paradigme - l'utilisabilité.

JanRain, propriétaire de MyOpenID.com, et ConfidentTechnologies sont toutes les deux en train d'annoncer ce qui pourrait rendre OpenID bien plus accueillante. Confident est la division de Vidoop qui sert l'entreprise et les institutions financières.

Voici un aperçu des deux solutions. Qu'en pensez-vous ? Est-ce que cela aidera les utilisateurs à franchir le pas et à comprendre rapidement comment utiliser OpenID ?

IDSelector

Le nouveau service de JanRain IDSelector est un framework de connexion qui se branche à l'intérieur des sites ayant déjà implémenté OpenID sur le back-end. Quelques lignes de code placent une interface sympathique sur le boîtier de connexion OpenID existant.

Voici un exemple en-dessous :

L'idée est que les utilisateurs cliqueront sur le boîtier de connexion, seront invités à s'associer eux-mêmes à un certain fournisseur OpenID, et l'URL ensuite sera pré-remplie de manière à ce que seul un nom d'utilisateur soit requis. Les visites ultérieures vers les sites utilisant IDSelector feront que les utilisateurs se verront présenter le même fournisseur auquel ils se sont connectés la dernière fois.

Les propriétaires de sites web peuvent déterminer quels fournisseurs s'afficheront dans la liste à menu déroulant sur leurs sites et dans quel ordre ils apparaîtront. La société dit que si IDSelector.com tombe pour quelque raison que ce soit, le javascript ne s'enregistrera pas et le propre champ de connexion du site restera présent.

Mises en Garde

Bien que ceci soit une amélioration énorme sur les pratiques les plus communes pour prévenir d'une connexion OpenID, il demeure néanmoins quelques problèmes. Tout d'abord, bien que ce soit "neutre de tout fournisseur" - ce n'est pas un service décentralisé, ce qui est l'une des meilleures choses concernant OpenID.

Deuxièmement, cela ne fonctionne pas parfaitement pour tous les fournisseurs, car il existe encore sur le marché un dédale énorme d'implémentations différentes. Yahoo! par exemple, ne veut pas ici de nom d'utilisateur dans une URL - vous êtes juste supposé cliquer Yahoo! et puis vous connecter. Ceci vous ramène ici chez Yahoo! pour fournir votre nom d'utilisateur.

Quelques parties d'authentification supportent OpenID 2.0 et d'autres non. Cela changera sans doute bientôt.

Pour finir, c'est encore centré sur l'URL. C'est plus facile que d'avertir les gens pour demander une URL. Bien que quelques personnes soutiennent que ce soit un moyen facile pour les techies de se connecter avec une URL, d'autres avanceront pour qu'OpenID soit tendance que le terme OpenID et les URLs ne devraient pas être présentés aux utilisateurs.

RecoginitionAUTH™ de Confident Technology pour Motoriser Beaucoup Plus de Services

Si vous avez vu l'implémentation de connexion du fournisseur OpenID MyVidoop, vous avez alors une vraiment bonne idée sur la façon dont fonctionne RecognitionAUTH de Confident. La technologie demande aux utilisateurs au lieu d'utiliser un mot de passe, d'identifier des images qui sont d'un type qu'ils ont associé à leur compte.

Confident annonce aujourd'hui qu'un hébergeur d'autres fournisseurs OpenID va commencer à utiliser le système RecognitionAUTH pour permettre à ses utilisateurs de se connecter ainsi. ClaimID, Clickpass et ooTao (iNames) permettront toutes les trois à leurs utilisateurs de se connecter en utilisant la technologie "Image Shield" qui réside derrière RecognitionAUTH.

L'idée ici est que les utilisateurs n'auront jamais à lire le mot OpenID, ni à chercher quelque URL ou autres choses. Le service est déjà utilisé par un certain nombre d'institutions financières.

Nous avons entendu qu'AOL est déjà en test avancé avec Image Shield, ainsi la solution pourrait se répandre bien rapidement qu'elle ne l'est actuellement dans le secteur des services financiers.

Vidoop/Confident prend rapidement de la vitesse, en étendant ses activités de sa maison mère à Tulsa, Oklahoma pour ouvrir un bureau à Portland, Oregon. La société sans aucun capital-risque a embauché Scott Kevton, Président de la Fondation OpenID, et recrute désormais tranquillement bon nombre des geeks les plus intelligents en ville, défiant JiveSoftware sur les talents. Déjà la maison de l'inventeur du wiki (Ward Cunningham), de l'initiateur du noyau Linux (Linus Torvalds) d'une flopée de têtes RSS et OpenSource, Portland en Oregon est aussi en train de devenir un foyer pour les travailleurs OpenID. En plus du bureau de Confident, JanRain est aussi basée à Portland.

Est-ce Que L'une des Deux Aura du Succès ?

Il y a encore beaucoup de questions majeures autour d'OpenID. C'est un nouveau paradigme avec un solide potentiel et des possibilités excitantes. Afin de réaliser tout ce potentiel, la porte d'entrée pour utiliser OpenID a besoin d'être plus accessible. Il y a une vaste gamme de fournisseurs, de fonctionnalités et d'approches. Pour en savoir plus, regardez SpreadOpenID.org.

Ces deux approches semblent être des premiers pas de géant. Laquelle préférez-vous ? Qu'aimeriez-vous voir pour rendre OpenID plus utilisable par des types non-techies - ou pour vous-même ?

Testant Twine depuis plus d'une semaine, j'y ai trouvé à l'intérieur ce qui me semble relever d'un "billet-pépite" écrit cette semaine par Hrafn Thorrisson, un beta-testeur averti :

Why I Migrated Over to Twine (And Other Social Services Bit the Dust)

De mon point vue, c'est l'une des plus belles introductions lues récemment, surtout si vous faites partie des chanceux en train de tester Twine, une application très prometteuse pour approcher et utiliser le web sémantique.

Carsten Pötter écrivait le 2 février dernier : User Friendly OpenID Implementation. Seul le lien original fait référence. Vous pouvez aider à raffiner cette traduction en éditant la page-miroir posée sur mon wiki de travail. Merci.

Une Implémentation Conviviale d'OpenID

Un billet à propos de Yahoo! aujourd'hui, mais je promets de ne pas mentionner l'autre grosse société et ces $$$. Au lieu de cela, ce sera à propos de l'implémentation OpenID de Yahoo! en bêta publique depuis jeudi.

Les Contres Possibles de l'Implémentation

Il est peu habituel de démarrer par les aspects négatifs d'un service mais je pense que cela fait sens ici. Comme je l'ai mentionné précédemment sur ce blog, Yahoo! n'est qu'un fournisseur d'OpenID à cette heure, par conséquent les utilisateurs ne peuvent pas à cette heure se connecter avec d'autres fournisseurs d'OpenID sur Yahoo! Aussi il ne fait que supporter le nouveau standard OpenID 2.0. Ceci pourrait être une déception pour quelques utilisateurs quand ils ne pourront probablement pas se connecter avec une OpenID Yahoo! sur leurs sites web favoris acceptant OpenID.

