Avertissement : Ceci est une traduction en cours publiée sous Fair-Use dédiée à soutenir l'effort de production documentaire pour le groupe OpenID-France. Vous pouvez aider à raffiner le contenu en cliquant sur ce lien pour éditer directement le html sur la page miroir de mon wiki-personnel. D'avance merci de votre contribution. -- xtof

Peter Nixey écrivait le 6 novembre dernier sur Vitamin : How will openID change your site?

Comment OpenID changera votre site ?

OpenID promet beaucoup - tout simplement un nom d'utilisateur et un mot de passe pour la vie — mais est-ce que ce peut être livré ? Peter Nixey est l'homme pour vous le dire. Sa startup Clickpass fait tout pour porter OpenID aux masses et il écrit à propos du coût de l'enregistrement, de la fraude et plus encore.

Après trois mois passés à San Francisco, je suis récemment revenu à Londres pour voir mes amis et ma famille. Avec quelques semaines disponibles, je me suis retrouvé à réserver des dîners avec de vieux amis. Je suis un grand fan des offres sur Top Table et avec mon oeil sur une jolie petite brasserie dans Hampstead, je savais que j'avais suffisamment de points pour faire en sorte qu'un de mes repas durant ce voyage soit gratuit.

Ou tout du moins je pensais que je le pouvais, mais après tant de mois à l'extérieur, j'avais oublié mon mot de passe pour revenir sur le site. Non seulement ça, mais je m'étais enregistré avec une vieille adresse e-mail et je ne pouvais même pas récupérer le mot de passe. Pour un mot de passe, moi, mes pages vues et mes commissions étaient perdues.

Les noms d'utilisateurs et les mots de passe sont partout. Dans un Web qui devient de plus en plus spécialisé et mixé, là où le stockage provient en-masse d'Amazon, la vidéo de YouTube, les cartes de Google, la présence de MyBlogLog et le partage de del.icio.us, une dernière fonctionnalité demeure maladroite et locale : le login. (NDT l'identification, la connexion)

Enregistrement :

Une fonctionnalité simple et omniprésente qui coûte aux utilisateurs de sites web, à beaucoup d'utilisateurs. France Telecom a produit récemment une recherche complète sur le sujet et trouvé qu'à chaque nouvel écran présenté durant l'enregistrement, 50% des utilisateurs abandonnent et partent ailleurs.

Ceci fait des écrans d'enregistrement une section très coûteuse de votre site web. Ainsi vous avez construit un superbe nouveau service et dépensé une fortune à le publiciser sur Google pour obtenir peut-être un millier de clics. Parmi ceux-là, peut-être qu'une centaine se laisseront suffisamment impressionner par votre service pour parvenir à cet écran critique d'enregistrement. Demander à l'utilisateur un identifiant et un mot de passe, confirmer son email et vous avez tout bonnement perdu 75 d'entre eux.

Le simple acte d'enregistrement a simplement multiplié votre coût d'acquisition client par un facteur de quatre. Vous débarrasser du processus rendrait votre publicité quatre fois plus efficace.

Même une fois l'utilisateur enregistré, l'écran de login continuera tout comme vous à le hanter. Jusqu'à 80% des appels sur les centres d'appels proviennent d'utilisateurs demandant des réinitialisations de mots de passe et chacun de ces appels coûte en moyenne 30$ à traiter.

La pénibilité de s'enregistrer et de s'identifier est à la fois considérable et coûteuse. Néanmoins durant les deux dernières années, un protocole a émergé pour résoudre ce problème, un protocole qui montre les premières lueurs d'espoir de pouvoir le résoudre : OpenID.

OpenID, le HTML de l'identité

En 1990, Tim Berners Lee a produit l'énorme simplification que la plupart de l'information dont avait besoin les gens pour l'accès pourrait être encodée dans le bon vieux HTML. L'"Information" est aussi vaste qu'une catégorie de données et elle peut être encodée dans bon nombre de formats différents : xml, pdf, jpg et texte en clair étant simplement quelques formats. En faisant cette simplification extrême, Tim Berners Lee mettait le doigt sur le coeur du problème et posait les fondations pour la profondeur et la complexité du web qui existe aujourd'hui.</p>

Il y a deux ans, Brad Fitzpatrick de Six Apart produisait la même simplification pour l'identité. L'identité est une bête complexe et amorphe. Qui êtes vous, quelles qualifications avez-vous, qui peut les vérifier et comment puis-je avoir confiance ? Quelle est votre réputation, qui sont vos amis et êtes-vous vraiment mon cousin issu de germain ?

