Korean Identity Management(KIM)

title; Not so OpenID
link; http://talk.bmc.com/blogs/blog-bohren/jeff-bohren/not-so-openid

AOL이 OpenID 프로바이더가 되어 자사의 사용자에게 OpenID를 제공해준다는 소식을 전혀드렸습니다. OpenID 컨슈머가 되는지는 몰랐는데요. 8월 14일 공개된 내용에 따르면, AOL이 개발하고 있는 인증 프레임워크에 다른 OpenID 프로바이더의 OpenID 또한 받아들일 거라고 하네요.

A lot of attention is being paid AOL’s announcement that they will support OpenID, but only from a select White List of providers

그런데 특이하게도 WhiteList를 사용합니다. AOL이 신뢰하는 OpenID 프로바이더를 사용해야지만 AOL에 로그인하여 서비스를 제공받을 수 있습니다. Reputation의 방법으로 Whitelist를 사용하는 경우를 고려하긴 했지만, 실제로 적용되기에는 상당한 시간이 걸릴거라고 예상했기 때문에 놀랐습니다. 더욱 놀라운 사실은 AOL이 공개한 Whitelist  에 국내의 OpenID 프로바이더인 idtail이 포함되어 있다는 것이죠. idtail의 발빠른 행보에 감탄하였습니다. :)

1. myopenid.com
2. claimid.com
3. livejournal.com
4. verisignlabs.com
5. myvauthid.com
6. openid.sun.com
7. myvidoop.com
8. signon.com
9. idtail.com
10. xlogon.net

OpenID 측이나 다른 유명인사들의 반발이 심합니다. OpenID의 open된 기본 철학을 과감히 무시했기 때문이겠죠.  AOL의 Whitelist에 반발하는 포스팅이 워낙 많아서 관련 포스팅은 따로 올려야 할 것 같네요^^;

하지만, OpenID 컨수머의 입장에서는 사용자가 많을수록 좋겠지만, 악의적인 용도로 접근하여 리소스를 남용하는 문제가 더욱 심각합니다. 제가 이전 포스트에도 언급했듯이, OpenID가 활성화 되기 위해서는 어쩔 수 없는 선택이라고 봅니다.

Being a relying party however is a different matter. If someone compromises a provider and falsely authenticates to your relying party, they are misusing someone’s resources. The sensitivity of these resources would make the difference between allowing unrestricted OpenID or white list controlled OpenID.