RoR single sign on con google

Ho preso una applicazione di google single signon sviluppata da Andrea
Reginato, e la sto integrando con un sistema di gestione dei gruppi.

Volevo chiedervi se vi va di ragionare insieme su come gestire
contemporaneamente sia account google SSO che account normali, evitando
conflitti, evitando lo squatting di un’email google di qualcun’altro,
gestendo nomi e email come entità separate, etc…

– Kia

therubymine.com | be a miner

Il topic è interessante. SSO è un tema che mi sta a cuore. Anche solo per i
cavoletti nostri ormai siamo a 5-6 account diversi. Appoggiarci a google
(o yahoo… quel che l’è) potrebbe evitarci un sacco di sforzi mnemonici
inutili.

L’account te lo dovrebbero dare quando registrano il tuo nome
all’anagrafe, tipo codicefiscale@italia :slight_smile:

jek

io pensavo di gestirla così… il sistema usa l’email come unique id per
gli
utenti. chi ha un account google quando si logga la prima volta autocrea
un
account con quell’uid. se qualcuno aveva fatto il furbetto e aveva usato
la
sua email come uid… peggio per il furbetto.

chi non si logga tramite google sso può mettere o la propria email o un
nome. il nome verrebbe interpretato come la prima parte di un gmail
address.

una volta entrati nel sistema è poi possibile definire un proprio screen
name (uguale all’email o al gmail screen name per default).

che ne pensate?

ecco, adesso mi sento in colpa per aver integrato lo SSO di google. a
mia
discolpa posso dire che è tutta colpa di Andrea R.. il codice lo
ha
scritto LUI :-)))

comunque… se qualcuno ha voglia di mettere insieme altri sistemi di
signon
possiamo aprire il codice, lasciarvelo aggiungere e scrivere un bel post
insieme in inglese per lanciare la cosa.

Secondo me questo tema tocca uno degli aspetti più importanti sul web
dei prossimi anni. Per forza di cose si dovrà andare verso sistemi di
SSO e i grossi lo sanno e si stanno sbattendo un casino per mettere
insieme i pezzi (dico io; è solo un’impressione/sospetto…). Chi
gestisce lo standard “vincente” detiene un potere assurdo. Pensateci
un attimo.
C’è un’iniziativa chiamato OpenID ([1]http://openid.net/) al quale un
po’ di gente di Mozilla e altri sta aderendo/bloggando. Non è proprio
un servizio di SSO, ma potrebbe forse diventarlo (non ho avuto tempo
di seguire la cosa quanto avrei voluto, quindi perdonatemi se dico
castronate).
Vale la pena notare che Google si è rifiutato di usare OpenID. Penso
si tratti di un infrazione seria del loro “Do no evil”. Google che fa
“un microsoft” alla facciaccia di uno standard aperto? Brutto
brutto…
:frowning:
chiaro scuro wrote:

 Ho preso una applicazione di google single signon sviluppata da
 Andrea
 Reginato, e la sto integrando con un sistema di gestione dei
 gruppi.
 Volevo chiedervi se vi va di ragionare insieme su come gestire
 contemporaneamente sia account google SSO che account normali,
 evitando
 conflitti, evitando lo squatting di un'email google di
 qualcun'altro,
 gestendo nomi e email come entità separate, etc..
 -- Kia
 therubymine.com | be a miner
 _______________________________________________
 Ml mailing list
 [2][email protected]
 [3]http://lists.ruby-it.org/mailman/listinfo/ml


“The really rich people figure out how to dodge taxes anyway.” - George
W. Bush
, explaining why high taxes on the rich are a failed strategy,
Annandale, Va.,
Aug. 9, 2004

References

  1. http://openid.net/
  2. mailto:[email protected]
  3. http://lists.ruby-it.org/mailman/listinfo/ml

On 2/8/07, david [email protected] wrote:

castronate).
+1

An open and decentralized identity system, designed "not to crumble if one company turns evil or goes out of business".

Volendo investire tempo e ricerca nel campo, personalmente li
investirei in OpenID.


