Хроники распределенного общения

[vitus_wagner]

Прошла уже почти неделя с тех пор как я перебрался на dreamwidth.org.
Все это время я принципиально стараюсь дискутировать в ЖЖ и
lj.rossia.org пользуясь dreamwidth-овским OpenID-ом.

Ну и у меня в журнале дискуссию ведут только OpenID-ные пользователи.

Практика показала, что нынешние блог-площадки не готовы еще считать
OpenID-пользователей за людей.

Для того чтобы получить возможность комментировать не на правах анонима
на сайтах с ЖЖ-шным движком, нужно завести extermal account, ввести и
подтвердить email, и еще желательно залить отдельный юзерпик. Ну и капчу
спросят, как же без этого.

Даже дату рождения надо отдельно вводить. foaf эту информацию почему-то
не содержит.

Впрочем, бывает и хуже. Сунулся я со своим OpenID на diary.ru - так мне
там предложили создать полноценный аккаунт, а для авторизации, так и
быть, использовать OpenID.

Хотя по-моему OpenID создавался совсем не для того, чтобы не хранить на
каком-то сайте своего пароля, а для того чтобы, когда ты пришел на сайт
первый раз в жизни, ты мог бы с собой принести достаточно информации о
себе, чтобы не выглядеть анонимом. Причем эту информацию удостоверял бы
твой сайт, где находится твой блог.

В общем, похоже что нужна не сеть доверия между пользователями, а сеть
доверия между блог-площадками. Вернее способ пользователю сообщить
своему openId провайдеру, что от вот этого сайта он совершенно не
намерен скрывать те три поля, которые действительно нужны - дату
рождения (чтобы на том сайте к adult-content-у пустили), E-mail (чтобы
было куда ответы посылать) и юзерпик.

Всего-то три галочки поставить на той странице, которая все равно
показывается, а насколько бы это упростило жизнь.

Upd. А еще и у ЖЖ, и у Dreamwidth есть привычка не показывать по-человечески гиперссылки в комментариях, запощенных через OpenID.

Comments

[aceler.ru]

И, соответственно, площадке, на которой авторизуешься, тоже не машло бы эту информацию читать, поскольку мой WP-блог совершенно точно отдаёт e-mail, но DW его не считал.

[burbilog]

Тьфу, гадость эта ваша заливная рыба.

Это профанация самой идеи OpenID. Мне лень было это делать, но данный пост заставил меня ее перебороть -- а средний пользователь просто плюнет на подобные танцы и останется в ЖЖ, просто не поняв, что от него хотят.

[arilou]

Я думаю, возможность (но не обязанность) создать локальный аккаунт для своего OpenID -- это хорошо и нужно. Для всяких локальных возможностей, типа управления доступом к записям (в смысле - чтобы другие могли тебе доступ давать).
Ещё бы неплохо иметь возможность проассоциировать с имеющимся аккаунтом сколько угодно своих OpenID.

[vitus_wagner]

Я думаю, что управлять доступом к записям нужно иметь независимо от желания того, чьим доступом управляем. И нафига для этого нужен локальный аккаунт, лично мне не понятно. Когда мне захотелось ради proof of concept сделать stilllife, там бан и модердаторский доступ по OpenId реализовать чуть ли не проще всего остального.

[taris_marh]

Тем не менее, аккаунт там есть даже по OpenID. Он сильно опциональный, но добавить через его создание всякие красивости возможность есть.

[arilou]

По сути, для управления доступом необходимо, чтобы на сервисе была хоть какая-то запись о том, чьим доступом надо управлять. Можно назвать эту запись аккаунтом, можно ещё как-то. Т.е. аккаунт появляется, по идее, при первом же комментарии. Можно не говорить пользователю про эту запись. А можно сказать и дать возможность сделать какие-то локальные настройки.
Вот только делать это необходимостью, разумеется, излишне.

[arilou]

Кстати, эта ваша "Дремучая ширина" тоже настаивает на создании локального аккаунта.

[vitus_wagner]

Она такая же наша, как и ЖЖ. И это - плохо.

[psr1913plus16]

А каким образом на ваших кросс-постах в ЖЖ идет ссылка на комментарии с указанием их числа?

[vitus_wagner]

Надо внимательно читать то, что на страничке настройки кросспоста написано под полем Footer.
И этот самый footer прописывать.

