2008년 08월 10일
OpenID에 대한 비판
title; Challenges facing OpenID
link; http://openid.net/2008/08/10/challenges-facing-openid/
OpenID가 정말 주류로 편입하는 중인가 봅니다. 뉴욕타임즈의 Randall Stross이 “Digital Domain” 이라는 컬럼에서 OpenID를 비평하였습니다.
1. OpenID은 인증 방법을 신경쓰지 않습니다. 인증 방법을 정의하는 것 자체가 큰 작업이기 때문에, 이는 OP(OpenID Provider)의 자발적인 방법에 맡기는 것이죠. 그렇기 때문에 제가 OpenID 라이브러리를 설치하여 OP를 구축하고, 마음대로 id를 생성해서 미투데이나 스프링노트같은 RP에 사용해도 아무런 차별이 없습니다. OpenID의 장점이자 단점이죠.
이와 관련하여 OpenID 측에서는 OpenID도 인증 방법을 고민하고 있다고 반박합니다. Verisign의 VIP, JanRain의 CallVerifID, Vidoop의 ImageShield가 대표적인 예입니다. 또한 현재 작업중인 PAPE(Provider Authentication Policy Extention) 스펙도 OP와 RP간에 인증 레벨을 협의하는 방법을 정의하고 있습니다. 그러나 한가지 간과한 점은, 모든 인증 절차에서 신뢰가 요구된다는 것입니다. 그럼에도 불구하고 OpenID는 신뢰시스템이 아니라고 말하죠.
2. CardSpace나 Higgins 같은 Information Card 솔루션이 OpenID의 문제를 해결해줄 수 있습니다. DNS에 의존하고, 피싱(Phishing) 같은 문제가 있는데, Information Card는 SSL 인증서로 사이트를 식별하는 방식으로 OpenID의 문제를 해결합니다.
하지만 첫 째로 Information Card는 별로 도입되지 않고 있습니다. 이 블로그를 보시는 분들 중에서도 Information Card에 관심을 가지고 사용해보신 분이 드물 것입니다. 둘째로 OpenID의 장점인 어디서나 가입없이 자유롭게 사용할 수 있다는 특징과는 달리, Information Card는 해당 사이트를 방문해서 Card를 발급받는 절차가 요구됩니다.
3. OpenID를 제대로 도입한 곳이 없다는 주장입니다. 사실, 대부분의 메이저 기업은 OP를 하지 RP는 안하고 있습니다. 그럴 필요성을 느끼지 못하기 때문입니다. 물론, 초기에도 예견된 것처럼 메이저 기업은 주도권을 놓치지 않기 위해 자사 고객에게 OpenID를 지원할 뿐입니다. Daum이나 Naver가 OpenID RP를 해서 얻을 수 있는 이익이 별로 없습니다.
하지만 RP의 수는 갈수록 증가하고 있는 추세입니다. 2008년 7월의 자료를 살펴보면, MyOpenID라는 OP에 접속한 RP의 수가 연초대비 80% 증가한 18000여 개에 달하고 있습니다. 국내의 분위기와는 다르지만, 해외에서는 OpenID가 꾸준히 도입되고 있다는 증거입니다. 사족이지만, 해외 서비스를 생각하는 스타트업 기업이라면 OpenID를 지원하는 게 좋습니다^^
link; http://openid.net/2008/08/10/challenges-facing-openid/
OpenID가 정말 주류로 편입하는 중인가 봅니다. 뉴욕타임즈의 Randall Stross이 “Digital Domain” 이라는 컬럼에서 OpenID를 비평하였습니다.
1. OpenID은 인증 방법을 신경쓰지 않습니다. 인증 방법을 정의하는 것 자체가 큰 작업이기 때문에, 이는 OP(OpenID Provider)의 자발적인 방법에 맡기는 것이죠. 그렇기 때문에 제가 OpenID 라이브러리를 설치하여 OP를 구축하고, 마음대로 id를 생성해서 미투데이나 스프링노트같은 RP에 사용해도 아무런 차별이 없습니다. OpenID의 장점이자 단점이죠.