Ce sont des questions très difficiles à structurer et à répondre en programmation, et tout comme l'encodage de document, trop difficiles à résoudre en un seul coup. Brad a proposé une solution pour une question différente et bien plus simple — êtes-vous le même utilisateur qui était sur mon site la semaine dernière ?

Souvenez-vous de moi ... pour toujours

En son coeur, tout OpenID se soucie de dire à un site web que vous êtes la même personne, le même utilisateur que vous étiez la dernière fois que vous l'avez visité. Un peu comme un cookie que vous charriez avec vous et déposez à l'intérieur de n'importe quelle machine que vous utilisez — "souvenez-vous de moi pour toujours". OpenID vous donne, à vous propriétaire du site, l'opportunité de personnaliser et adapter vos contenus à plus d'utilisateurs.

Comment ça marche ?

Par essence, OpenID permet à un site de ferrouter (NDT piggy-back) une session authentifié à partir d'un autre site web. Je me connecte à mon fournisseur OpenID (par ex. Clickpass.com, la startup que j'ai fondée), de saisir mon URL OpenID et de créer une session là. Quand je veux utiliser un autre site (par ex. le Basecamp de 37 Signals), au lieu de lui donner mon nom d'utilisateur et mon mot de passe, je luis donne mon URL OpenID.

Basecamp a alors un mot rapide avec Clickpass et demande si j'ai déjà ouvert une session authentifiée. Si c'est le cas, il me connecte à l'intérieur de Basecamp et crée une nouvelle session authentifiée pour lui même et si ce n'est pas le cas, il me renvoie chez Clickpass pour me connecter.

L'hôtesse du vestiaire WWW

Vous pouvez imaginer OpenID comme étant un peu les tickets qu'utilise l'hôtesse au vestiaire. Quand vous laissez votre manteau au vestiaire d'une boîte de nuit, elle déchire un ticket de sa souche, en épingle une moitié sur le manteau et vous donne l'autre moitié. Quand vous voulez récupérer votre manteau, vous lui restituez la moitié du ticket, elle retrouve le manteau qui correspond et vous le redonne.

OpenID fait exactement la même chose avec un site web. Vous allez sur un site web, et lui donnez une copie de votre URL OpenID qu'il épingle à votre compte. La prochaine fois que vous revenez, vous le flashez avec votre OpenID, il vérifie le compte qui lui correspond, fait une vérification rapide pour s'assurer que vous êtes vraiment le propriétaire et vous laisse rentrer.

Votre utilisateur ou le mien ?

Ainsi si OpenID connecte l'utilisateur dans votre site, alors qui le possède exactement ? Est-ce que cet utilisateur est en fin de compte un utilisateur du fournisseur OpenID ou du site web lui-même.

Un bon endroit à étudier pour une réponse à cela est Evite.com. L'une des raisons pour lesquelles Evite a tant de succès est qu'il n'oblige pas les personnes à créer des comptes afin de voir leurs invitations. Le fait de cliquer sur un lien personnalisé qui vous a été envoyé dans un courrier électronique Evite est la preuve que vous possédez l'adresse email et cela vous connecte directement dans Evite.

Evite déroute l'authentification à partir de vote compte email. Néanmoins, il est clair que c'est Evite, plutôt que Hotmail ou GMail, qui possède l'utilisateur. De la même façon qu'Evite "ferroute" sur l'email, OpenID vous laisse "ferrouter" la session chez le fournisseur OpenID et en même temps retient la propriété de votre utilisateur. Les données qu'il saisit sur votre site sont quelque chose qui se produit entre vous et lui et rien à voir avec le fournisseur OpenID.