[rdia.livejournal.com]

E-mail не нужен - на хосте пользователя можно запустить smtp forwarding (с условиями, разумеется). Дата рождения тоже заменяется на 1 бит - детка/взрослый. Userpic - это URL. И ещё треба имя.

[taris_marh]

В разных юрисдикциях граница детка-взрослый проходит по разному: в США за пиво до 21 года оштрафовать могут, например. Так что возраст надо. Да и чего мелочиться-то? 8 байт в маленьком XML жалко? Там одних заголовков и кук на пару порядков больше может оказаться.

Про почту. Вот поднял я, например, свой сайт у местного провайдера. Дёшево, места много - чтобы его забить, мне там кино надо выкладывать, канал хороший. НО! Сервис поднимать нельзя (условия контракта и я их понимаю: хочешь сервис - ставь машину или арендуй сервер). Да и зачем мне париться с поднятием сервера, если я просто хочу сайт, который будет, кроме рассказа посетителям про меня и моего кота, раз в месяц авторизовать меня где-нибудь? Пусть уж лучше будет адрес в foaf и крыжики на странице авторизаци.

[taris_marh]

А userpic - да, URL. Это просто чья-то не то заумь, не то недоумь, что этот URL то ли не отдаётся, то ли не читается.

[ivg.dp.ua]

Для userpic'ов есть gravatar. Если в openId будет правильный емейл, то юзерпик подтягивается легким движением руки.

[taris_marh]

А при чём здесь e-mail? Проблема-то в том, что то ли одна сторона не кладёт этот URL в foaf, то ли другая не читает его оттуда, требуя локального его задания. И с e-mail это никак не связано. И не имеет значения, где картинка лежит, имеет значение только желание разработчиков, чтобы их продукты взаимодействовали по стандартным протоколам.

[ivg.dp.ua]

e-mail при том, что не нужно отдельное поле для аватара.
Достаточно передавать и принимать email.

[taris_marh]

Dovecot на моей машине не отдаст никакую картинку, как и ЖЖшный движок не отдаст ничего по e-mail, как и сервер Яндекса.

[ivg.dp.ua]

Для userpic'ов есть gravatar.
Он, как раз, определяет юзерпик по md5(email).

[taris_marh]

А не хочу я этим сервисом пользоваться. Что мне тогда делать? Вот есть у меня уже сайт, на котором лежат все нужные картинки, зачем я буду разводить ещё кучу сайтов специально для хранения аватарок? Есть у меня блог, там есть аватарки и я хочу, чтобы именно они отображались навсех остальных сайтах без беготни по куче разных мест. Я, может, желаю непременно обновлять ежемесячно аватарки, используя в качестве таковых самые свежие изображения себя любимого. И всё, что мне нужно - скормить очередное своё изображение своему сайту. А тут - приходится тащиться на неизвестно чей сервер и что-то там химичить.

[vitus_wagner]

Я бы даже сильнее выразился - любое решение, которое требует для комментирования юзером А блога юзера Б задействования каких бы то ни было сайтов, кроме блогов Б и А - плохо.

[ivg.dp.ua]

Можно не задействовать. Тем более, что картинка пользователя на содержимое комментария никаким образом не влияет и является простым украшательством.

[ivg.dp.ua]

Если в Вашей тираде "скормить очередное своё изображение своему сайту" слова "своему сайту" поменять на "gravatar'у", то будет всё, как Вы хотите.
Вся химия заключается в трех действиях:
1. Зарегистрироваться на граватаре с Вашим любимым емейлом.
2. Залить туда картинку с изображением любимого себя.
3. Выставить этой картинке рейтинг. Но этот шаг уже не обязателен.

[taris_marh]

В предложенном примере я регулярно скармливаю свои изображения своему сайту. Это одно действие. При этом он сам преобразует его в аватарку или я делаю это вручную - не принципиально: все действия делаются на одном сайте. Вы же предлагаете идти на ЕШЁ ОДИН сайт и повторять там эти действия. Причём, не один раз, а регулярно это делать. Меня ломает. Вот заплатить умельцу, чтобы он встроил преобразовывалку в галерею на моём сайте или самому посидеть и по приколу такое наваять (однократное действие) - не ломает, а тупо повторять ежемесячно, а то и чаще одинаковые действия... нафиг, нафиг. Ленивый я. Мне больше нравится флудить на форумах, жежешечках и вконтактиках, чем по два раза постить одни и те же картинки на разные сайты. Это же сколько килобайт текста я мог бы вместо этого навалить в разных местах! Это я пытаюсь представить себе логику такого сетевого хомячка, открывшего OpenID и пока не забаненного за флуд на Гугле :).