D'un autre côté, l'adoption d'OpenID 2.0 croîtra certainement durant les prochains mois, parce qu'il fournit plus de fonctionnalités (sécurité) et aussi paradoxal que cela puisse paraître, Yahoo! sera aussi une force conductrice de cela. Les sociétés ne manqueront pas l'opportunité de donner aux utilisateurs Yahoo! une méthode simple de connexion sur leurs sites. Néanmoins il est trompeur que Yahoo! fasse un lien vers une liste de sites consommateurs d'OpenID, malgré le fait que bon nombre d'entre eux ne supportent pas encore OpenID 2.0, par conséquent les utilisateurs pourraient devenir frustrés. Il aurait été mieux si Yahoo! avait mis des liens vers quelques consommateurs sélectionnés qui supportent déjà OpenID 2.0.

Il me manque quelque audit de connexion où je puisse voir mes activités et révoquer quelques approbations de relying parties. Ce serait cool d'avoir ça un de ces jours.

Convivial

L'implémentation est très conviviale et fournit des explications compréhensibles de toutes les étapes compliquées sur l'installation et l'utilisation d'OpenID avec Yahoo! Je pense qu'il y a eu beaucoup d'efforts produits là-dedans, pour faire que ce soit graphiquement attirant et fournissant même un petit tutoriel sur OpenID. Beaucoup de fournisseurs pourraient apprendre de cela.

Installer l'OpenID est facile. Tout d'abord les utilisateurs doivent passer par un opt-in pour utiliser OpenID avec leurs Yahoo! IDs. Ceci devrait résoudre les questions de quelques personnes sur le fait de se sentir “forcer” d'utiliser OpenID avec Yahoo! Elles peuvent encore utiliser les IDs Yahoo! de la même manière qu'elles le faisaient avant si elles n'aiment pas OpenID.

Les OpenIDs Yahoo! sont en fait des URLs anonymes, auto-générées qui ressemblent à quelque chose comme ça : https://me.yahoo.com/a/SGnF5axjseY4xrv.BKKYF3Xp4v– Néanmoins les utilisateurs peuvent personnaliser l'OpenID. Il y a quelques suggestions fournies - inclure une URL Flickr si les utilisateurs ont un compte là-bas - mais elle peut être définie par l'utilisateur de la façon qu'il préfère. Ainsi au moment de s'enregistrer sur un site client les utilisateurs peuvent choisir à partir de deux OpenIDs, celle auto-générée ou celle personnalisée (voir l'exemple en-dessous). Bien qu'il n'y ait pas besoin de s'enregistrer avec ces URLs ; yahoo.com est tout ce que les gens ont à se souvenir.

Conclusion

Malgré le manque de support pour OpenID 1.1, j'aime beaucoup l'implémentation de Yahoo! Les explications et la facilité d'utilisation la rendent parfaite pour tout particulièrement les utilisateurs non techies qui veulent simplement un moyen pratique pour s'enregistrer sur plus de sites que simplement ceux de Yahoo! Pas besoin de se souvenir de longues OpenIDs ou de lire de la documentation OpenID avant de commencer à l'utiliser. Toute l'information nécessaire est fournie. Cette implémentation est certainement un modèle pour beaucoup plus de services qui veulent adopter OpenID.

Yahoo! a juste besoin d'ajouter le support pour les sites clients. Ce serait important. Nous espérons que l'actualité du jour ne sera pas une excuse pour annoncer qu'il n'y aura plus suffisamment de ressources disponibles pour faire ça.

Plus de liens :

• Il y a une interview et une démo avec Allen Tom, architecte OpenID de Yahoo qui vous fait parcourir toutes les fonctionnalités de l'implémentation ;
• Johannes Ernst a publié un article excellent sur les aspects business. (NDT : traduction en cours)

OpenID et les soucis de vie privée

On m'a interrogé plusieurs fois sur les problématiques de vie privée que je pourrais avoir avec OpenID. J'ai pensé que ce pourrait être une bonne idée de les énumérer ici et de renvoyer simplement les gens vers cette URL. Paresse, pour votre bénéfice, cher ami lecteur.

Tout d'abord et avant tout, je pense qu'OpenID est à peu près aussi bon qu'il ne peut l'être en ce qui concerne la vie privée. Il n'y a rien dans le protocole que je ne vois comme un problème criant de design. Compte tenu de sa promesse basique -- permettre l'authentification unique entre plusieurs sites web sans aucune relation précédente nécessaire -- OpenID fait un boulot génial. Au-dessus de tout ça, je pense que toutes les modifications sur la structure d'OpenID feraient plus de mal que de bien.

Mais il y a quelques endroits où les gens concernés-par-la-vie-privée peuvent prêter une attention toute particulière. Voici ma liste des choses à regarder pour la privauté OpenID.

Réputation unifiée

Avec OpenID, vous utilisez une identité unique pour vous connecter sur plusieurs sites web. Avec la facilité d'utilisation de ne pas avoir à se souvenir de plusieurs mots de passe différents, ceci vous laisse instaurer une réputation sur plusieurs sites différents avec la même ID.

Par exemple, personne ne sait nécessairement si http://twitter.com/evan est la même personne que http://en.wikipedia.org/wiki/User:Evan tout simplement parce qu'ils ont le même nom d'utilisateur (et ils ne le sont pas en fait). Mais vous pouvez être tout à fait certain que http://wikitravel.org/en/User:Evan est la même personne que http://jyte.com/profile/evan.prodromou.name, parce que les deux utilisateurs ont utilisé le même identifiant OpenID. Tout ce que vous connaissez ou pressentez à propos d'Evan-sur-Wikitravel s'applique à Evan-sur-Jyte.

Il est bien d'établir une réputation sur le Web, mais ce peut être mal aussi. Les marketeurs ou les professionnels du droit savent qu'il est plus facile de suivre une personne sur plusieurs sites avec OpenID, et vous pourriez ne pas vouloir que cela arrive. Par exemple, je peux ne pas vouloir que mon compte Suicide Girls soit relié à mon compte Wikitravel. Si je participe dans des forums politiques ou traitant de légalisation de drogues, je peux ne pas vouloir que cette identité soit associée à mon persona dans le "business". Du fait que de plus en plus de sites vont adopter OpenID, la valeur d'unifier votre réputation à travers eux augmente, mais aussi le danger.

(Cela vaut la peine de noter que si vous utilisez la même adresse e-mail sur plus d'un site, les propriétaires du site peuvent relier ensemble vos identités comme si vous n'utilisiez pas OpenID. Il y a d'autres petits morceaux de données apparemment inoffensives qui peuvent vous identifier de manière unique -- par exemple, la date de naissance et le code postal sont généralement uniques.)

(Cela vaut aussi la peine de noter que pour unifier votre identité, une personne devrait connaître les deux comptes, et voir votre OpenID sur les deux. Un spider Web aurait besoin de la même chose. Quelques sites et logiciels vous laissent vous connecter dans le site avec une OpenID mais cachent l'ID si vous le désirez ; selon vos exigences de réputation, c'est probablement une bonne chose à prendre en considération.)

La bonne et la mauvaise nouvelle est que vous avez de plus en plus de pouvoirs pour gérer votre propre réputation distribuée avec OpenID. Vous pouvez, bien sûr, installer différentes identités OpenID, et quelques fournisseurs d'identités OpenID vous permettent d'installer plusieurs "personae" sous le même compte. Ainsi, vous pouvez vous connecter sur des sites pornos sous "captain nasty" et sur vos sites de travail sous "larry" et personne ne pourra relier ensemble les deux profils. La mauvaise nouvelle, bien sûr, est que vous devez gérer cela vous-même -- personne ne va le faire pour vous. (En fait un fournisseur OpenID qui diviserait automatiquement les sites OpenID et vous aiderait à utiliser différents personae pour chacun pourrait faire un vraiment bon business...)

