Хроники распределенного общения

[vitus_wagner]

Прошла уже почти неделя с тех пор как я перебрался на dreamwidth.org.
Все это время я принципиально стараюсь дискутировать в ЖЖ и
lj.rossia.org пользуясь dreamwidth-овским OpenID-ом.

Ну и у меня в журнале дискуссию ведут только OpenID-ные пользователи.

Практика показала, что нынешние блог-площадки не готовы еще считать
OpenID-пользователей за людей.

Для того чтобы получить возможность комментировать не на правах анонима
на сайтах с ЖЖ-шным движком, нужно завести extermal account, ввести и
подтвердить email, и еще желательно залить отдельный юзерпик. Ну и капчу
спросят, как же без этого.

Даже дату рождения надо отдельно вводить. foaf эту информацию почему-то
не содержит.

Впрочем, бывает и хуже. Сунулся я со своим OpenID на diary.ru - так мне
там предложили создать полноценный аккаунт, а для авторизации, так и
быть, использовать OpenID.

Хотя по-моему OpenID создавался совсем не для того, чтобы не хранить на
каком-то сайте своего пароля, а для того чтобы, когда ты пришел на сайт
первый раз в жизни, ты мог бы с собой принести достаточно информации о
себе, чтобы не выглядеть анонимом. Причем эту информацию удостоверял бы
твой сайт, где находится твой блог.

В общем, похоже что нужна не сеть доверия между пользователями, а сеть
доверия между блог-площадками. Вернее способ пользователю сообщить
своему openId провайдеру, что от вот этого сайта он совершенно не
намерен скрывать те три поля, которые действительно нужны - дату
рождения (чтобы на том сайте к adult-content-у пустили), E-mail (чтобы
было куда ответы посылать) и юзерпик.

Всего-то три галочки поставить на той странице, которая все равно
показывается, а насколько бы это упростило жизнь.

Upd. А еще и у ЖЖ, и у Dreamwidth есть привычка не показывать по-человечески гиперссылки в комментариях, запощенных через OpenID.

Comments

[aceler.ru]

И, соответственно, площадке, на которой авторизуешься, тоже не машло бы эту информацию читать, поскольку мой WP-блог совершенно точно отдаёт e-mail, но DW его не считал.

[burbilog]

Тьфу, гадость эта ваша заливная рыба.

Это профанация самой идеи OpenID. Мне лень было это делать, но данный пост заставил меня ее перебороть -- а средний пользователь просто плюнет на подобные танцы и останется в ЖЖ, просто не поняв, что от него хотят.

[arilou]

Я думаю, возможность (но не обязанность) создать локальный аккаунт для своего OpenID -- это хорошо и нужно. Для всяких локальных возможностей, типа управления доступом к записям (в смысле - чтобы другие могли тебе доступ давать).
Ещё бы неплохо иметь возможность проассоциировать с имеющимся аккаунтом сколько угодно своих OpenID.

[arilou]

Кстати, эта ваша "Дремучая ширина" тоже настаивает на создании локального аккаунта.

[psr1913plus16]

А каким образом на ваших кросс-постах в ЖЖ идет ссылка на комментарии с указанием их числа?

[rdia.livejournal.com]

E-mail не нужен - на хосте пользователя можно запустить smtp forwarding (с условиями, разумеется). Дата рождения тоже заменяется на 1 бит - детка/взрослый. Userpic - это URL. И ещё треба имя.

[descriptor]

Слабоватая защита от анонимов этот openid. Кроме некоего произвольного сайта (хоть собственного, хоть с минимальными требованиями по регистрации) никто не подтверждает пользователя.
А был же какой то прогрессивный сайт, которыйзанимался только регистрациями юзеров и транслированием их авторизации на всякие популярные сайты. Он был достаточно требователен при заведении аккаунта и имел прямые договоренности с социальными сетями всякими.

[otstavnov.com]

1) Я конечно не особо обращал внимание, но вроде бы мой почтовый адрес Dreamwidth именно от OID-провайдера и взяли, с моего разрешения.

То есть, здесь проблема не в "ЖЖ-движке" как консъюмере, а скорее в livejournal.com как провайдере.

Заведение "внешнего счета" не кажется мне наихудшим вариантом, ну не занимает вся процедура больше минуты.

2) В общем случае, совершенно правильно, что полученный через OID адрес, подвергается проверке на принадлежность. Думаю, в нынешней ситуации вопрос недель или дней, чтобы боты научились на динамических доменных именах OID-провайдеров поднимать; их авторы не глупее нас Боты уже умеют поднимать OID-провайдеров, по крайней мере, минимум 3 года это обсуждается (http://drupal.org/node/174734).

В особо гениальных архитектурах (где адрес почты используется в качестве идентификатора, на основе которого даются полномочия) непроверка полученного через OID адреса на уникальность и принадлежность может открывать возможность имперсонации других абонентов и даже эскалации полномочий, см. http://wordpress.org/support/topic/plugin-social-connect-social-connect-wp-admin-user-login-through-a-third-party-identity-provider (http://wordpress.org/support/topic/plugin-social-connect-social-connect-wp-admin-user-login-through-a-third-party-identity-provider).

3) Использовать OID как "завлекалку" для создания локального профиля --- известный грязный трюк, им пользуются не только экзотические diary.ru, но, например, и Facebook.

[cats-shadow.spb.ru]

LJ и DW -- одного поля ягоды. "Внешний пользователь" создается идентично, емэйл просят заполнить вручную, не запрашивая его у OpenID провайдера (www.myopenid.com в моем случае). DW при подтверждении мэёла ещё и капчу ввести просит.

Примерно с этой же проблемой столкнулся, когда мигрировал на standalone (на drupal 6). Также приходится заводить аккаунты при комментировании/логине через OpenID, и далеко не все провайдеры блогов передают по OpenID необходимые данные (емэйл, в частности). А аккаунт локальный нужен, как минимум, для работы модулей, управляющих подпиской (ответы на коммент и т.д.).

[vlad_suh.livejournal.com]

Внезапно, Dreamwidth затребовал у меня email. Хотя до этого спокойно обходился одним openID. Это баг или так и должно быть?