[ivg.dp.ua]

Я заглянул в gravatar api, там есть всё для автоматизации.
Да и сайтов его поддерживающих явно больше, чем умеющих вытаскивать userpic из openId.

[taris_marh]

Тем не менее, мне придётся туда тащиться и повторять уже сделанное - запихивать в него картинку. И это в то время, когда нужная картинка уже есть и уже используется на моём сайте. Зачем плодить лишний контент и тратить лишнее время на то, что уже сделано? Тем более, что сайту надо указать, что аватарка лежит именно там. И кроме того, если сайт не поддерживает вот это хранилище, то я обламываюсь. А если сайт не умеет читать нормальный URL из foaf, то он просто плохо поддерживает стандарт. Кроме того, сайт, который вместо использования урла лезет на какой-то прошитый адрес, попросту игнорирует стандарт.

Суть OpenID в том, чтобы мне не требовалось делать вообще ничего, кроме как нажать кнопочку "Ok" на своём сайте, когда комментируемый сайт пожелает удостовериться, что я это действительно я. А аватарку он должен взять оттуда, откуда я сказал, а не проворачивать какие-то манипуляции с адресом моей электронной почты.

[vitus_wagner]

Имя вполне есть. Причем даже не в foaf, а в собственно протоколе OpenID по-моему. Во всяком случае многие пользователи сторонних OpenID провайдеров под именами фигурируют.

А отдача E-Mail - это вопрос доверия к сайту, НА который идешь. Хотя конечно, можно smtp-форвардер хитрый сделать, чтобы он каждому сайту персональный email отдавал, и позволял почту от определенных сайтов в /dev/null отправлять.

[rdia.livejournal.com]

Ну, тут чем меньше знают, тем лучше спишь :-). Вы же сами - любитель структурированной архитектуры. А в её рамках на чужой сайт передаётся минимум информации. И e-mail, который чаще всего завязан на восстановление пароля, тут лишнее.

Я к тому, что передавать нужно всего ничего:

1. Строка URL аватара. Картинку гнать не нужно - её сервак сам может скачать, если ему очень нужно.
2. Строка имени Open-id.
3. Возраст (действительно ув. taris_marh прав).
4. Адрес обратной связи - протокол типа sms://..., e-mail:aa@bbb и т.д.

Вся информация - 200 байт.

По-умолчанию, e-mail в обратной связи должен работать так: есть ящик vitus-wagner@dreamwidth.org, он ничего не хранит, а только пересылает на ваш родной. Но, пересылает только тогда, когда письма приходят с серваков, где вы оставляли свои комментарии. А остальные запросы dreamwidth.org шлёт на ЙУХ без комментариев.

Главная цель - сокрытие вашего родного ящика, на который может пойти атака вроде Хелловской. Я понимаю, что Вам лично, на эти атаки до лампочки, но большая часть народу получает комменты и восстанавливает пароль с одного ящика.

Если очень хочется, ставите в своём id-пакете свой родной адрес, без пересылки. Или какой-нибудь другой протокол. Или через запятую.

Нормально?

[taris_marh]

Только надо заморочиться настройкой этого форвардера. А если у меня канал нетолстый, а e-mail попадёт какому-нибудь спамеру, то я могу попрощаться с доступом в сеть. А если канал ещё и с оплатой трафика, то и с деньгами тоже. Хотя, проблема решается простом решение пользователя: отдавать или не отдавать e-mail на конкретный сайт в каждом конкретном случае.

Ещё одна проблема в том, что машина, на которой OpenID делается, может не всегда работать, но при этом она всегда работает, когда я иду куда-то авторизоваться. Например, ноут с 3G и именем хоста через dyndns. В этом случае мыло я отдам то, которое у меня на Яндексе, OpenID мне сделает включенный на полчаса ноут, а ответы я вообще с гуглофона посмотрю потом.

