BrowserID est une méthode, présentée en juillet 2011, qui consiste à utiliser des adresses électroniques pour prouver son identité et à se connecter rapidement et en toute sécurité à un site Web..

Le système a été développé par Mozilla Labs.

Il est conçu pour être plus facile et plus rapide que la méthode existante d'un site qui vous envoie un courrier électronique et vous clique sur un lien pour vérifier votre véritable identité..

Alors, pourquoi est-ce important et comment cela fonctionnera-t-il? Nous avons décidé de découvrir.

Q. Comment cela fonctionnerait-il dans la pratique??

R. Pour vous connecter à un site Web prenant en charge BrowserID, il vous suffit de cliquer sur un bouton de connexion, puis de sélectionner dans un menu l’adresse électronique que vous souhaitez utiliser. Votre navigateur et le site Web prendraient soin de tout le reste.

Q. Qu'en est-il de se connecter via Facebook, Twitter ou Google? Ce serait encore plus simple et rapide, n'est-ce pas??

R. Oui, lorsque vous naviguez en étant connecté à l'un de ces portails, vous ne devez rien faire, car tout site Web connecté avec eux saura immédiatement qui vous êtes. Et c'est le problème. La sous-traitance de ces tâches à des fournisseurs privés gigantesques crée de nombreux problèmes de verrouillage et de protection de la vie privée.

Q. C'est sûrement vrai, mais attendez une seconde! OpenID n'était-il pas supposé fournir (plus ou moins) le même service?

R. En effet. En pratique, il semblerait qu'OpenID n'atteigne pas la masse critique pour plusieurs raisons. Le plus important était probablement la nécessité d’accéder temporairement à un autre site Web pour accéder à celui que vous vouliez visiter..

À moins que quelqu'un ne comprenne vraiment la valeur des services d'authentification en ligne fiables (et s'en soucie), cela est beaucoup plus lourd que de demander à un navigateur de mémoriser tous les mots de passe ou de cliquer sur les cases à cocher Mémoriser mes informations fournies par la plupart des formulaires Web de connexion. BrowserID tente de fournir le même niveau de sécurité et de confiance qu'OpenID, mais de manière beaucoup plus transparente..

Q. Dites m'en plus à propos de la protection de la vie privée dans BrowserID, s'il vous plaît.

R. Tout d’abord, contrairement aux autres systèmes d’ouverture de session, BrowserID n’oblige pas l’utilisateur à partager ou à transmettre en ligne des données personnelles sensibles telles que la date de naissance. De plus, BrowserID est conçu pour ne transmettre à aucun serveur des données sur les pages Web que vous visitez..

Q. Pourquoi BrowserID est-il basé sur des adresses électroniques??

R. Tout d’abord, parce que tous les internautes utilisant régulièrement Internet possèdent déjà au moins une adresse e-mail et savent qu’elle est déjà utilisée en tant que jeton d’identité et d’autorisation. Ensuite, parce que les adresses électroniques ne sont ni contrôlées ni contrôlables par une seule organisation.

Enfin, pratiquement tous les sites Web nécessitant une connexion à leurs utilisateurs stockent déjà leurs adresses électroniques pour gérer les communications directes, les demandes de réinitialisation de mot de passe et d'autres services: par conséquent, BrowserID leur donne un meilleur moyen d'utiliser, pour l'authentification, certaines données utilisateur déjà disponibles..

Q. BrowserID m'empêcherait-il d'utiliser mes pseudonymes préférés sur ces sites Web??

R. Pas du tout. L'adresse email est utilisée uniquement pour l'authentification initiale. BrowserID ne limite en aucune façon la façon dont un site Web vous permet de configurer votre compte local.

Q. Puis-je avoir plusieurs identités BrowserID alors?

Bien sûr. La seule exigence est que chacun d'eux soit associé à une adresse email différente.

Q. Qu'en est-il des autres applications, telles que les clients de discussion? Pourrais-je utiliser BrowserID avec eux aussi, ou s'agit-il uniquement d'un navigateur??

R. Oui, vous pouvez, tant que ces programmes implémentent le protocole et fournissent à leurs utilisateurs une interface leur permettant de se connecter à leur fournisseur d'identité pour obtenir les clés. Ceux-ci peuvent ensuite être stockés dans Kwallet ou tout autre gestionnaire de mots de passe basé sur le bureau..

Q. Désolé, quel protocole et quelles clés? BrowserID est-il basé sur une sorte de technologie propriétaire??

R. Non. Techniquement, BrowserID est une application du protocole de messagerie vérifiée. un système d'authentification décentralisé basé sur la cryptographie à clé publique / privée, grâce auquel les utilisateurs peuvent prouver à un site Web qu'ils possèdent une adresse e-mail.