Un fournisseur OpenID de confiance

Vous recevez un identifiant OpenID de la part d'un fournisseur OpenID. Il y en a beaucoup, regardez OpenIDServers pour une liste.

Il n'existe pas d'organisation qui "qualifie" ou critique les fournisseurs OpenID ; quiconque implémente le standard OpenID peut en devenir un. C'est une bonne chose ; c'est ce qui rend OpenID ouvert. Mais cela veut aussi dire que vous pourriez sans le vouloir vous enregistrer avec un fournisseur OpenID non éthique ou incompétent qui laissera fuir votre information personnelle par erreur ou même exprès.

Et ce peut être vraiment mal. Pour utiliser OpenID à son plein potentiel, vous devriez laisser votre fournisseur OpenID disposer de quelques informations personnelles vous concernant (comme votre vrai nom, votre adresse e-mail, votre langue préférée, votre fuseau horaire, votre pays, votre code postal, etc.). Mais ce sont juste les types de bits de données que des marketers peu scrupuleux, tout comme les hackers et crackers de tous poils, aimeraient obtenir.

Au dessus de tout cela, votre fournisseur OpenID connaîtra chacun des sites Web sur lesquels vous vous connectez avec OpenID -- quelque chose qu'il est relativement difficile pour les autres de savoir. Ceci veut dire qu'il pourra utiliser utiliser votre information de connexion pour des choses sournoises et frauduleuses, comme le profilage marketing.

Votre meilleur pari pour mitiger ce risque est de choisir un fournisseur OpenID ayant une réputation établie. Vous devriez aussi chercher et lire la politique de confidentialité disponible. Je recommande bien sûr Certifi.ca et vous renvoie à sa politique de privauté comme un exemple.

Partager de l'information privée

Une partie du standard OpenID est que, à votre demande, vous pouvez partager l'information personnelle que vous avez stockée chez votre fournisseur OpenID avec une partie de confiance (un site Web sur lequel vous essayez de vous connecter). Ceci vous fait gagner du temps et l'énergie de rentrer de nouveau la même information d'enregistrement dans plusieurs sites web. Vous configurez normalement les données qui peuvent être partagées quand vous vous connectez pour la première fois à un site Web avec votre identifiant OpenID ; voici un écran typique :

Il y a néanmoins quelques trucs embêtants avec ça. Tout d'abord, il peut être difficile de dire si oui ou non vous voulez vraiment partager les données personnelles avec un site la première fois que vous vous y connectez. Vous pourriez ne voir qu'il soit peu éthique ou abusif que bien plus tard, et alors le mal est fait.

Deuxièmement, si vous cliquez sur "allow forever", cette même donnée est partagée à nouveau avec le site de confiance à chaque fois que vous vous y connectez -- y compris à toutes les mises à jour que vous produisez sur le site fournisseur OpenID. C'est une commodité géniale -- cela veut dire que vous ne devez seulement mettre à jour la donnée qu'en un seul endroit. Mais cela veut aussi dire que si vous avez changé le niveau de confiance que vous avez en votre fournisseur OpenID (disons en changeant votre adresse e-mail stockée à partir d'un junk-magnet jetable vers votre véritable adresse), cette information sera aussi partagée vers les sites RP consommateurs d'OpenID.

Troisièmement, vous pouvez généralement dire à votre fournisseur OpenID d'arrêter de partager la donnée avec le site consommateur, mais dès lors les dégâts peuvent déjà avoir été produits. Il n'y a pas de partie du protocole où un fournisseur OpenID peut dire à un site consommateur, "Hé, oublie cette donnée que je partageais avant avec toi. Je n'étais pas supposé te dire ça après tout." Ce serait en sorte inutile ; les sites consommateurs non éthiques ne suivraient pas, après tout.

Il y a deux moyens de mitiger ce problème. Tout d'abord, il est important de connaître ce modèle de partage de donnée -- une fois que vous avez partagé la donnée, elle a passé la porte et rejoint le monde sauvage, et il n'y pas grand chose que vous puissiez faire pour qu'elle revienne sous clé. Si cela vous préoccupe, soyez vraiment conservateur avec les données que vous partagez. Vous n'aurez pas les avantages de laisser tomber des paquets d'information d'enregistrement, ou de les maintenir toutes à jour en seul endroit, mais c'est une sorte d'acquis.

Deuxièmement, il peut être valable d'utiliser quelques outils divertissants pour le spam, comme Mailinator, dans votre profil OpenID. Cela devrait pouvoir aider un peu avec les données que vous voulez partager vraiment à l'extérieur.

Votre compte hacké

Le plus grand danger d'OpenID pour votre vie privée est si votre compte se fait pirater. Si quelqu'un craque mon mot de passe Tribe.net, il pourra obtenir toute l'information privée que j'ai stockée sur ce compte-là : toute information de profil (comme la messagerie instantanée ou l'adresse e-mail, ou mon adresse physique), mes messages privés vers/provenant d'autres membres et quelques-unes de mes historiques de butinage. Il aura en fait accès à toutes les données que je pensais pouvoir décemment partager avec tribe.net

Mais si quelqu'un parvient à gagner l'accès à mon compte OpenID, il pourra rentrer dans tous mes différents sites autorisant OpenID. Je peux avoir partagé quelques informations avec Wikitravel, d'autres informations avec wikiHow et un troisième ensemble de données avec LiveJournal. Il pourra fusionner toutes ces données à l'intérieur d'un super-profil me concernant.

Aussi, il pourra opérer sous mon nom sur chacun de ces sites, il y aura par conséquent une possibilité d'invasion plus approfondie de la vie privée. Par exemple, envoyer un message à ma femme pour lui demander nos informations de compte bancaire. Elle pourrait ou ne pourrait pas être suffisamment soupçonneuse pour me le demander personnellement avant de partager l'information. C'est potentiellement un problème énorme de sécurité et de confidentialité.

La clé pour mitiger cela est d'utiliser bien sûr une sécurité dure sur le fournisseur OpenID. La bonne nouvelle est que du fait que votre authentification soit centralisée, vous pouvez alors utiliser une authentification plus forte que ce que supportent la plupart des sites Web. J'apprécie vraiment d'utiliser le certificat d'authentification dans le navigateur sur certifi.ca -- c'est un système très solide qui est (presque) immunisé contre le hameçonnage, les attaques brutes ou les autres scams pour vols de mots de passe.

S'il n'est pas possible pour vous d'utiliser le certificat d'authentification, assurez-vous d'avoir une bonne hygiène de mot de passe pour votre mot de passe OpenID. Ceci veut dire :

• Ayez un mot de passe très solide ; au moins 7 caractères et de préférence 10+ avec au moins une lettre en capitales, une lettre en bas de casse, un caractère chiffre et un caractère de ponctuation ; pas de mots du dictionnaire ; et pas de chaînes d'identifiants comme votre vrai nom ou votre nom d'utilisateur.
• N'utilisez pas le même mot de passe que vous utilisez pour n'importe quel autre compte.
• Mémorisez votre mot de passe et ne le stockez pas où que ce soit. Le fait que votre mot de passe va devenir si précieux, cela vaut vraiment la peine d'avoir un mot de passe très difficile et de prendre le temps de le retenir.
• Changez souvent votre mot de passe. Partez pour une période de 3 à 6 mois d'utilisation de mot de passe avant d'en créer un nouveau.
• Utilisez n'importe quel outil d'anti-hameçonnage que votre fournisseur OpenID supporte.