Les possibilités

Les conséquences de réduire la barrière à la création de compte et la connexion sur les sites web sont difficiles à mésestimer. La résistance des utilisateurs à s'enregistrer sur votre service tombe, le nombre d'utilisateurs y revenant croît et la quantité de temps que vous avez dépensée à vous souvenir pour faire ainsi s'effondre.

Avec un compte pour vous connecter à l'intérieur de tant d'endroits, l'utilisateur peut aussi maintenant se permettre d'apporter plus que simplement un nom d'utilisateur et un mot de passe à votre site et vous avez les moyens d'en demander plus. En même temps, tout en baissant la barrière pour les utilisateurs reconnus, OpenID élève la barrière à l'entrée pour vos visiteurs non désirés.

Les gens sont lassés d'avoir à prouver à eux-mêmes à nouveau et à nouveau à chaque nouveau site qu'ils visitent. OpenID ouvre la porte à l'identité portable et à ceux accumulant de la réputation et de la crédibilité qui peut ensuite être réutilisée ailleurs tout comme ils utilisent leur réputation Ebay sur les enchères. L'identité portable et la crédibilité sont à leur tour, la clé pour exiger plus de preuves de la part de vos visiteurs sur ce qu'ils disent être et à son tour cela réduit les "chargebacks", la fraude et le spam.

Un anneau pour les lier tous … et les perdre tous ?

Avec un compte pour stocker tout à l'intérieur, la réaction initiale de beaucoup de gens est qu'ils disposent désormais d'un seul endroit à partir duquel ils peuvent tout perdre. Craquez votre fournisseur OpenID et vous craquez tous les autres sites. Pouvoir être capable de rentrer dans tous les sites en utilisant un mot de passe est indéniablement attirant mais cela vaut-il la peine de laisser aussi quelqu'un d'autre le faire ?

Aires d'accès pour tous d'aujourd'hui : l'email

L'ironie est que nous faisons déjà face à la menace de la question précédente sans la commodité de l'OpenID. Déjà oublié votre mot de passe ? Comment le récupérez-vous ? Avez-vous peut-être déjà cliqué sur le bouton "rappel du mot de passe" ?

Presque chaque compte que vous avez sur le Web peut être accédé en utilisant votre compte email. Dès que quelqu'un dispose de votre compte email, il a les clés à vos autres comptes.

Le fait qu'un tiers des utilisateurs utilisent partout le même nom d'utilisateur et mot de passe, le problème est en fait bien pire que s'ils avaient obtenu l'accès par inadvertance à leurs comptes email pour chaque service sur lesquels ils s'enregistrent. Je vous demande votre nom d'utilisateur, votre mot de passe et une adresse email quand vous vous enregistrez sur GagneEncoreUnAutreIPod.com et vous me donnez les mêmes identifiants que vous utilisez pour votre fournisseur d'email et Paypal.

L'utilisateur d'aujourd'hui a tous des risques associés avec un login centralisé et aucun des bénéfices.

OpenID et le phishing (NDT : hameçonnage)

Tout comme Paypal et Google Checkout, OpenID est un protocole vulnérable aux attaques par phishing. Cliquez sur un lien subversif Google Checkout, saisissez vos détails de login Google sur le site web d'un phisher et vous avez donné vos détails sur votre compte Google et vos détails de paiement. Cliquez sur un bouton Paypal qui vous connecte vers une vitrine imitée et vous aurez cédé vos nom d'utilisateur et mot de passe Paypal.

OpenID peut être attaqué exactement de la même façon. Vous arrivez sur un site web compatible OpenID sans être connecté et vous serez re-dirigé vers votre fournisseur OpenID pour faire ainsi. Ne regardez pas trop soigneusement l'URL de cette page de connexion et vous pourriez trouver par accident que vous avez donné vos détails à quelqu'un à qui vous n'aviez pas l'intention.

Il existe différentes façons de faire qu'il soit plus difficile que cela se passe et qui puisse faire que cela soit presque impossible. Au mieux, les services OpenID comme Clickpass.com font qu'un utilisateur est bien plus en sécurité que s'il utilisait des identifiants conventionnels et produisent cela sur tous les sites que l'utilisateur visite.