[vitus_wagner]

Ну вообще-то исходная бредовская идея OpenID предполагает, что сайт, на котором работает провайдер, еще содержит какой-то контент имени этого пользователя (и, собственно, пускаем мы к себе комментировать именно автора этого контента).

В случае когда OpenID-провайдингом у нас занимается постоянно или почти постоянно доступный web-сайт, держать там еще и smtp-фильтр для приема почты с сайтов куда мы с этим OpenID что-то писали - вполне оправданная мысль.

Хотя, конечно, жизнь может быть несколько богаче.

[descriptor]

Слабоватая защита от анонимов этот openid. Кроме некоего произвольного сайта (хоть собственного, хоть с минимальными требованиями по регистрации) никто не подтверждает пользователя.
А был же какой то прогрессивный сайт, которыйзанимался только регистрациями юзеров и транслированием их авторизации на всякие популярные сайты. Он был достаточно требователен при заведении аккаунта и имел прямые договоренности с социальными сетями всякими.

[vitus_wagner]

Честно сказать я не понимаю, что вы хотите от "защиты от анонимов",
По-моему, "защита от анонимов" как и "защита от ботов" это дискриминация немножко не по тому признаку.

На самом деле задача стоит в защите от спаммеров, хамов и людей, не отвечающих за свои слова.

Поэтому "произвольный сайт" на котором человек ведет известный standalone blog в моих глазах пользуется куда большей репутацией чем "известный сайт" вроде ЖЖ. То есть к ЖЖ-шным юзерам надо подходить с разбором, а, скажем если придет комментатор с http://blog.lexa.ru я его пущу даже если это будет заведомый робот. Ибо робот, написанный Тутубалиным скорее всего окажется более интересным собеседником, чем большинство ЖЖ-шных юзеров.

[descriptor]

Существует востребованная услуга - оградить себя от неконтроллируемого спама по объёму превышающего валидный контент.
Я с вами полностью согласен, что стэнд-элон вызывает уважение, поскольку гражданин приложил больше усилий чем жж-юзер, а уж если этот блог уважаемый, тогда вообще вопросов нет.

Другое дело, что спамить с опенид достаточно просто. Создать сайт, навесить на него опенид, наструячить на него миллиард ботов и неделю массивно работать, пока не прибьют. Через неделю следующий зарегистрить. Я не прав?

[vitus_wagner]

Вы, конечно же, правы.

Но вообще-то на мой взгляд решение вопроса должно быть в компетенции юзера - или он пускает к себе комментаторов с незнакомых сайтов, рискуя что просочится спаммер, или не пускает.

Зарегистрировать сайт и пустить с него миллиард ботов - решение не слишком интересное. Потому что скорее всего банить начунт превентивно весь домен, прежде чем успеет отработать сотня ботов с него.

ЖЖ в данном плане интересен тем, что там кроме ботов есть еще и ценные юзеры, поэтому его не будут банить весь.

[descriptor]

Конечно весь домен будут банить, но это невысокая цена на мой взгляд.

В этом плане был бы удобен глобальный сервис регистраций какой-нибудь, с ранжированием по уровню доверия. Скажем в красной "зоне" водтвердившие только емэйл, в "жёлтой" указавшие имя и адрес, в "зелёной" прошедшие авторизацию через операцию по банковской карте. + отслеживание дублей.

[otstavnov.com]

1) Я конечно не особо обращал внимание, но вроде бы мой почтовый адрес Dreamwidth именно от OID-провайдера и взяли, с моего разрешения.

То есть, здесь проблема не в "ЖЖ-движке" как консъюмере, а скорее в livejournal.com как провайдере.

Заведение "внешнего счета" не кажется мне наихудшим вариантом, ну не занимает вся процедура больше минуты.

2) В общем случае, совершенно правильно, что полученный через OID адрес, подвергается проверке на принадлежность. Думаю, в нынешней ситуации вопрос недель или дней, чтобы боты научились на динамических доменных именах OID-провайдеров поднимать; их авторы не глупее нас Боты уже умеют поднимать OID-провайдеров, по крайней мере, минимум 3 года это обсуждается (http://drupal.org/node/174734).

