[Py-ES] Prueba de concepto de "PERSONA"

Jesus Cea jcea at jcea.es
Thu Jun 13 05:04:04 CEST 2013


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 12/06/13 15:17, Andrey Antukh wrote:
> Hacer login con google tambien es protocolo abierto. Solo que esto
> no es google si no otro mas xD (creo que mozilla) Si no usamos
> Google por que es Google por que vamos a usar mozilla porque es
> mozilla...?
> 
> Me equivoco en algo?

Bueno, el negocio de Google está bien claro: vender tu información
demográfica a los anunciantes. Por no hablar del reciente escándalo
"prism".

Persona es un protocolo no centralizado y 100% documentado. Ahora
mismo existe el problema del huevo y la gallina, porque muy poca gente
ofrece "persona" como proveedores de identidad. En un mundo perfecto,
si todo dios usa "persona", mozilla no juega *NINGÚN* rol en el
protocolo: ni proporciona el servicio ni puede controlar qué visitas o
hacerse pasar por ti. Esta diferencia con Google, Facebook, etc., es
crítica.

La jugada maestra de Mozilla es que se están chupando el coste de
proporcionar "persona" para el 99.9999% de los usuarios de Internet
que usan un proveedor de correo que no certifica su identidad usando
"persona". También proporcionan un servicio de verificación gratuito y
estable para que quien quiera "verificar" persona (en este caso,
nosotros), lo pueda hacer de forma trivial. Es lo que estoy usando,
por ejemplo, en la prueba de concepto. Porque es una prueba de concepto.

Esa "centralización" es peligrosa y a mí me pone la piel de gallina,
pero es una solución de compromiso temporal. Yo puedo verificar
persona ahora mismo SIN usar el servicio de Mozilla, y como mi propio
proveedor de email, puedo certificar mis direcciones de correo
"*@jcea.es" SIN pasar por Mozilla.

Es decir, en mi propia empresa puedo usar "persona" sin que Mozilla se
entere de nada ni juegue ningún papel. Certificaría mis propias
direcciones de email, que para eso tengo el servidor de correo, y mis
servicios verificarían "persona" directamente contra mis propios
certificados. No necesito confiar en nadie externo. Esto me lo da
"Persona".

Si más gente lo hace, Mozilla sale de la ecuación, siendo un sistema
100% distribuído. El único rol actual de Mozilla es proporcionar las
pasarelas para la gente que no tiene un proveedor de email que
certifique "persona" y para la gente que quiere verificar persona de
forma "trivial" (algo que no es un problema si usas una librería ya
hecha por otro, puedes tener verificación "trivial" a través de esa
librería, sin tirar de Mozilla para ello).

Si Google (obviamente no le interesa) proporcionase verificación de
identidad vía persona, algo que un ingeniero decente puede montar
desde cero (si no quieres usar librerías) en menos de un día, tres
días si tiene que famirializarse con la tecnología desde certo, de
repente medio planeta podría usar "persona" sin que Google "sepa" qué
webs visitas y qué haces en ellas... cosa que sí sabe si usas la
autenticación por OAUTH de Google, Facebook, Twitter, etc.

Para mí persona tiene dos problemas, en estos momentos:

1. Ahora mismo el 99.999% de los usuarios dependen del servicio de
intermediación de Mozilla, porque su proveedor de correo (google,
microsoft y yahoo copan el mercado y no tienen ningún interés en
desplegar persona, de momento). Me fío de Mozilla, pero una intrusión
en sus sistemas tendría consecuencias graves.

La única forma de evitar usar la intermediación de Mozilla es que los
proveedores de email apoyen el sistema. Y para eso el sistema debe
ganar visibilidad, volumen y demanda. Osea, debe haber servicios
internet que permitan "persona". Ahí entramos nosotros. Osea, nosotros
somos parte de la solución, y en nuestra mano está el aportar un
granito de arena, visibilidad y "publicidad". Liderar con el ejemplo.

2. Cuando los proveedores de correo proporcionen verificación de
"persona", se pueden hacer pasar por sus usuarios. Esto es chungo,
pero es un problema que ya existe: Tu proveedor de correo tiene acceso
a tu email y puede ver tus contraseñas, pedir emails de recuperación
de claves y muchas maldades. Si te registras en un sitio con "facebook
connect", facebook *YA* se puede hacer pasar por ti.

El segundo problema es insoluble, y para entornos realmente delicados
se resuelve de forma simple usando doble autenticación (que ya llevas
en el móvil). Para resolver el primer problema, hay que apoyar el
sistema. En ello estoy.

Contar qué es y cómo se ha montado "persona" en "es.python.org", si al
final la Junta Directiva tira por ese camino (no he presentado la
propuesta oficialmente aún) es una de mis ideas de charla para la
PyConES de noviembre :).

PS: La verdad es que una intrusión en los servidores de intermediación
actuales de "Persona" de Mozilla sí me quita el sueño, mientras sea un
sistema minoritario (si más gente lo usa, la dependencia de Mozilla se
reduce; si lo usa todo dios, Mozilla ya no pinta nada aquí, como debe
ser). Como profesional de la seguridad informática, lo veo como un
riesgo serio. Pero inferior a que se hackee Amazon, Facebook o Google,
y a medida que "persona" se popularice, la importancia de Mozilla en
el día a día de "persona" baja, así que la mejor opción ahora mismo es
promocionar el sistema al máximo precisamente para reducir ese riesgo :).

- -- 
Jesús Cea Avión                         _/_/      _/_/_/        _/_/_/
jcea at jcea.es - http://www.jcea.es/     _/_/    _/_/  _/_/    _/_/  _/_/
Twitter: @jcea                        _/_/    _/_/          _/_/_/_/_/
jabber / xmpp:jcea at jabber.org  _/_/  _/_/    _/_/          _/_/  _/_/
"Things are not so easy"      _/_/  _/_/    _/_/  _/_/    _/_/  _/_/
"My name is Dump, Core Dump"   _/_/_/        _/_/_/      _/_/  _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQCVAwUBUbk2pJlgi5GaxT1NAQLwCAP/YArsGSh727XpbVuXyEt1dxYBn1yRreJK
araafZg7kPvdCPI30DB3e0Ikb4Hf2OL9/XaPDwuEfcAHpXAiEy1jfroXs39pPPWm
4Jf1oss9BMAzJEGF827p8FNx63313PIOMXPAm/6HPnzY4gmDobmuWKZIBy1Tur9v
WfTcfiQhnbM=
=05FQ
-----END PGP SIGNATURE-----


More information about the general mailing list