Massimiliano M.
code: http://dev.hyperstruct.net
blog: http://blog.hyperstruct.net

OpenID é molto interessante, conoscete Duncan Cragg? E’ un mio collega [
http://duncan-cragg.org/] , questo post
Lighter-than Wins in 2007 | What Not How | http://duncan-cragg.org/blog/
parla proprio delle tecnologie del “futuro”.

Il single sign on é veramente un argomento caldo: le grandi aziende
cominciano a rendersi conto che aver dato in outsourcing a 50 diverse
aziende il proprio software ha generato 20-30 applicazioni “simili” ma
DIVERSE, diverse interfaccie web, diversi login e mille diversi login
appunto…

E anche l’utente standard comincia a stufarsi, é tutto un registrarsi,
email, password…

Il giorno gio, 08/02/2007 alle 13.14 +0100, Massimiliano M. ha
scritto:

di seguire la cosa quanto avrei voluto, quindi perdonatemi se dico
castronate).

+1

An open and decentralized identity system, designed "not to crumble if one company turns evil or goes out of business".

Non si corre il rischio che una volta compromesso il sistema di SSO,
allora siano compromessi tutti i servizi che si appoggiano ad esso?

Giovanni

On 2/8/07, Antonio T. [email protected] wrote:

E anche l’utente standard comincia a stufarsi, é tutto un registrarsi,
email, password…

Segnalo al proposito:

Più seriamente, questa estensione mi sta aiutando a conservare un po’
di sanità mentale (e sicurezza):

http://passwordmaker.org/


Massimiliano M.
code: http://dev.hyperstruct.net
blog: http://blog.hyperstruct.net

On 2/8/07, Giovanni C. [email protected] wrote:

An open and decentralized identity system, designed "not to crumble if one company turns evil or goes out of business".

Non si corre il rischio che una volta compromesso il sistema di SSO,
allora siano compromessi tutti i servizi che si appoggiano ad esso?

Non sono sicuro di capire. Intendi con un sistema centralizzato, con
un sistema decentralizzato, con Google SSO in particolare, on OpenID
in particolare, …?


Massimiliano M.
code: http://dev.hyperstruct.net
blog: http://blog.hyperstruct.net

On 2/8/07, Stefano G. [email protected] wrote:

Mi sembra normale che google non abbia aderito ad openid… Avete idea di quanto google abbia investito sul sso e sulla sicurezza? Rischiereste voi con milioni di utenti sul groppone di compromettere la vostra sicurezza per abbracciare uno standard aperto? Io sinceramente no

Rispetto a rischiare di comprometterla usando una soluzione chiusa?
Sì. (D’altronde, se fossi Google, lo starei anche già facendo per la
messaggistica istantanea.)

Naturalmente, la sicurezza non è l’unico parametro…


Massimiliano M.
code: http://dev.hyperstruct.net
blog: http://blog.hyperstruct.net

Mi sembra normale che google non abbia aderito ad openid… Avete idea
di quanto google abbia investito sul sso e sulla sicurezza? Rischiereste
voi con milioni di utenti sul groppone di compromettere la vostra
sicurezza per abbracciare uno standard aperto? Io sinceramente no

MA

Siccome non abbiamo milioni di utenti, e personamente dei dati personali
degli altri non me ne frega niente, penso che OpenID possa essere la
nostra strada

Fermo resta che la compatibilità con i fratelli commerciali (google e
yahoo per primi, ma anche il passport di microsoft) va tenuta in
considerazione.

jek

Il giorno gio, 08/02/2007 alle 13.48 +0100, Stefano G. ha
scritto:

Mi sembra normale che google non abbia aderito ad openid… Avete idea di quanto google abbia investito sul sso e sulla sicurezza? Rischiereste voi con milioni di utenti sul groppone di compromettere la vostra sicurezza per abbracciare uno standard aperto? Io sinceramente no

MA

Siccome non abbiamo milioni di utenti, e personamente dei dati personali degli altri non me ne frega niente, penso che OpenID possa essere la nostra strada

Fermo resta che la compatibilità con i fratelli commerciali (google e yahoo per primi, ma anche il passport di microsoft) va tenuta in considerazione.