Conclusion

Je pense que tous les problèmes ci-dessus valent la peine d'être considérés avant que vous n'utilisiez OpenID. Ce sont tous de bons principes à suivre au moment d'utiliser quelque sorte de système de sécurité, et à chaque fois que vous partagez de l'information personnelle avec un site Web. Ce ne sont pas des failles fatales dans OpenID, juste des choses auxquelles vous devriez faire attention.

mots-clés : openid confidentialité

(N.D.T. : vous pouvez aider à raffiner cette traduction en laissant ici un commentaire ou mieux en en éditant directement le code HTML posé sur mon wiki de travail. Par avance, merci.- xtof)

Avertissement : Ceci est une traduction en cours publiée sous Fair-Use dédiée à soutenir l'effort de production documentaire pour le groupe OpenID-France. Vous pouvez aider à raffiner le contenu en cliquant sur ce lien pour éditer directement le html sur la page miroir de mon wiki-personnel. D'avance merci de votre contribution. -- xtof

Peter Nixey écrivait le 6 novembre dernier sur Vitamin : How will openID change your site?

Comment OpenID changera votre site ?

OpenID promet beaucoup - tout simplement un nom d'utilisateur et un mot de passe pour la vie — mais est-ce que ce peut être livré ? Peter Nixey est l'homme pour vous le dire. Sa startup Clickpass fait tout pour porter OpenID aux masses et il écrit à propos du coût de l'enregistrement, de la fraude et plus encore.

Après trois mois passés à San Francisco, je suis récemment revenu à Londres pour voir mes amis et ma famille. Avec quelques semaines disponibles, je me suis retrouvé à réserver des dîners avec de vieux amis. Je suis un grand fan des offres sur Top Table et avec mon oeil sur une jolie petite brasserie dans Hampstead, je savais que j'avais suffisamment de points pour faire en sorte qu'un de mes repas durant ce voyage soit gratuit.

Ou tout du moins je pensais que je le pouvais, mais après tant de mois à l'extérieur, j'avais oublié mon mot de passe pour revenir sur le site. Non seulement ça, mais je m'étais enregistré avec une vieille adresse e-mail et je ne pouvais même pas récupérer le mot de passe. Pour un mot de passe, moi, mes pages vues et mes commissions étaient perdues.

Les noms d'utilisateurs et les mots de passe sont partout. Dans un Web qui devient de plus en plus spécialisé et mixé, là où le stockage provient en-masse d'Amazon, la vidéo de YouTube, les cartes de Google, la présence de MyBlogLog et le partage de del.icio.us, une dernière fonctionnalité demeure maladroite et locale : le login. (NDT l'identification, la connexion)

Enregistrement :

Une fonctionnalité simple et omniprésente qui coûte aux utilisateurs de sites web, à beaucoup d'utilisateurs. France Telecom a produit récemment une recherche complète sur le sujet et trouvé qu'à chaque nouvel écran présenté durant l'enregistrement, 50% des utilisateurs abandonnent et partent ailleurs.

Ceci fait des écrans d'enregistrement une section très coûteuse de votre site web. Ainsi vous avez construit un superbe nouveau service et dépensé une fortune à le publiciser sur Google pour obtenir peut-être un millier de clics. Parmi ceux-là, peut-être qu'une centaine se laisseront suffisamment impressionner par votre service pour parvenir à cet écran critique d'enregistrement. Demander à l'utilisateur un identifiant et un mot de passe, confirmer son email et vous avez tout bonnement perdu 75 d'entre eux.

Le simple acte d'enregistrement a simplement multiplié votre coût d'acquisition client par un facteur de quatre. Vous débarrasser du processus rendrait votre publicité quatre fois plus efficace.

Même une fois l'utilisateur enregistré, l'écran de login continuera tout comme vous à le hanter. Jusqu'à 80% des appels sur les centres d'appels proviennent d'utilisateurs demandant des réinitialisations de mots de passe et chacun de ces appels coûte en moyenne 30$ à traiter.

La pénibilité de s'enregistrer et de s'identifier est à la fois considérable et coûteuse. Néanmoins durant les deux dernières années, un protocole a émergé pour résoudre ce problème, un protocole qui montre les premières lueurs d'espoir de pouvoir le résoudre : OpenID.

OpenID, le HTML de l'identité

Il y a deux ans, Brad Fitzpatrick de Six Apart produisait la même simplification pour l'identité. L'identité est une bête complexe et amorphe. Qui êtes vous, quelles qualifications avez-vous, qui peut les vérifier et comment puis-je avoir confiance ? Quelle est votre réputation, qui sont vos amis et êtes-vous vraiment mon cousin issu de germain ?

Ce sont des questions très difficiles à structurer et à répondre en programmation, et tout comme l'encodage de document, trop difficiles à résoudre en un seul coup. Brad a proposé une solution pour une question différente et bien plus simple — êtes-vous le même utilisateur qui était sur mon site la semaine dernière ?

Souvenez-vous de moi ... pour toujours

En son coeur, tout OpenID se soucie de dire à un site web que vous êtes la même personne, le même utilisateur que vous étiez la dernière fois que vous l'avez visité. Un peu comme un cookie que vous charriez avec vous et déposez à l'intérieur de n'importe quelle machine que vous utilisez — "souvenez-vous de moi pour toujours". OpenID vous donne, à vous propriétaire du site, l'opportunité de personnaliser et adapter vos contenus à plus d'utilisateurs.

Comment ça marche ?

Par essence, OpenID permet à un site de ferrouter (NDT piggy-back) une session authentifié à partir d'un autre site web. Je me connecte à mon fournisseur OpenID (par ex. Clickpass.com, la startup que j'ai fondée), de saisir mon URL OpenID et de créer une session là. Quand je veux utiliser un autre site (par ex. le Basecamp de 37 Signals), au lieu de lui donner mon nom d'utilisateur et mon mot de passe, je luis donne mon URL OpenID.

Basecamp a alors un mot rapide avec Clickpass et demande si j'ai déjà ouvert une session authentifiée. Si c'est le cas, il me connecte à l'intérieur de Basecamp et crée une nouvelle session authentifiée pour lui même et si ce n'est pas le cas, il me renvoie chez Clickpass pour me connecter.

L'hôtesse du vestiaire WWW

Vous pouvez imaginer OpenID comme étant un peu les tickets qu'utilise l'hôtesse au vestiaire. Quand vous laissez votre manteau au vestiaire d'une boîte de nuit, elle déchire un ticket de sa souche, en épingle une moitié sur le manteau et vous donne l'autre moitié. Quand vous voulez récupérer votre manteau, vous lui restituez la moitié du ticket, elle retrouve le manteau qui correspond et vous le redonne.