Faites-vous petit

Le dernier point est très important parce qu'au moment d'être attaqué, il est toujours plus facile de défendre un plus petit endroit qu'un plus grand. Si les spiders et les aliens descendent sur vous dans un jeu vidéo (ou bien sûr dans la vraie vie), vous vous retrouvez dos au mur. Laissez les clés de votre maison sous chaque pot dans le jardin et elles seront probablement plus trouvées que si vous les laissiez sous simplement un.

Les utilisateurs web défendent aujourd'hui simultanément leur sécurité et leur privauté sur beaucoup de fronts. Pour les personnes qui utilisent partout le même mot de passe, chaque nouveau compte est un nouvel endroit pour qu'il soit compromis, chaque nouvel endroit dans lequel vous saisissez vos détails est un autre endroit à partir duquel on peu le voler.

Avec seulement un compte pour se connecter, l'utilisateur peut se permettre d'être plus soucieux sur la façon dont il le fait. Il peut utiliser l'authentification par email, les confirmations par SMS, et même des clés RSA pour sécuriser ce compte OpenID, et par association, tout autre compte vers lequel il est lié. Le pouvoir de l'authentification unique signifie que le niveau élevé d'authentification peut désormais être réutilisé et ré-exigé sur le réseau complet des sites de l'utilisateur.

Ainsi où en est-on ?

Il semblerait comme si OpenID était la drogue-merveilleuse de l'internet. Avec la puissance de faire baisser les demandes de réinitialisation des mots de passe, le spam, la fraude et la capacité d'accroître les taux de conversion, la fidélité de l'utilisateur et la sécurité, cela semble presque être trop beau pour ête vrai. Aujourd'hui malheureusement, ce l'est encore.

OpenID est totalement fonctionnel mais encore brut et trop "tricky" pour l'internaute moyen. Même si j'écris qu'il y a du changement dans l'air. Différentes startups et initiatives, y compris les specs OpenID elles-mêmes, sont en train de combler les fossés et arrondissent les angles.

L'expérience utilisateur n'est pas encore tout à fait complète mais avec des gens comme Verisign, Vidoop et notre équipe chez Clickpass en train de travailler pour résoudre les parties restantes du puzzle, l'avenir d'OpenID semble très, très prometteur.

ClaimID ajoute automatiquement rel=”me” aux liens vérifiés

Lien de référence : Automatically adding rel=”me” to verified links : Un billet posté le 25 septembre 2007 par Terrell Russell sujet ici à une traduction adaptée pour les utilisateurs francophones de ClaimID.

ClaimID continue à faire des efforts pour ajouter un peu de technologie et de standards à son code existant.

ClaimID a dès le début intégré XFN dans les liens sur les pages profils des utilisateurs, mais cette fonctionnalité était dissumulée dans l'onglet “advanced” à chaque fois qu'un utilisateur crée ou éditer un lien sur sa page profil.

Désormais, ils ont poussé le pouvoir latent de ce XFN et ont auto-ajouté rel=”me” à tout lien qui est vérifié dans leur système (via MicroID. Chaque fois que vous ajouterez un nouveau lien vérifié à votre compte, il sera aussi marqué avec rel=”me” et restera compatible avec les discussions récentes et en cours concernant le Web Social Ouvert et les microformats.

XFN et rel=”me”

La consolidation d'identité est quelque chose que ClaimID ne fait que commencer à approcher. Le fait que le web devienne de plus en plus programmable et mashable, XFN associé à d'autres microformats et d'autres petits blocs de construction comme MicroID, commencent à montrer son potentiel.

Voici un rapide extrait traduit à partir des pages XFN chez GMPG :

Identité

Me est utilisé pour indiquer que le lien pointe vers un site dont vous êtes responsable. C'est utile par exemple au moment de pointer vers différents profils sur les sites de réseaux sociaux, ou quand vous pointez entre deux différents blogs animés par la même personne. Remarquez que l'utilisation de cette valeur est exclusive sur toutes les autres valeurs XFN ; par conséquent, vous ne pouvez pas déclarer rel="me co-resident" même si l'on peut expérer que vous êtes en fait co-résident avec vous-même.</p>

Cet ajout n'est qu'une toute petite chose, dans le grand schéma, mais une autre pièce solide de notre engagement à l'éducation et la défense à l'égard de l'identité en ligne.

