• C
    User

    [nuovo progetto NON RETRIBUITO] Global Login (not a simple Single sign-on)

    Ciao a tutti! Senza perdermi in inutili premesse passerò subito al dunque: qualche giorno fa mi è balzata alla mente l?idea esposta di seguito e volevo sapere prima di tutto cosa ne pensate (per esempio se è fattibile) e in secondo luogo se c?è qualche programmatore PHP o Javascript, qualche guru dell?XML o qualche designer interessato a collaborare. Il lavoro non è retribuito in quanto il sito non costituirebbe alcuna fonte diretta di guadagno poiché offrirebbe un servizio gratuito. Naturalmente NON si richiede un minimo di ore lavorative.
    Sarei lieto di accettare chiunque sia interessato.

    Idea iniziale
    In molti avranno potuto notare la quantità di account che ci si ritrova ad avere frequentando forum, NG ed in generale qualsiasi sito che richieda un?autenticazione. Questo numero di account, spesso eccessivo, può essere causa di molti problemi, tra cui il grande dispendio di tempo necessario a cambiare qualche dato immesso durante la registrazione (come per esempio il numero di telefono, l?e-mail o più semplicemente l?avatar o la firma). Inoltre ogni volta che è richiesta una registrazione è necessario immettere nuovamente i propri dati, e magari verificare la propria e-mail, causando sempre un inutile dispendio di tempo oltre al fatto che qualche utente non troppo determinato potrebbe rinunciare a registrarsi.

    La soluzione? Dire semplicemente di creare un sistema globale di login è scontato. Il problema è come e in che modo divulgarlo...

    Dal punto di vista dell?utente
    Di seguito i passaggi che un utente dovrebbe portare a termine per usufruire di un login globale:

    1. Registrarsi con un nome utente e una password da lui scelti sul sito del progetto (naturalmente l?e-mail deve essere verificata). Gli verrà quindi assegnato e riferito tramite e-mail un ID univoco.

    2. Per modificare il profilo sarà sufficiente eseguire il login (con nome utente e password precedentemente scelti) sul sito del progetto e modificare le informazioni desiderate (password, e-mail, indirizzo, numero di telefono, firma, ecc).

    Ora basterà eseguire il login sul sito del progetto e utilizzare l?ID fornito come un normale nome utente su un qualunque sito supporti Global Login (notare che dovrà inserire solo l?ID e non la password, in quanto il login è già stato eseguito sul sito del progetto).

    Dal punto di vista tecnico
    Ecco cosa avverrebbe dal punto di vista tecnico:

    1. L?utente si registra con un nome utente e una password da lui scelti sul sito del progetto (naturalmente l?e-mail deve essere verificata). Verrà quindi generato un identificatore (ID) univoco alfanumerico che sarà comunicato all?utente.

    2. L?utente esegue il login (con nome utente e password precedentemente scelti) sul sito del progetto e inizia quindi una nuova sessione.

    3. Per eseguire il login su un sito che supporti Global Login l?utente immette l?ID fornitogli (non il nome utente da lui scelto).

    4. Il sito richiede i dati riguardanti l?utente al sito del progetto fornendo l?ID. Il sito del progetto verifica quindi che una sessione relativa a quell?ID sia attiva sulla macchina dell?utente e in caso affermativo restituisce i dati in formato XML.

    5. Il login sul sito è terminato (senza esserci stata la necessità di registrarsi).

    Dal punto di vista degli sviluppatori
    Il progetto consisterebbe non solo nella realizzazione del sito, che rappresenta sì il fondamento, ma anche la parte relativamente più semplice da sviluppare, ma anche nello sviluppo di una serie di plug-in per i maggiori forum e CMS. Questi consentirebbero a qualunque sito di aderire al progetto con una semplice installazione del plug-in, la quale consentirebbe di supportare Global Login.

    Dal punto di vista dei webmaster
    Ai webmaster che volessero aderire a Global Login non resterebbe altro che installare l?apposito plug-in.

    Marco Colli ([email protected])
    19 settembre 2007     :ciauz:

    0
  • C
    User

    Ciao agenti!

    agenti ha scritto un messaggio il giorno 19-09-2007 21:15:
    progetto interessante..

    l'unico dubbio è sulle risorse del server che gestirà tutte queste iscrizioni...
    dato che "Milioni di utenze" potrebbero iscriversi..

    A questo problema mi sono concesso la possibilità di pensarci in un secondo momento (prima vorrei vedere se l'idea può funzionare), anche se so che non è cosa da poco...

    Lato xml il webmaster dovrebbe inviare in background una richiesta xmlhttp...
    usando le proprie password rilasciate da global login.

    Con l'ultima affermazione stai facendo una proposta? Cioé quella di avere un duplice controllo sia sull'utente sia sul sito richiedente... se è così quella di verificare anche l'identità del sito richiedente non l'avevo nemmeno pensata, ma serebbe fattibile. Comunque la verifica del sito sarebbe comunque un di più, in quanto il sito non se ne farebbe niente dell'ID dell'utente, in quanto il "vero" login avverrebbe sul sito del progetto con nome utente (non l'ID) e password: e questi dati non vengono in possesso dei siti in cui si esegue il login.

    il sistema verificando sia la sessione che le pwd del sito richiedente rilascerà i dati in formato xml standard.

    Il webmaster quindi validerà lo il flusso xml di risposta e identificherà l'utente...

    ma la domanda è...
    se io ho l'ID di qualcun altro...

    ... non te ne fai niente, perché prima dovresti eseguire un normale login (che inizializzerebbe una sessione, quindi solo su quel computer) sul sito del progetto con nome utente e password scelti dall'utente di cui tu non sei a conoscenza.

    posso loggarmi...?
    o al primo accesso viene richiesto il codice rilasciato da global login ?

    In ogni caso una soluzione potrebbe trovarsi.
    Il probelma è appunto la sicurezza del server....

    da attacchi ed altro...
    e questo costa...

    Il sito potrebbe essere sottoposto ad attacchi solo quando comincia ad essere famoso: spero di riuscire a risolvere prima tutti gli eventuali buchi nella sicurezza 😄

    sono a dispo.

    Ciao.
    Giancarlo.

    Ciao

    0
  • C
    User

    Ho scoperto qualcosa di preoccupante di cui non ero a conoscenza (in particolare Open ID) 😮

    http://it.wikipedia.org/wiki/Single_sign-on#Soluzioni_per_SSO

    Perchè nessuno me l'ha detto prima?

    0
Effettua l'accesso per rispondere