OpenID fait exactement la même chose avec un site web. Vous allez sur un site web, et lui donnez une copie de votre URL OpenID qu'il épingle à votre compte. La prochaine fois que vous revenez, vous le flashez avec votre OpenID, il vérifie le compte qui lui correspond, fait une vérification rapide pour s'assurer que vous êtes vraiment le propriétaire et vous laisse rentrer.

Votre utilisateur ou le mien ?

Ainsi si OpenID connecte l'utilisateur dans votre site, alors qui le possède exactement ? Est-ce que cet utilisateur est en fin de compte un utilisateur du fournisseur OpenID ou du site web lui-même.

Un bon endroit à étudier pour une réponse à cela est Evite.com. L'une des raisons pour lesquelles Evite a tant de succès est qu'il n'oblige pas les personnes à créer des comptes afin de voir leurs invitations. Le fait de cliquer sur un lien personnalisé qui vous a été envoyé dans un courrier électronique Evite est la preuve que vous possédez l'adresse email et cela vous connecte directement dans Evite.

Evite déroute l'authentification à partir de vote compte email. Néanmoins, il est clair que c'est Evite, plutôt que Hotmail ou GMail, qui possède l'utilisateur. De la même façon qu'Evite "ferroute" sur l'email, OpenID vous laisse "ferrouter" la session chez le fournisseur OpenID et en même temps retient la propriété de votre utilisateur. Les données qu'il saisit sur votre site sont quelque chose qui se produit entre vous et lui et rien à voir avec le fournisseur OpenID.

Les possibilités

Les conséquences de réduire la barrière à la création de compte et la connexion sur les sites web sont difficiles à mésestimer. La résistance des utilisateurs à s'enregistrer sur votre service tombe, le nombre d'utilisateurs y revenant croît et la quantité de temps que vous avez dépensée à vous souvenir pour faire ainsi s'effondre.

Avec un compte pour vous connecter à l'intérieur de tant d'endroits, l'utilisateur peut aussi maintenant se permettre d'apporter plus que simplement un nom d'utilisateur et un mot de passe à votre site et vous avez les moyens d'en demander plus. En même temps, tout en baissant la barrière pour les utilisateurs reconnus, OpenID élève la barrière à l'entrée pour vos visiteurs non désirés.

Les gens sont lassés d'avoir à prouver à eux-mêmes à nouveau et à nouveau à chaque nouveau site qu'ils visitent. OpenID ouvre la porte à l'identité portable et à ceux accumulant de la réputation et de la crédibilité qui peut ensuite être réutilisée ailleurs tout comme ils utilisent leur réputation Ebay sur les enchères. L'identité portable et la crédibilité sont à leur tour, la clé pour exiger plus de preuves de la part de vos visiteurs sur ce qu'ils disent être et à son tour cela réduit les "chargebacks", la fraude et le spam.

Un anneau pour les lier tous … et les perdre tous ?

Avec un compte pour stocker tout à l'intérieur, la réaction initiale de beaucoup de gens est qu'ils disposent désormais d'un seul endroit à partir duquel ils peuvent tout perdre. Craquez votre fournisseur OpenID et vous craquez tous les autres sites. Pouvoir être capable de rentrer dans tous les sites en utilisant un mot de passe est indéniablement attirant mais cela vaut-il la peine de laisser aussi quelqu'un d'autre le faire ?

Aires d'accès pour tous d'aujourd'hui : l'email

L'ironie est que nous faisons déjà face à la menace de la question précédente sans la commodité de l'OpenID. Déjà oublié votre mot de passe ? Comment le récupérez-vous ? Avez-vous peut-être déjà cliqué sur le bouton "rappel du mot de passe" ?

Presque chaque compte que vous avez sur le Web peut être accédé en utilisant votre compte email. Dès que quelqu'un dispose de votre compte email, il a les clés à vos autres comptes.

Le fait qu'un tiers des utilisateurs utilisent partout le même nom d'utilisateur et mot de passe, le problème est en fait bien pire que s'ils avaient obtenu l'accès par inadvertance à leurs comptes email pour chaque service sur lesquels ils s'enregistrent. Je vous demande votre nom d'utilisateur, votre mot de passe et une adresse email quand vous vous enregistrez sur GagneEncoreUnAutreIPod.com et vous me donnez les mêmes identifiants que vous utilisez pour votre fournisseur d'email et Paypal.

L'utilisateur d'aujourd'hui a tous des risques associés avec un login centralisé et aucun des bénéfices.

OpenID et le phishing (NDT : hameçonnage)

Tout comme Paypal et Google Checkout, OpenID est un protocole vulnérable aux attaques par phishing. Cliquez sur un lien subversif Google Checkout, saisissez vos détails de login Google sur le site web d'un phisher et vous avez donné vos détails sur votre compte Google et vos détails de paiement. Cliquez sur un bouton Paypal qui vous connecte vers une vitrine imitée et vous aurez cédé vos nom d'utilisateur et mot de passe Paypal.

OpenID peut être attaqué exactement de la même façon. Vous arrivez sur un site web compatible OpenID sans être connecté et vous serez re-dirigé vers votre fournisseur OpenID pour faire ainsi. Ne regardez pas trop soigneusement l'URL de cette page de connexion et vous pourriez trouver par accident que vous avez donné vos détails à quelqu'un à qui vous n'aviez pas l'intention.

Il existe différentes façons de faire qu'il soit plus difficile que cela se passe et qui puisse faire que cela soit presque impossible. Au mieux, les services OpenID comme Clickpass.com font qu'un utilisateur est bien plus en sécurité que s'il utilisait des identifiants conventionnels et produisent cela sur tous les sites que l'utilisateur visite.

Faites-vous petit

Le dernier point est très important parce qu'au moment d'être attaqué, il est toujours plus facile de défendre un plus petit endroit qu'un plus grand. Si les spiders et les aliens descendent sur vous dans un jeu vidéo (ou bien sûr dans la vraie vie), vous vous retrouvez dos au mur. Laissez les clés de votre maison sous chaque pot dans le jardin et elles seront probablement plus trouvées que si vous les laissiez sous simplement un.

Les utilisateurs web défendent aujourd'hui simultanément leur sécurité et leur privauté sur beaucoup de fronts. Pour les personnes qui utilisent partout le même mot de passe, chaque nouveau compte est un nouvel endroit pour qu'il soit compromis, chaque nouvel endroit dans lequel vous saisissez vos détails est un autre endroit à partir duquel on peu le voler.

Avec seulement un compte pour se connecter, l'utilisateur peut se permettre d'être plus soucieux sur la façon dont il le fait. Il peut utiliser l'authentification par email, les confirmations par SMS, et même des clés RSA pour sécuriser ce compte OpenID, et par association, tout autre compte vers lequel il est lié. Le pouvoir de l'authentification unique signifie que le niveau élevé d'authentification peut désormais être réutilisé et ré-exigé sur le réseau complet des sites de l'utilisateur.

Ainsi où en est-on ?

Il semblerait comme si OpenID était la drogue-merveilleuse de l'internet. Avec la puissance de faire baisser les demandes de réinitialisation des mots de passe, le spam, la fraude et la capacité d'accroître les taux de conversion, la fidélité de l'utilisateur et la sécurité, cela semble presque être trop beau pour ête vrai. Aujourd'hui malheureusement, ce l'est encore.

OpenID est totalement fonctionnel mais encore brut et trop "tricky" pour l'internaute moyen. Même si j'écris qu'il y a du changement dans l'air. Différentes startups et initiatives, y compris les specs OpenID elles-mêmes, sont en train de combler les fossés et arrondissent les angles.

L'expérience utilisateur n'est pas encore tout à fait complète mais avec des gens comme Verisign, Vidoop et notre équipe chez Clickpass en train de travailler pour résoudre les parties restantes du puzzle, l'avenir d'OpenID semble très, très prometteur.

Chris Messina : Placer les Personnes dans le Protocole

Lien de référence : Mettre les Personnes dans le Protocole : Un billet posté le 23 septembre 2007 par Chris Messina sujet ici à une traduction adaptée pour les fans d'Identités en ligne sur un Web Social Ouvert.

Placer les personnes dans le Protocole

Je n'aime vraiment pas la phrase “user-centric identity” et pendant que je m'efforçais de trouver un titre pour ce billet, j'en suis venu à la phrase de Pete Rowley’s en 2006 the people are in the protocol.

Ce n'est pas vraiment différent de ce que j'avais l'habitude d'appeler “people in the browser” quand j'étais chez Flock, aussi je l'utiliserai.

De toutes façons, en tant que partie d'un autre billet sur lequel je suis en train de travailler, il semblait utile d'appeler ce que je vois comme des bénéfices pour les services qui “placent les personnes à l'intérieur du protocole” ou dit de façon plus pertinente, ces services qui sont conçus autour de personnes qui tendent à utiliser plus d'un service web et plus d'un identifiant unique (comme une OpenID) pour se représenter elles-mêmes sur les services.

Ici voici ce à quoi je suis parvenu à ce stade :

• Je suis moi, où que j'aille. Je peux avoir plusieurs personas, facettes ou identités que j'utilise en ligne mais fondamentalement, je peux les gérer efficacement parce que les services sont orientés autour de moi et non pas autour des services que j'utilise (ce serait comme se connecter à un nouveau compte utilisateur à chaque fois que vous voulez changer d'applications !).
• J'ai accès à mes trucs, où que je sois. Même si j'utilise beaucoup de services web différents, tout comme j'utilise beaucoups d'applications de bureau, je peux toujours accéder à mes données, peu importe ou j'ai pu les avoir créées et où c'est stocké. Et si je veux extraire toutes mes données d'un service à un autre, je devrais pouvoir faire ainsi.
• Mes amis viennent avec moi, mais continuent à n'utiliser seulement les services qu'ils ont choisis. Si je peux envoyer un email de n'importe domaine vers n'importe quel domaine, pourquoi ne puis-je pas rejoindre un réseau et puis y ajouter des amis provenant de n'importe quel autre réseau ?
• Je suis le maître de mon domaine. A la fois littéralement et au sens figuré, je devrais pouvoir choisir n'importe quel fournisseur d'identité pour gérer toutes mes connexions externes vers le monde, y compris les miennes, à partir de mon propre domaine. Même si les fournisseurs de service à distance peuvent certainement installer les standards pour ceux à qui ils autorisent l'accès à leurs APIs, ceci devrait être fait de façon claire et transparente, de manière à ce que même les personnes qui hébergent leur propre identité puissent y avoir un accès loyal.

Il peut bien sûr exister d'autres bénéfices que j'oublie ou j'omets, mais je pense que j'ai couvert les principaux, au moins de façon à ce que continue avec mon autre billet !

Un billet original écrit par Chris Messina et posté le 23 septembre et classé sous Digital Identity, Technology, The Web Arts, Usability, Web building.

Placez le permalien dans vos signets.

ClaimID ajoute automatiquement rel=”me” aux liens vérifiés

Lien de référence : Automatically adding rel=”me” to verified links : Un billet posté le 25 septembre 2007 par Terrell Russell sujet ici à une traduction adaptée pour les utilisateurs francophones de ClaimID.

ClaimID continue à faire des efforts pour ajouter un peu de technologie et de standards à son code existant.

ClaimID a dès le début intégré XFN dans les liens sur les pages profils des utilisateurs, mais cette fonctionnalité était dissumulée dans l'onglet “advanced” à chaque fois qu'un utilisateur crée ou éditer un lien sur sa page profil.

Désormais, ils ont poussé le pouvoir latent de ce XFN et ont auto-ajouté rel=”me” à tout lien qui est vérifié dans leur système (via MicroID. Chaque fois que vous ajouterez un nouveau lien vérifié à votre compte, il sera aussi marqué avec rel=”me” et restera compatible avec les discussions récentes et en cours concernant le Web Social Ouvert et les microformats.

XFN et rel=”me”

La consolidation d'identité est quelque chose que ClaimID ne fait que commencer à approcher. Le fait que le web devienne de plus en plus programmable et mashable, XFN associé à d'autres microformats et d'autres petits blocs de construction comme MicroID, commencent à montrer son potentiel.

Voici un rapide extrait traduit à partir des pages XFN chez GMPG :

Identité

Me est utilisé pour indiquer que le lien pointe vers un site dont vous êtes responsable. C'est utile par exemple au moment de pointer vers différents profils sur les sites de réseaux sociaux, ou quand vous pointez entre deux différents blogs animés par la même personne. Remarquez que l'utilisation de cette valeur est exclusive sur toutes les autres valeurs XFN ; par conséquent, vous ne pouvez pas déclarer rel="me co-resident" même si l'on peut expérer que vous êtes en fait co-résident avec vous-même.</p>

Cet ajout n'est qu'une toute petite chose, dans le grand schéma, mais une autre pièce solide de notre engagement à l'éducation et la défense à l'égard de l'identité en ligne.

Un exemple de la façon dont c'est puissant 

Le Graphe Social Ouvert open source de Plaxo (à savoir le Consolidateur d'Identité en Ligne). Il scrute une URL source basée sur les XFN qu'il trouve. Puis il construit le graphe et rend compte. Cliquez sur quelques-uns des liens ci-dessous pour le voir en action - avec les URLs sources étant nos toutes nouvelles pages automatisées avec rel=”me” chez claimID :

• gregoire - texte, json, xml
• missrogue - texte, json, xml
• xtof - texte, json, xml

Plus de discussions :

Pour aller plus en profondeur sur l'idée d'un réseau social portable ouvert :

• ClaimID supporte le Web Social Ouvert
• http://www.plaxo.com/info/opensocialgraph
• Réflexions sur le Graphe Social
• David Recordon : "Nous Ouvrons le Graphe Social"
• http://opensocialweb.org/

ClaimID supporte le Web Social Ouvert

Aujourd'hui, Joseph Smarr, Marc Canter, Robert Scoble et Michael Arrington ont sorti Une Déclaration des Droits des Utilisateurs du Web Social, appelant les services à supporter une approche plus ouverte vers l'information concernant l'identité. Le document est simple et efficace :

Nous affirmons publiquement que tous les utilisateurs du Web Social ont droit à certains droits fondamentaux, notamment :

• La propriété de leur information personnelle, incluant :
  • leurs propres données de profils
  • la liste des personnes auxquelles ils sont connectés
  • le flux d'activité de contenu qu'ils créent ;
• le contrôle de la façon dont une telle information personnelle est partagée avec d'autres ; et
• la liberté d'autoriser aux sites externes de confiance un accès à leurs informations personnelles.

