2009년 08월 18일
WebFinger, 인터넷에서 나를 가리키는 손가락
WebFinger는 Email 주소를 이용하여 개인의 identity를 관리하자는 기술입니다. WebFinger라는 작명을 한 이유가 바로 웹에서 나를 가리키는 손가락이 되자는 뜻이겠죠. TechCrunch에서는 아주 긍정적으로 WebFinger 기술을 소개하는데[1], 기본 개념은 매우 간단합니다. OpenID에도 적용되고, OASIS에서도 독자적으로 표준화가 진행된 XRD(eXtensible Resource Description)를 기반으로 합니다. 파일 하나에 자신의 이름, 연락처, 공개키, OpenIDProvider 주소 등 다양한 identity 정보가 포함될 수 있습니다. OpenID인 경우, 그 파일 역할을 URL이 하고, WebFinger는 Email 주소라는 점이 다릅니다.
WebFinger가 며칠전부터 이슈화 되었지만, 실은 2009년 5월에 열린 IIW8에서 논의된 내용이었습니다. [6] 노트까지 뽑아두고는 게을러서 아직도 못보고 있었네요.
위 그림에서도 보이듯이 WebFinger 프로젝트는 구글코드(http://code.google.com/p/webfinger)에 둥지를 틀었습니다.[2] BSD 라이센스를 사용하니 마음대로 가져다 쓸 수 있겠네요. 그리고 OpenID 쪽 사람들이 많이 보입니다. OpenID도 이제 볼륨이 커져서 마음대로 다양한 기술을 시도하기 어렵고, 지난 번 구글이 Email 주소를 OpenID로 사용할 때 논란이 있었습니다. 그래서 아에 이 부분만 별도의 프로젝트로 만들어 다양한 시도를 할 것 같습니다.
WebFinger가 포함하는 identity 정보는 아래와 같습니다.
* 공개 프로필
* IDP 위치(identity provider) (e.g. OpenID server)
* 공개키
* 해당 Email 주소를 사용하는 서비스 목록 (e.g. Flickr, Picasa, Smugmug, Twitter, Facebook, and usernames for each)
* 아바타의 URL
* 프로필 (nickname, full name, etc) - 공개 프로필과의 차이점은 잘 모르겠네요.
* JID 여부. 검색해보니 JID는 XMPP의 주소같네요. 둘다 something@somewhere.com 형식이기 때문에 모호함을 피하기 위해서 명시합니다.
* 공개 메타데이터 포함여부, Email 주소는 단순히 엔드포인트로서, 인증 후에 메타데이터를 제공할 수도 있음
WebFinger 기술은 어렵다기 보다는 기업들간의 정치적인 입김이 중요하게 작용할 것 같습니다. 구글이 Gmail에 적용하고 적극적으로 홍보한다면, 그리고 다른 기업들이 자발적으로 참여한다면 OpenID보다도 더 활발하게 사용되고 확장될 수 있습니다. 그게 아니라면, 조용히 사라지겠죠. 야후 개발자도 참여한다는데 실제로 적용될지는 미지수입니다.
OpenID 진영과의 관계 또한 애매합니다. 저는 WebFinger를 보면서 구글이 OpenID보다 WebFinger를 키우리라는 예감이 들더군요. OpenID 진영에서 욕먹느니보다는 구글이 원하는 바로 그 기술만 개발하고 적용하는게 효과적입니다. 좀전에도 언급했듯이 조그만 프로젝트기 때문에 흥미있는 시도 또한 많이 이루어질 것 같구요. 진도도 느리고 모멘텀을 잃어버린 OpenID
마지막으로 지적할 부분은 바로 보안, 프라이버시 이슈입니다. 구글의 Email 을 OpenID로 사용한다는 방안을 제시했을 때, 많은 사람들이 프라이버시 문제를 언급했습니다. Email 주소가 노출되기 때문에 스팸이나 피싱 등의 문제가 발생합니다.[4]
WebFinger의 근간으로 언급되는 Finger 프로토콜도 마찬가지 이유로 사장된 기술입니다.[5] 크래커들이 Email , 이름, 전화번호 등을 획득하여 사회공학적 방법으로 해킹을 시도하는 경우가 빈번했습니다. 별다른 보안 요소가 준비되지 않는다면 WebFinger 기술 또한 사장될 수 있습니다. 다행이도, WebFinger 프로토콜에서 인증 후에 메타데이터 정보를 제공하는 기능이 언급되어 있는데, 자세한 내용은 언급되지 않았지만, 이 기능이 보안 문제를 해결할 것으로 기대합니다.
레퍼런스
[1] http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/
[2] http://code.google.com/p/webfinger/
[3] http://www.hueniverse.com/hueniverse/2009/03/xrd-sneakpeek.html
[4] http://stackoverflow.com/questions/1083948/why-is-it-dangerous-to-use-an-email-address-as-an-openid
[5] http://en.wikipedia.org/wiki/Finger_protocol
[6] http://iiw.idcommons.net/11D:_Webfinger_aka_Personal_Web_Discovery
It’s an extension of something called the “finger protocol”that was used in the earlier days of the web to identify people by their email addresses. As the web expanded, the finger protocol fadedout, but the idea of needing a unified way to identify yourself has not. That’s why you keep hearing about OpenIDand the like all the time.[1]
The problem with it has been that it’s just a string of text, nothing more. You cannot attach information to it to let others know a bit more about you — something vital for true identification. Then idea behind WebFinger is that you should be able to attach any information you choose to your email address.[1]
WebFinger가 며칠전부터 이슈화 되었지만, 실은 2009년 5월에 열린 IIW8에서 논의된 내용이었습니다. [6] 노트까지 뽑아두고는 게을러서 아직도 못보고 있었네요.
위 그림에서도 보이듯이 WebFinger 프로젝트는 구글코드(http://code.google.com/p/webfinger)에 둥지를 틀었습니다.[2] BSD 라이센스를 사용하니 마음대로 가져다 쓸 수 있겠네요. 그리고 OpenID 쪽 사람들이 많이 보입니다. OpenID도 이제 볼륨이 커져서 마음대로 다양한 기술을 시도하기 어렵고, 지난 번 구글이 Email 주소를 OpenID로 사용할 때 논란이 있었습니다. 그래서 아에 이 부분만 별도의 프로젝트로 만들어 다양한 시도를 할 것 같습니다.
WebFinger가 포함하는 identity 정보는 아래와 같습니다.
* 공개 프로필
* IDP 위치(identity provider) (e.g. OpenID server)
* 공개키
* 해당 Email 주소를 사용하는 서비스 목록 (e.g. Flickr, Picasa, Smugmug, Twitter, Facebook, and usernames for each)
* 아바타의 URL
* 프로필 (nickname, full name, etc) - 공개 프로필과의 차이점은 잘 모르겠네요.
* JID 여부. 검색해보니 JID는 XMPP의 주소같네요. 둘다 something@somewhere.com 형식이기 때문에 모호함을 피하기 위해서 명시합니다.
* 공개 메타데이터 포함여부, Email 주소는 단순히 엔드포인트로서, 인증 후에 메타데이터를 제공할 수도 있음
WebFinger 기술은 어렵다기 보다는 기업들간의 정치적인 입김이 중요하게 작용할 것 같습니다. 구글이 Gmail에 적용하고 적극적으로 홍보한다면, 그리고 다른 기업들이 자발적으로 참여한다면 OpenID보다도 더 활발하게 사용되고 확장될 수 있습니다. 그게 아니라면, 조용히 사라지겠죠. 야후 개발자도 참여한다는데 실제로 적용될지는 미지수입니다.
OpenID 진영과의 관계 또한 애매합니다. 저는 WebFinger를 보면서 구글이 OpenID보다 WebFinger를 키우리라는 예감이 들더군요. OpenID 진영에서 욕먹느니보다는 구글이 원하는 바로 그 기술만 개발하고 적용하는게 효과적입니다. 좀전에도 언급했듯이 조그만 프로젝트기 때문에 흥미있는 시도 또한 많이 이루어질 것 같구요. 진도도 느리고 모멘텀을 잃어버린 OpenID
마지막으로 지적할 부분은 바로 보안, 프라이버시 이슈입니다. 구글의 Email 을 OpenID로 사용한다는 방안을 제시했을 때, 많은 사람들이 프라이버시 문제를 언급했습니다. Email 주소가 노출되기 때문에 스팸이나 피싱 등의 문제가 발생합니다.[4]
WebFinger의 근간으로 언급되는 Finger 프로토콜도 마찬가지 이유로 사장된 기술입니다.[5] 크래커들이 Email , 이름, 전화번호 등을 획득하여 사회공학적 방법으로 해킹을 시도하는 경우가 빈번했습니다. 별다른 보안 요소가 준비되지 않는다면 WebFinger 기술 또한 사장될 수 있습니다. 다행이도, WebFinger 프로토콜에서 인증 후에 메타데이터 정보를 제공하는 기능이 언급되어 있는데, 자세한 내용은 언급되지 않았지만, 이 기능이 보안 문제를 해결할 것으로 기대합니다.
Supplying such detailed information as e-mail addresses and fullnames was considered acceptable and convenient in the early days of Internetworking, but later was considered questionable for privacy andsecurity reasons. Finger information has been frequently used by crackers as a way to initiate a social engineering attack on a company's computer security system. By using a finger client to get a list of a company's employee names, Email addresses,phone numbers, and so on, a cracker can telephone or Email someone at a company requesting information while posing as another employee. The finger daemon has also had several exploitable security holes which crackers have used to break into systems. The Morris worm exploited an overflow vulnerability in fingerd (among others) to spread.[5]
레퍼런스
[1] http://www.techcrunch.com/2009/08/14/google-points-at-webfinger-your-gmail-address-could-soon-be-your-id/
[2] http://code.google.com/p/webfinger/
[3] http://www.hueniverse.com/hueniverse/2009/03/xrd-sneakpeek.html
[4] http://stackoverflow.com/questions/1083948/why-is-it-dangerous-to-use-an-email-address-as-an-openid
[5] http://en.wikipedia.org/wiki/Finger_protocol
[6] http://iiw.idcommons.net/11D:_Webfinger_aka_Personal_Web_Discovery
# by | 2009/08/18 13:22 | OpenID | 트랙백