Un exemple de la façon dont c'est puissant 

Le Graphe Social Ouvert open source de Plaxo (à savoir le Consolidateur d'Identité en Ligne). Il scrute une URL source basée sur les XFN qu'il trouve. Puis il construit le graphe et rend compte. Cliquez sur quelques-uns des liens ci-dessous pour le voir en action - avec les URLs sources étant nos toutes nouvelles pages automatisées avec rel=”me” chez claimID :

• gregoire - texte, json, xml
• missrogue - texte, json, xml
• xtof - texte, json, xml

Plus de discussions :

Pour aller plus en profondeur sur l'idée d'un réseau social portable ouvert :

• ClaimID supporte le Web Social Ouvert
• http://www.plaxo.com/info/opensocialgraph
• Réflexions sur le Graphe Social
• David Recordon : "Nous Ouvrons le Graphe Social"
• http://opensocialweb.org/

Publié le 21 mars 2007 par Fred Stutzman - traduction en cours et localisation iconographique par Christophe Ducamp pour le compte du wiki de travail dédié à ClaimID. Seul le lien original fait office de référence.

Maintenant que nous avons ajouté notre nouvelle fonctionnalité de contact, voici un rapide parcours visuel du processus. Pour ajouter un contact, naviguez en premier lieu vers la page de n'importe lequel des co-fondateurs de ClaimID. Tout en haut et à droite, vous verrez qu'il y a un petit lien vous invitant à ajouter cette personne comme un contact.

Si vous êtes connecté(e) et si vous cliquez ce lien, vous serez transporté(e) vers une page vous confirmant que vous voulez ajouter cette personne comme un contact. Si vous n'êtes pas connecté(e), vous serez transporté(e) vers la même page, la seule différence étant que la page suivante vous demandera votre OpenID. Voici à quoi cela ressemble (NDT : ayant déjà ajouté terrel, j'essaye ici avec une iconographie sur le frère-pinko jeanchristophe) :

Comme vous pouvez le constater, cette page vous demande votre OpenID et des données pour renseigner le XFN. Une fois authentifié(e) avec succès sur votre OpenID, un message sera expédié à la personne l'informant de votre demande de contact. Une fois qu'elle aura validé la demande, elle sera envoyée vers la page de gestion de contacts.

Pour finir, les contacts s'afficheront sur la page ClaimID des personnes sous le lien “contacts”, avec des données XFN. Cela ressemblera à cela.

Nous avons essayé de faire que cela reste propre et simple, mais svp faites-nous savoir si vous voyez quelque chose d'étrange ou si vous avez quelque question brûlante sur le sujet. Nous sommes vraiment excités de ce que nous pourrons construire sur le sommet de ce réseau social du futur.

Traduction en cours à des fins de recherche personnelle et de futur enrichissement du wiki dédié à mieux faire connaître le service ClaimID en langue française. Le billet original a été publié initialement le 21 mars 2007 par Fred Stutzman sur le blog officiel de ClaimID. Seul le lien original fait référence.

Nous sommes les premiers à l'admettre, quand nous avons conçu ClaimID, nous sommes volontairement restés éloignés du fait de vouloir en faire un produit de réseau social. Pourquoi ? Cela ne faisait pas sens - ClaimID c'est de vous dont il s'agit. Mais au fil du temps, nous avons réalisé que juste vos liens et les OpenIDs vous façonnaient votre identité en ligne, par conséquent façonnent vos amis et contacts. L'identité est sociale et il n'y a vraiment pas moyen d'éviter ça. Par conséquent, ce matin, nous avons présenté une fonctionnalité très légère qui vous permet d'ajouter des contacts dans ClaimID.