Les sites supportant cette déclaration devront :

• Permettre à leurs utilisateurs de syndiquer leurs données de profil, leurs listes d'amis et les données qui sont partagées avec elles par l'intermédiaire du service, en utilisant une URL persistante ou une API ainsi que des formats de données ouverts ;
• Permettre à leurs utilisateurs de syndiquer leurs flux d'activité à l'extérieur du site ;
• Permettre à leurs utilisateurs de lier leurs pages de profil vers des identifiants externes de manière publique ; et
• Permettre à leurs utilisateurs de découvrir quelles sont les autres personnes qu'ils connaissent sur leurs sites, en utilisant les mêmes identifiants externes que ceux disponibles dans le service.

Non seulement, sommes-nous fiers de supporter cette déclaration des droits, mais je suis heureux d'annoncer que nous sommes aussi en accord avec ça. Chez ClaimID, nous avons longtemps innové sur le champ de l'identité-ouverte ; notre travail avec MicroID et notre déploiement des réseaux sociaux basés sur OpenID le prouvent. En même temps, nous avons toujours respecté vos droits à l'identité, en donnant à nos utilisateurs le contrôle de produire ce qu'ils aimeraient avec leurs données. Nous avons toujours su qu'être ouvert et immédiat est la bonne approche, et nous sommes bien sûr heureux de voir ces valeurs gagner tant de traction.

David Recordon : Nous Ouvrons le Graphe Social

Vos listes d'amis et connexions sur les sites web sociaux que vous utilisez, parfois appelées votre graphe social, vous appartiennent. Aucune société ne devrait posséder ceux que vous connaissez et la façon dont vous les connaissez. OpenID, qui est né chez Six Apart il y a moins de deux ans, a réussi en adoptant une philosophie similaire : aucune société ne devrait détenir en propriété l'identité en ligne de quiconque. Un graphe social ouvert est tout simplement aussi important qu'une identité ouverte.

• Vous devriez posséder votre graphe social
• La vie privée doit être produite proprement en mettant le contrôle entre vos mains
• Il est bien de pouvoir trouver ce qui est déjà public vous concernant sur l'internet
• Tout le monde a de nombreux graphes sociaux, et ils ne devraient pas toujours être connectés
• Les technologies ouvertes sont le meilleur moyen de résoudre ces problèmes
• Nous allons bientôt publier du code et des démos.

Nous croyons en l'ouverture. Nous avons été parmi les premiers supporters de RSS et Atom pour la syndication de contenu. Nous avons été les pionniers pour l'utilisation des APIs de métaweblog et publication Atom. Nous avons développé le Profil Open Media Profile pour le standard OpenSearch, qui pour les outils facilite à la fois la syndication et la consommation de résultats de recherche personnalisés. Nous avons aidé à créer et puis rapidement déployer le microformat rel="nofollow" pour aider à limiter l'impact des commentaires et du spam de blogs. La majorité de notre code est opensource, et nous avons annoncé une distribution GPL de Movable Type qui sera disponible plus tard cette année.

Deux de nos plates-formes -- Vox et LiveJournal -- sont des applications de blogging social. En développant et en faisant tourner ces produits, nous entendons tous le temps nos utilisateurs et clients à propos des défis qu'ils rencontrent autour de la découverte de nouveaux réseaux sociaux, de s'enregistrer comme utilisateur et d'identifier des personnes qu'ils connaissent déjà sur ces nouveaux services. Nous croyons que les problèmes que rencontrent nos utilisateurs ne sont pas uniques, et qu'il y a une opportunité d'utiliser des standards ouverts pour simplifier et profiler l'expérience utilisateur au moment de rejoindre un nouveau service disposant de fonctionnalités sociale dans son noyau. Ceci ne concerne pas uniquement l'amélioration de nos services ; il s'agit d'aider à gérer votre réseau social sur tous les services que vous utilisez.

Nous avons travaillé à la résolution de ce problème et au lieu de ne faire qu'en parler, nous voulons vous présenter ce que nous avons appris à cette heure. Le screencast final dans ce billet montre un outil expérimental que nous avons créé chez Six Apart pour visualiser les relations en ligne.

La plupart des services que vous visitez vous obligent à choisir un nom d'utilisateur et un mot de passe au moment de créer un compte. Au delà des problèmes de sécurité posés par l'utilisation du même mot de passe où que vous alliez, il existe beaucoup de services qui veulent uniquement savoir que vous êtes la même personne que celle qui est passée il y a une semaine. Commenter sur les blogs est un exemple génial de ça ; en tant que blogueur je veux pouvoir construire un rapport avec mes commentateurs et ma communauté de lecteurs. Sur LiveJournal, je peux facilement permettre à mes amis n'ayant pas de comptes chez LiveJournal de visualiser mon contenu protégé et commenter mes billets en se connectant avec leurs OpenIDs.

OpenID facilite l'enregistrement sur un nouveau service, en supprimant le fardeau de créer une énième nouvelle combinaison de nom d'utilisateur et mot de passe, et à saisir votre nom, votre adresse email et d'autres informations vous identifiant personnellement. On estime qu'il existe plus de cinq mille sites qui supportent OpenID et près de 120 millions d'URLs OpenID.

Dans ce bref screencast de 40 secondes, vous verrez comment il est facile de s'enregistrer chez BackPack et Dopplr en utilisant OpenID.

Une fois enregistré(e) sur un nouveau service, une des étapes suivantes les plus importantes est généralement de trouver des amis qui sont déjà là et d'inviter de nouveaux amis à vous rejoindre.

Beaucoup de services aujourd'hui, comme Facebook, vous permettent de vous connecter et de copier vos contacts et amis provenant d'autres services sur le Web. Facebook vous permet de saisir votre adresse email et votre mot de passe pouvant provenir de Gmail, AOL et Yahoo! pour extraire toutes les adresses email avec lesquelles vous avez échangé des messages. Bien que vous puissiez ne pas penser cela comme un risque de sécurité avec des services dans lesquels vous avez confiance comme Facebook, il a été montré il y a quelques semaines que donner à quelqu'un l'accès facile à votre carnet d'adresses email peut avoir des conséquentes tout à fait imprévues.

Quechup.com s'est lancé il y a quelques semaines comme un nouveau service de réseau social. Avec peu de contexte pour le nouveau service, beaucoup de gens ont donné joyeusement leurs nom et mot de passe Gmail afin de vérifier si leurs amis étaient déjà membres. Ce que beaucoup de ces personnes n'ont pas réalisé est que Quechup pourrait utiliser cette information pour e-mailer des invitations à joindre Quechup à tous ceux présents dans leurs carnets d'adresses Gmail. Beaucoup d'emails non voulus et des excuses gênées ont suivi.

Quand on pense bien à cela, il est facile de voir comment une adresse email et un mot de passe peuvent être la clé pour compromettre beaucoup d'autres données personnelles. Avec son système de connexion partagé, un compte Google permet l'accès non seulement à Gmail mais aussi à un compte Google Checkout comme Paypal, la gestion de votre publicité via Adsense et la visualisation du trafic de tous les sites que vous suivez via Google Analytics. Si votre nom d'utilisateur Gmail et votre mot de passe ont été donnés à un service voyou, cela pourrait vouloir dire que votre compte en banque se fasse rincer, que vous allez afficher des publicités dégoûtantes et les données statistiques de trafic confidentielles sur votre site sont désormais rendues publiques.