В особо гениальных архитектурах (где адрес почты используется в качестве идентификатора, на основе которого даются полномочия) непроверка полученного через OID адреса на уникальность и принадлежность может открывать возможность имперсонации других абонентов и даже эскалации полномочий, см. http://wordpress.org/support/topic/plugin-social-connect-social-connect-wp-admin-user-login-through-a-third-party-identity-provider (http://wordpress.org/support/topic/plugin-social-connect-social-connect-wp-admin-user-login-through-a-third-party-identity-provider).

3) Использовать OID как "завлекалку" для создания локального профиля --- известный грязный трюк, им пользуются не только экзотические diary.ru, но, например, и Facebook.

[allter]

2) Никто не мешает хранить у консюмера списки openid-провайдеров с разными уровнями доверия и, в зависимости от оного уровня у авторизующегося openid, верифицировать e-mail`ы, о котором последний сообщает и тестировать его владельца капчами на ботность.

[otstavnov.com]

В эту сторону примерно и размышляю.

Кроме того, а вот если человеку не нужны извещения на почту, можно от него адреса, наверное, и не требовать. (Ортогонально капче). Вообще, есть искушение считать OID более "сильным", более однозначным идентификатором, чем адрес электронной почты.

[allter]

Ну, он не более сильный, а такой же. Вообще, мне странно, что мало ресурсов сделали возможность авторизации по одной электронной почте. Т.к. на множество ресурсов я захожу путём следования по ссылке "забыл пароль", но при этом иногда приходится совершать лишние телодвижения (вход по сброшенному паролю).

[cats-shadow.spb.ru]

LJ и DW -- одного поля ягоды. "Внешний пользователь" создается идентично, емэйл просят заполнить вручную, не запрашивая его у OpenID провайдера (www.myopenid.com в моем случае). DW при подтверждении мэёла ещё и капчу ввести просит.

Примерно с этой же проблемой столкнулся, когда мигрировал на standalone (на drupal 6). Также приходится заводить аккаунты при комментировании/логине через OpenID, и далеко не все провайдеры блогов передают по OpenID необходимые данные (емэйл, в частности). А аккаунт локальный нужен, как минимум, для работы модулей, управляющих подпиской (ответы на коммент и т.д.).

[vitus_wagner]

LJ и DW -- одного поля ягоды.
Ну я и говорю "сайты на ЖЖ-шном движке". К сожалению, они обладают рядом полезных свойств в смысле организации дискуссии, аналогов которых у более других движков, более корректно работающих с OpenID я не нашел.

Опять же- ЖЖ-образные движки sucks не только как OpenID-консюмеры, но и как провайдеры. Тот же E-Mail не отдают. А пользовательская база у них самяая большая.

А аккаунт локальный нужен, как минимум, для работы модулей, управляющих подпиской
Это если drupal он нужен, значит в drupal криво спроектирована база данных.

Можно спроектировать систему хранения данных сайта так, чтобы на личие подписки не требовало наличия аккаунта.

Более того, даже если подписка требует наличия аккаунта, то это не значит что от пользователя должны требоваться явные действия по созданию оного аккаунта. Он должен автоматически заводиться при OpenID-авторизации.

[cats-shadow.spb.ru]

Если проектировать базу самому... :) Слабо мне, честно говоря, свой движок написать, руки больше под паяльник заточены. :)

"Более того, даже если подписка требует наличия аккаунта, то это не значит что от пользователя должны требоваться явные действия по созданию оного аккаунта. Он должен автоматически заводиться при OpenID-авторизации."
Вот примерно этого и добился (если ничего не сломал, при последнем восстановлении с бэкапа). Аккаунт создается автоматически, если мэйла в переданныъх корректного нет -- то заводится "фейковый", который желающий может отредактировать, залогинившись по OpenID.

[vlad_suh.livejournal.com]

Внезапно, Dreamwidth затребовал у меня email. Хотя до этого спокойно обходился одним openID. Это баг или так и должно быть?

[vitus_wagner]

Странно - со всех остальных лайвджорналовских пользователей он требовал E-Mail сразу.
А как иначе? Ответы на комменты куда слать?

[vlad_suh.livejournal.com]

Поправка. Почту я действительно вводили при первой регистрации. А вчера Dreamwidth заявил, что я ничего не вводил, и нужно ввести, иначе нельзя комментить.