이와 관련하여 OpenID 측에서는 OpenID도 인증 방법을 고민하고 있다고 반박합니다. Verisign의 VIP, JanRain의 CallVerifID, Vidoop의 ImageShield가 대표적인 예입니다. 또한 현재 작업중인 PAPE(Provider Authentication Policy Extention) 스펙도 OP와 RP간에 인증 레벨을 협의하는 방법을 정의하고 있습니다. 그러나 한가지 간과한 점은, 모든 인증 절차에서 신뢰가 요구된다는 것입니다. 그럼에도 불구하고 OpenID는 신뢰시스템이 아니라고 말하죠.
Authentication is out of scope for OpenID: We have seen vendors offer unique solutions like Verisign’s VIP, JanRain’s CallVerifID and Vidoop’s ImageShield created to provide alternatives to passwords for authenticating users’ OpenID’s.
2. CardSpace나 Higgins 같은 Information Card 솔루션이 OpenID의 문제를 해결해줄 수 있습니다. DNS에 의존하고, 피싱(Phishing) 같은 문제가 있는데, Information Card는 SSL 인증서로 사이트를 식별하는 방식으로 OpenID의 문제를 해결합니다.
하지만 첫 째로 Information Card는 별로 도입되지 않고 있습니다. 이 블로그를 보시는 분들 중에서도 Information Card에 관심을 가지고 사용해보신 분이 드물 것입니다. 둘째로 OpenID의 장점인 어디서나 가입없이 자유롭게 사용할 수 있다는 특징과는 달리, Information Card는 해당 사이트를 방문해서 Card를 발급받는 절차가 요구됩니다.
Information Cards solve a different problem than OpenID’s: Information Cards lack the ability to take advantage of one of OpenID’smain strengths, the destination or URL that a user has proved they own.The potential for this end-point for services is limitless and mayserve as one of the key components driving OpenID use
3. OpenID를 제대로 도입한 곳이 없다는 주장입니다. 사실, 대부분의 메이저 기업은 OP를 하지 RP는 안하고 있습니다. 그럴 필요성을 느끼지 못하기 때문입니다. 물론, 초기에도 예견된 것처럼 메이저 기업은 주도권을 놓치지 않기 위해 자사 고객에게 OpenID를 지원할 뿐입니다. Daum이나 Naver가 OpenID RP를 해서 얻을 수 있는 이익이 별로 없습니다.
하지만 RP의 수는 갈수록 증가하고 있는 추세입니다. 2008년 7월의 자료를 살펴보면, MyOpenID라는 OP에 접속한 RP의 수가 연초대비 80% 증가한 18000여 개에 달하고 있습니다. 국내의 분위기와는 다르지만, 해외에서는 OpenID가 꾸준히 도입되고 있다는 증거입니다. 사족이지만, 해외 서비스를 생각하는 스타트업 기업이라면 OpenID를 지원하는 게 좋습니다^^
Nobody is really adopting OpenID: Not only that, the latest graphs continue to show hyperbolic growth.
이 글과 관련있는 글을 자동검색한 결과입니다 [?]
- 오픈아이디(OpenID)가 무엇인가요? by crew
- 326. 이글루 주소로 오픈아이디 사용 by 스팅구리
- Myspace의 OpenID 지원 by S_H_Kim
- SSL은 무엇이며, 왜 이것을 사용해야 하는가 by 거만쟁이
# by | 2008/08/10 18:20 | 기타 ID 동향 | 트랙백 | 덧글(2)
저는 사용성 개선과 익숙함을 넘어서는 것이 제일 문제라고 생각했는데 ^^a
저는 그 부분에는 그다지 관심이 없어서 일부러 뺐습니다^^;