L'une des réalités du Web d'aujourd'hui est qu'avec la prolifération de services, les utilisateurs partagent souvent les mêmes noms d'utilisateurs et mots de passe entre les comptes. Ceci crée un risque potentiel : si vous fournissez votre nom d'utilisateur et votre mot de passe pour trouver des amis dans votre carnet d'adresses, un service voyou pourrait essayer d'utiliser cette combinaison nom-utilisateur/motdepasse pour se connecter dans votre identité plus large sur MSN et moissonner plus d'informations personnelles vous concernant. OpenID peut aider à résoudre ce problème en réduisant le nombre de mots de passe que vous avez répandu sur tout le Web, et en ajoutant potentiellement une force supplémentaire à votre fournisseur OpenID en souscrivant à des services tels que ceux offerts par VeriSign, MyOpenID et Vidoop.

Même si OpenID aide à résoudre ces problèmes, le problème en lui-même est bien plus grand que de simplement réduire le nombre de comptes que vous gérez en ligne. Etant parvenu à un stade où c'est désormais pratique commune pour un service que de vous demander votre email/mot de passe pour inviter vos amis, illustre vraiment simplement comment ce problème est devenu grave.

Nous pensons que le meilleur moyen pour vous de gérer votre réseau est d'arrêter de penser à toutes ces petites pièces et de commencer à se concentrer sur la grande image : vous et les personnes qui comptent pour vous. Nous pensons que les relations signifient plus de choses que des adresses email ou quels sont les services auxquels vous êtes enregistré(e). Aussi si nous avons créé une démonstration expérimentale fondée sur des technologies ouvertes OpenID, la hCard et XFN des Microformats, et FOAF qui vous permettent de voir votre réseau entier de relation en un seul endroit - à travers les services, les plates-formes et le Web tout entier.

Intéressé ? Voyons comment ça marche.

Alors que quelques services cherchent discrètement dans les sites de réseaux sociaux les profils donnés dans une adresse email (et puis republient cette information), ce n'est pas la seule approche pour découvrir des personnes sur le web. Les "blogrolls" ont existé depuis de nombreuses années et sont un moyen simple de produire des liens vers vos amis. Mais vous pourriez aussi utiliser une "blogroll" pour faire des liens vers d'autres endroits où vous êtes sur le web. Mark Paschal a fait ça sur son site, en créant une liste de liens sur sa barre latérale qui pointe vers ses profils quelque part ailleurs sur le Web. Nous construisons actuellement un plugin Movable Type qui vous aidera à créer et gérer votre propre "liste quelque part ailleurs". Vous pouvez imaginer cette fonctionnalité apparaître sur Vox, LiveJournal et TypePad.

Ces listes peuvent utiliser XFN (un simple microformat HTML) pour faire que ces relations publiques soient lisibles par les machines. Une fois qu'elles sont lisibles-par-des-machines, les services web peuvent faire qu'il soit plus facile pour les utilisateurs de découvrir des amis de façon transparente et décentralisée.

Ce screencast de 40 secondes présente simplement comment il est facile d'utiliser XFN même si vous ne connaissez rien de plus que le HTML basique.

Partager vos multiples profils en ligne est génial, mais la véritable valeur vien en trouvant vos amis sur tous vos réseaux sociaux. Ceci est rendu possible à travers par la combinaison de technologies comme XFN et FOAF, qui ensemble peuvent décrire qui vous connaissez et comment vous les connaissez. TypePad, LiveJournal et Vox produisent automatiquement FOAF (et bientôt XFN) et Movable Type a toujours eu cette capacité. Mais ce n'est pas seulement nos produits -- des services comme LinkedIn, hi5, Twitter, Yelp et Last.fm supportent tous ces technologies.

Ce screencast d'une minute montre un outil expérimental que nous avons créé chez Six Apart pour visualiser ces relations en ligne.

A ce stade, certains d'entre vous se demandent "Pourquoi voudrais-je que tout le monde sache tout de moi ? Qu'en est-il de ma vie privée ?" Ce sont les bonnes questions à se poser. Mais il est important de garder à l'esprit que notre démonstration ne présente seulement que des relations qui ont été déjà explicitement reliées à travers l'utilisation de hCard, XFN et FOAF. Ces technologies ne vous suivent pas partout sur le Web, traçant "invisiblement" tous vos déplacements. Ce n'est pas un spyware. Ce n'est pas du data mining. Le graphe social de vos relations existe déjà - notre démo vous laisse simplement le voir. Ne voudriez-vous pas plutôt pouvoir voir ce qui existe déjà afin que vous puissiez mieux gérer ces relations ?

Nous croyons que certaines personnes verront ça comme un outil puissant pour prendre le contrôle de leur intimité et vie privée et que même si nous ne pouvons pas prédire quelles formes ces contrôles pourraient prendre, nous pensons que faire que le graphe social soit visible est une première étape puissante et nécessaire pour libérer les personnes de la gestion de leurs réseaux de relations une pièces à la fois. Chez Six Apart, nous sommes fiers de vous fournir les meilleurs outils pour partager vos vies avec les personnes qui comptent pour vous, et la vie privée tent une grande place en faisant ça. Vox et LiveJournal ont de l'intimité de contenu au coeur du service, et nous cherchons la façon de vous fournir des outils faciles à utiliser pour contrôler l'information que vous partager concernant votre identité, votre vie et vos activités. Nous reconnaissons et comprenons que parce que de plus en plus d'interactions migrent en ligne, tout le monde ne voudra pas voir exposé chaque aspect de sa vie au monde entier.

Bien que cela puisse être intéressant sur le plan académique, nous sommes en train de travailler pour faire que ces technologies soient réelles dans nos produits. Nous explorons les nombreuses manières avec lesquelles nous pouvons intégrer ce que nous avons démontré ici à l'intérieur de Movable Type, Vox, LiveJournal et TypePad. Imaginer par exemple utiliser Movable Type pour définir vos comptes ailleurs sur le web, et puis permettre à vos amis sur ces services de commenter en utilisant OpenID et de couper la file de votre queue de modération de commentaire. Ou d'utiliser Vox pour republier facilement le contenu que vous avez créé sur Flickr, Twitter et d'autres services équivalents, et les partager en un lieu avec votre voisinage.

Pour finir, si vous gérez un service de réseau social, nous vous encourageons vivement à adopter OpenID, hCard, XFN, FOAF et les autres standards avoisinants concernant la portabilité de données. Si vous utilisez des sites sociaux, nous vous encourageons à réfléchir aux outils qui seraient les plus bénéfiques pour votre expérience en ligne et de bloguer vos idées avec le tag ou la catégorie "socialgraph". Vous nous retrouverez aussi à parler sur différents événements à venir à savoir Web 2.0 Summit, Digital ID World, Web 2.0 Expo Berlin et Graphing Social Patterns et nous aimerions continuer cette conversation en face à face. Vous pouvez aussi suivre ces technologies sur nos blogs produits pour Vox, LiveJournal, TypePad et Movable Type. Peu importe le lieu ou le format, nous sommes excités à faire avancer cette conversation et attendons vos réactions et vos idées.

Posté à 13h04 | Commentaires | lien de référence | digg this