Компания Mozilla предложила новый способ входа на сайты, который избегает
сайто-специфичных паролей и существующие межсайтовые сервисы для входа от таких
корпоративных монстров, как Google и Facebook.
Известный как BrowserID, прототип от Mozilla строится на "Verified Email
Protocol", который использует шифрование с ключом общего пользования для
проверки того, что определенный пользователь обладает определенным
email-адресом. По существу, Browser ID позволяет тебе войти на сайт путем
простого нажатия на одну кнопку и выбора email-адреса с помощью которого ты
хочешь осуществить вход. "За сценой" сам сайт, твой браузер и отдельный сервис
проверки используют криптографические ключи, чтобы проверить подлинность.
"Для веб-разработчика создание нового приложения всегда связано с
раздражающей трудностью: как пользователю осуществлять вход? Использование
email-адреса с дальнейшим его подтверждением – классический способ, но он
требует от пользователя времени, а также требует запоминание еще одного пароля.
Вход через внешние источники и управление идентичностью через таких крупных
провайдеров, как Facebook, Twitter или Google – тоже вариант, но они, в свою
очередь, также требуют паролей при осуществлении проверки надежности и
конфиденциальности данных", - говорит в
посте Mozilla.
"С BrowserID появляется лучший способ осуществления входа. Пользователь может
подтвердить свое обладание почтовым адресом используя меньшее число
подтверждающих сообщений и избегая сайт-специфичных паролей".
Чтобы использовать BrowserID пользователь предоставляет email-адрес и пароль.
Затем они отправляются в службу проверки, которая отправляет сообщение на почту,
чтобы ты мог убедиться в том, что действительно имеешь доступ к этому
email-адресу. Затем сервис создает криптографическую пару ключей, сохраняя
открытый ключ и записывая закрытый ключ в браузер.
Когда позднее ты посещаешь сайт, для которого используется BrowserID, ты
можешь просто нажать кнопку входа и выбрать свой зарегистрированный email-адрес
(т.к. можно зарегистрировать больше одного). Затем сайт извлекает ключи для
проверки личности.
Основная идея, как бы то ни было, заключается в том, чтобы убедить
провайдеров электронной почты внедрить эту систему, чтобы разные сервисы
проверки были не нужны. "Любой, у кого есть email-адрес, может осуществить вход
используя BrowserID, а провайдеры услуг электронной почты могут предоставить
BrowserID свою поддержку, чтобы сделать систему проще для своих пользователей",
- говорит Mozilla.
Сервис действительно собирает список сайтов, которому ты предоставляешь свой
email-адрес, и если провайдеры электронной почты присоединятся, они также будут
иметь доступ к данной информации. Однако Mozilla заявляет, что в отличии от
других межсайтовых сервисов для входа, в BrowserID информация не утекает на
какие-либо другие серверы.
Открытый разработчик также говорит о том, что данная система превосходит
OpenID и другие основанные на ID-токенах протоколы, так как не требует многого
от пользователя и сайта, который он посещает. "Множество из предложений
начинаются с создания нового ID-токена (например ID пользователя или
персонального URL) и далее объясняют пользователю, как использовать данный токен
для аутентификации", - рассказывает Mozilla в
wiki, описывающем Verified Email Protocol. "Что мы узнали за несколько лет
использования OpenID (и подобных протоколов), так это то, что он недостаточно
хорош: создание ID-токена, изолированного от остальной сети, не очень помогает
наладить сайту взаимодействие с пользователями".
Разработчики могут обратиться
сюда за
скриптом, необходимым для добавления BrowserID к своим сайтам, а пользователи
браузеров могут осуществить
вход на тестовый сайт. Прототип создан с использованием HTML и JavaScript,
так что он работает с любыми новыми браузерами, включая браузеры мобильных
телефонов.