C’è anche da considerare che un sistema single sign-on è anche un
sistema single point of failure, che per di più può non essere sotto il
tuo controllo.

Giovanni

On 2/8/07, chiaro scuro [email protected] wrote:

ecco, adesso mi sento in colpa per aver integrato lo SSO di google. a mia
discolpa posso dire che è tutta colpa di Andrea R.. il codice lo
ha
scritto LUI :-)))

comunque… se qualcuno ha voglia di mettere insieme altri sistemi di
signon
possiamo aprire il codice, lasciarvelo aggiungere e scrivere un bel post
insieme in inglese per lanciare la cosa.

A dire la verità’ lo avevo implementato perché’ era l’unico per cui non
c’era niente su internet e siccome a Kiaro serviva, mi ha stressato per
un
fine settimana :P, tempo in cui ho fatto il tutto (senza commenti
saranno
30, 40 righe di codice a mio avviso leggibili). Poi per il fatto che
Google
fa un pochino il duro con OpenID… ne ero ignaro, ma alla fine credo
che
integrandoli tutti insieme si superino tutti i problemi :smiley:

Detto questo, da quel che vedo Google ha uno dei servizi meno seguiti in
questo campo… e sinceramente non ne conosco il motivo. Altri servizio
simili come quelli forniti da YAHOO! o OpenID sono piuttosto avanti
rispetto
alla grande G. Resta solo da aspettare che inizino a lavorarci
seriamente :smiley:
cosi’ potremo farci a nostra volta qualcosa di veramente interessante.

Comunque mi piacerebbe dare il via alla creazione di un sistema di login
che
permetta di scegliere un account Google, YAHOO! o OpenID (che fidatevi
is
very good) per evitare all’80% (cifra buttata a caso) di scappare non
appena
si trovano scritto la magica frase registrati, cosa che a me accade
sempre.

Chiunque abbia tempo e voglia si faccia avanti… sicuramente e’ una
cosa
che in futuro non verra’ gettata via :slight_smile:


Andrea R.

: : i’m a miner : : | therubymine.com

Massimiliano M. wrote:

Sì. (D’altronde, se fossi Google, lo starei anche già facendo per la
messaggistica istantanea.)

Aggiungo che alle volte confondiamo il Single SO con un Centralized SO
(e Google, Yahoo, MS hanno buon gioco a farcelo “credere”).

OpenID da questo punto di vista hai dei punti di vantaggio rispetto alle
altre soluzioni di signon essendo del tutto decentralizzato, ovvero NON
richiede all’utente di memorizzare i propri dati presso un servizio
unico, ma consente di distribuire i dati (di identificazione) di tutti
gli utenti della rete in un gran numero di servizi di signon ognuno dei
quali in grado di autenticare i propri utenti verso tutti i siti che
supportino il client OpenID.

Per assurdo potrebbero esserci tanti server di autenticazione quanti
utenti (ciascuno d noi potrebbe gestire le proprie credenziali in
autonomia).

L’effetto netto (dal punto di vista della sicurezza) e’ quello di
aumentare la superfice di attacco, diminuendo il valore di ciascun nodo
di autenticazione: se le informazioni sono distribuite, un attaccante
deve violare piu nodi per ottenere le stesse quantita di dati privati.
E’ come in natura dove i branchi di pesci piccoli si riescono a
difendere meglio dei pesci piu grossi dai predatori…

ciao,
Luca

Web: http://spazidigitali.com - http://thetyper.com
Email mailto://[email protected]
Skype callto://l.mearelli

Non ho dubbi sull’efficacia di openID, mentre ne ho sulle politiche di
google. Ho trovato molti articoli che parlano di google e openid, ma
niente di ufficiale da google…

Ad ogni modo, sarei felice di abbracciare l’openID per il progetto di
SSO

jek

Potrei esserci, per migliorare il mio scarso ruby e soprattutto perchè
come
dici tu non è roba che si butta, se hai bisogno di un junior dev io ci
sono
:slight_smile:

Ho già visto un SSO fatto con django, in più faceva un po’ di sitemesh
per
cui i vari siti visitati avevano pure layout simile (parsing e meshing
di
xhtml…) veramente putente :slight_smile: