2008년 09월 23일
openid 문제
title; Problems of HTTPS(& HTTP) based OpenID
link; http://www.sakimura.org/en/modules/wordpress/index.php?p=51
OASIS XRI TC의 Nat Sakimura가 OpenID의 문제에 대해 포스팅했습니다. 그가 말한 OpenID의 문제는 OP의 유한성에 대한 것입니다. OP의 서비스가 중단될 경우, 가령 타 업체와 합병되거나 운영을 중단할 경우, 기존 사용자의 OpenID 식별자가 변경되면서 RP의 사용자 관리 문제가 생깁니다.
Nat은 다음과 같은 예를 듭니다. abc.com과 xyz.com이라는 OP가 있는데, abc.com이 xyz.com에 합병되어 서비스를 제공한다고 하죠. 기존에 abc.com에서 서비스를 받던 사용자는 더이상 abc.com의 OpenID 식별자를 사용하지 못하게 됩니다. abc.com 도메인은 더이상 유효하지 않습니다.
그러면 2가지 문제가 생깁니다. 첫번째로, abc.com의 사용자는 기존에 가입한 RP에 더이상 로그인할 수 없습니다. 두번째로, 누군가 abc.com 도메인을 사버리고 OpenID 서비스를 제공하면 기존에 abc.com의 OpenID 식별자를 받아들인 RP 사이트는 전혀 다른 사용자를 기존 사용자로 인식하게 됩니다.
이런 문제를 해결하기 위해 Nat은 다음과 같은 조건을 만족하는 OpenID 식별자가 필요하다고 제안합니다.
이 조건을 만족하는 방법으로 1. public key 사용, 2. Registry based unique string coupled with Public Key pair. 를 제안합니다. 두번째는 바로 XRI를 말하는 것입니다. OpenID는 XRI와 궁합이 잘 맞긴 합니다.
한가지 더, 저는 스프링노트가 사용하는 방식도 좋다고 봅니다. RP가 한 사용자의 여러 OpenID 식별자를 매핑하는 것이죠. OP 서비스가 잠시 중단되어 사용하지 못하는 경우도 흔하게 발생합니다. 여러 OpenID 식별자를 사용하면 OP가 망하거나 서비스를 잠시 중단하더라도 문제없습니다. 사람들이 XRI에 가입할 필요도 없구요.
ps. XRI TC의 의장인 Drummond Reed가 관련 포스팅(http://www.equalsdrummond.name/?p=157)을 하였습니다. 현재 OpenID 2.0 스펙에는 XRI가 포함되어 있는데, 아마 2.1 버전에는 XRI를 더욱 강조할 것 같군요.
link; http://www.sakimura.org/en/modules/wordpress/index.php?p=51
OASIS XRI TC의 Nat Sakimura가 OpenID의 문제에 대해 포스팅했습니다. 그가 말한 OpenID의 문제는 OP의 유한성에 대한 것입니다. OP의 서비스가 중단될 경우, 가령 타 업체와 합병되거나 운영을 중단할 경우, 기존 사용자의 OpenID 식별자가 변경되면서 RP의 사용자 관리 문제가 생깁니다.
Nat은 다음과 같은 예를 듭니다. abc.com과 xyz.com이라는 OP가 있는데, abc.com이 xyz.com에 합병되어 서비스를 제공한다고 하죠. 기존에 abc.com에서 서비스를 받던 사용자는 더이상 abc.com의 OpenID 식별자를 사용하지 못하게 됩니다. abc.com 도메인은 더이상 유효하지 않습니다.
그러면 2가지 문제가 생깁니다. 첫번째로, abc.com의 사용자는 기존에 가입한 RP에 더이상 로그인할 수 없습니다. 두번째로, 누군가 abc.com 도메인을 사버리고 OpenID 서비스를 제공하면 기존에 abc.com의 OpenID 식별자를 받아들인 RP 사이트는 전혀 다른 사용자를 기존 사용자로 인식하게 됩니다.
이런 문제를 해결하기 위해 Nat은 다음과 같은 조건을 만족하는 OpenID 식별자가 필요하다고 제안합니다.
P1. Persistent
P2. Globally unique
P3. Easy to find out if it is a legitimate one (i.e., it should be easy to find out if somebody else uses it as his identifier.)
이 조건을 만족하는 방법으로 1. public key 사용, 2. Registry based unique string coupled with Public Key pair. 를 제안합니다. 두번째는 바로 XRI를 말하는 것입니다. OpenID는 XRI와 궁합이 잘 맞긴 합니다.
한가지 더, 저는 스프링노트가 사용하는 방식도 좋다고 봅니다. RP가 한 사용자의 여러 OpenID 식별자를 매핑하는 것이죠. OP 서비스가 잠시 중단되어 사용하지 못하는 경우도 흔하게 발생합니다. 여러 OpenID 식별자를 사용하면 OP가 망하거나 서비스를 잠시 중단하더라도 문제없습니다. 사람들이 XRI에 가입할 필요도 없구요.
ps. XRI TC의 의장인 Drummond Reed가 관련 포스팅(http://www.equalsdrummond.name/?p=157)을 하였습니다. 현재 OpenID 2.0 스펙에는 XRI가 포함되어 있는데, 아마 2.1 버전에는 XRI를 더욱 강조할 것 같군요.
may turn out to be a crucial one for the soon-to-begin work on OpenID 2.1. When it comes to security, privacy, and usability, the differences really start to add up.
이 글과 관련있는 글을 자동검색한 결과입니다 [?]
- 오픈아이디(OpenID)가 무엇인가요? by crew
- OpenID에 대한 비판 by S_H_Kim
- 쉬운 OpenID 가이드 by S_H_Kim
- 326. 이글루 주소로 오픈아이디 사용 by 스팅구리
- OpenID를 지원하기 위한 간단한 클래스 by 연서아빠
# by | 2008/09/23 22:46 | 기타 ID 동향 | 트랙백