Q. BrowserID fonctionne-t-il sur tous les navigateurs??

R. BrowserID peut fonctionner sur tous les navigateurs modernes, y compris mobiles. La seule exigence est que ces navigateurs soient compatibles avec l'API JavaScript de BrowserID. Cela dit, même si vous deviez utiliser un navigateur non conforme, il serait toujours possible d'utiliser un service Web équivalent..

Q. Que dois-je faire pour commencer à utiliser BrowserID??

A. Vous devez vous connecter à l'ancienne sur le site Web de votre fournisseur d'identité. Ce serveur indiquera ensuite à votre navigateur, via une API JavaScript, de générer une paire de clés cryptographiques publique / privée..

Après cela, le navigateur envoie la clé publique au fournisseur d'identité et récupère un certificat d'identité signé. Le navigateur stockera alors la clé privée et le certificat comme il le ferait avec des mots de passe traditionnels..

Q. Que se passera-t-il ensuite lorsque je visite un site Web conforme à BrowserID??

A. Ce site Web dira à votre navigateur d’exécuter une fonction JavaScript qui vous demande si vous souhaitez vous connecter et avec quelle identité - c’est une adresse électronique..

Q. Et quand j'accepte…

A. Le navigateur enverra au site Web le certificat d’identité signé avec la clé privée. À ce stade, le site Web téléchargera votre clé publique auprès de votre fournisseur d'identité et vérifiera que la signature est authentique..

Q. Et c’est comme ça que je prouverai à ce site que je suis vraiment ce que je dis être?

R. Oui… et non. Cette procédure fournit une confirmation par un tiers (contrairement à ce qui se passe avec les cookies!) Que la demande d'authentification provient d'un navigateur qui a la clé secrète associée à l'adresse de messagerie fournie. Ce qui signifie que…

Q. Je ne devrais jamais laisser d'autres personnes utiliser mon navigateur!

R. C'est absolument vrai. Cependant, vous avez déjà le même risque avec tous les autres systèmes d'authentification qui ne vous obligent pas à entrer un mot de passe à chaque fois, n'est-ce pas??

Q. Je suppose que c'est vrai, mais cela signifie aussi que je ne pourrai pas m'authentifier à partir d'autres navigateurs, à droite?

R. Cela dépend. C'est vraiment à vous. En soi, BrowserID vous permet d’avoir un certificat pour chaque ordinateur ou smartphone que vous utilisez, y compris ceux empruntés ou publics, tels que les kiosques Internet. Bien sûr, dans ces cas, vous devrez supprimer la clé privée et le certificat dès que vous avez terminé.!

Q. Revenons aux fournisseurs d'identité. Vous continuez à les mentionner - qui sont-ils?

A. Dans le scénario le plus simple et le plus naturel, votre fournisseur d’identité BrowserID serait votre fournisseur de messagerie..

Q. Et si cela ne supporte pas le système??

R. Vous pouvez toujours utiliser sans problème un fournisseur d’identité secondaire de confiance offrant les mêmes services. La fondation Mozilla, par exemple, a créé un site Web appelé BrowserID.org à cette fin, afin d'accélérer les tests et l'adoption de BrowserID..

Q. Ah, oui, adoption. Quel est l'état actuel de BrowserID? Est-ce que quelqu'un l'utilise déjà??

R. Au moment de la rédaction de cet article (fin novembre), BrowserID en était encore à ses balbutiements. La plupart des développeurs de navigateurs n'ont annoncé aucun projet officiel d'intégrer la prise en charge de BrowserID dans leurs logiciels. Ce n'est pas le problème principal.

Q. Vraiment? Qu'est-ce que c'est alors?

R. La vraie question en suspens est de savoir si et quand les principaux fournisseurs de messagerie électronique et les communautés en ligne, telles que Facebook et Twitter, prendront en charge BrowserID, qui devient des fournisseurs d'identité. Surtout quand, comme Facebook, ils ont leur propre alternative interne.

En outre, tous ces fournisseurs devraient s’accorder sur un moyen standard de rendre les clés publiques accessibles. Heureusement, rien de tout cela ne rend impossible d'essayer BrowserID ou de le mettre en œuvre sur votre site Web..

Q. C'est cool. Comment puis-je l'essayer aujourd'hui?

R. Pour le moment, le meilleur moyen de voir à quoi ressemble BrowserID est de visiter le site de démonstration officiel de Myfavoritebeer.org..

Q. Qu'en est-il des webmasters?

A S'ils utilisent des logiciels open source populaires, tels que WordPress ou Drupal, ils ont de la chance: des plug-ins BrowserID pour ces systèmes de gestion de contenu existent déjà..

Sinon, ils devraient suivre les instructions pour les développeurs publiées sur browserid.org. Même dans ce cas, cependant, ils pourraient utiliser BrowserID sans avoir à écrire de code d'authentification par eux-mêmes..

--------------------------------------------------------------------------------------------------

Publié pour la première fois dans le format Linux Format 154