Bien sûr, vous connaissez le problème classique du "contact" de tout logiciel relationnel. Vraiment, vous ne pouvez y ajouter seulement que des amis ou contacts étant déjà dans le service. Et le fait que ClaimID n'est vraiment pas Myspace à cette heure (et nous sommes tous d'accord sur le fait que c'est une bonne chose), quelle est la qualité de votre identité sociale quand vous ne pouvez seulement y ajouter qu'un petit pourcentage de vos amis comme contacts ?

Ainsi nous avons longuement réfléchi sur le sujet, et nous avons réalisé que OpenID nous fournissait une solution. En tant que résultat, nous avons produit notre nouvelle fonctionnalité de contacts sur une base OpenID. Ceci veut dire que vous pouvez ajouter directement vos contacts dans le service, ou vous pouvez ajouter vos contacts OpenID. Si votre boss n'a pas de ClaimID, mais que son blog est une OpenID, elle peut encore être votre contact dans ClaimID. Pourquoi l'internet n'a pas été toujours comme ça ?

Les contacts traitent de la réputation. Si nous avions limité les contacts à l'intérieur de notre système, vous seriez rapidement réduit au nombre limité de personnes que vous pouvez ajouter. Avec de plus en plus de services produisant des OpenIDs (AOL, Wordpress.com, etc), cela fait simplement sens de construire ce système de contact sur la couche supérieure d'OpenID. Produire des réseaux de contacts, ou des réseaux sociaux, ou ce que vous voudrez bien appeler tout ce qui se fonde sur OpenID fait partie de l'avenir, et nous espérons que d'autres se joindront à nous pour adopter cet usage.

Je suivrai ce billet par un billet qui expliquera le système de contact un peu plus en profondeur. Je voulais juste partager le raisonnement sur lequel nous avons ajouté cette fonctionnalité, et la raison pour laquelle nous avons décidé de nous baser sur OpenID. Nous espérons que vous apprécierez !

Un article original de Simon Willinson.  Seul le lien original fait référence.
Objet de cette traduction : Doit pouvoir aider à comprendre vite comment se créer et utiliser une OpenID ?

Le plus gros problème d'OpenID est sa courbe d'apprentissage. L'utiliser tel qu'il est est vraiment simple, mais si vous n'êtes pas technicien, la quantité de trucs que vous devez connaître avant de pouvoir comprendre est énorme. Si vous êtes technicien, c'est tout simplement qu'il ne semble pas que ce devrait marcher - il y a tout un tas de questions qui surviennent à chaque fois qu'OpenID est discuté quelque part ("mais sûrement il n'y a rien qui puisse empêcher quiconque de vous usurper votre ID") ce à quoi OpenID a des réponses mais qui sont facilement mal comprises.

Le moment magique avec OpenID arrive la première fois que vous vous connectez à un site en saisissant votre OpenID et en cliquant sur un bouton. Selon mon expérience, c'est le moment où les personnes passent du statut de sceptique OpenID à des croyants OpenID.

A ces fins, j'ai assemblé un premier screencast : Comment utiliser OpenID

Il dure 5 minutes et 46 secondes et démontre la création d'une OpenID (en utilisant MyOpenID) et une connexion sur plusieurs sites avec, puis explique comment d'autres fournisseurs peuvent être utilisés pour éviter d'avoir un unique point d'échec. Cela touche aussi à la délégation ; j'ai décidé de ne pas couvrir cela en détail par crainte d'effrayer les personnes à donner trop d'information pour la première fois.

C'est le premier screencast que j'ai produit, et je peux confirmer ce que tout le monde a dit : ces trucs prennent des siècles ! Cela m'a pris environ sept heures pour assembler moins de 6 minutes d'enregistrement. Si quiconque est intéressé je peux écrire quelques-unes des choses apprises de ce processus. Les remarques de Mark Pilgrim se sont avérées inestimables.

J'espère que ce screencast pourra être vu pas autant de personnes que possible, aussi svp liez-le si vous le trouvez utile. Liez directement vers la page screencast et non cette entrée ; la page screencast est servie statiquement par nginx qui devrait je l'espère aider à éviter une répétition du plantage que j'ai eu ce mardi.