-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Глобальное сообщество.
- Автор темы gufy
- Дата начала
gufy
Новичок
автором было предложено то, что описал HEm, только в глобальном масштабе, т.е. регистрация едина для многих-многих сообществ.
Однако множество разумных аргументов за и, особенно, против проекта приводят к тому, что написал nw. поэтому автор уже считал тему номинально закрытой.
отдельное спасибо nw и HEm за участие и понимание
Однако множество разумных аргументов за и, особенно, против проекта приводят к тому, что написал nw. поэтому автор уже считал тему номинально закрытой.
отдельное спасибо nw и HEm за участие и понимание
!ataMAN
Guest
Я тут случайно продумал архитектуру такой системы ("Введи пароль в одном месте - и лазий везде как свой!"), осталось написать такой комплекс, но это не особо сложно. Некоторые особенности идеи:
присутствует защита от сниффинга(прослушивания трафика) и спуффинга(подделки ip), пока не поколебим sha-1/md5
переделать стандартные форумные/cms'ные логины под это дело - не многодневная работа
владельцам сайтов не надо знать пароли
сайт делает лишь один запрос к серверам системы при первом заходе юзверя на сайт
юзерам даже не надо ничего устанавливать на pc
То есть технически мне это интересно, но я не верю в востребованность этого. Пользователям это, вероятно, удобно. Но где сайты, желающие иметь не свой, а глобальный логин?
присутствует защита от сниффинга(прослушивания трафика) и спуффинга(подделки ip), пока не поколебим sha-1/md5
переделать стандартные форумные/cms'ные логины под это дело - не многодневная работа
владельцам сайтов не надо знать пароли
сайт делает лишь один запрос к серверам системы при первом заходе юзверя на сайт
юзерам даже не надо ничего устанавливать на pc
То есть технически мне это интересно, но я не верю в востребованность этого. Пользователям это, вероятно, удобно. Но где сайты, желающие иметь не свой, а глобальный логин?
!ataMAN
Guest
Long
я имел ввиду, что продумал подробнее, в том числе как это реализовать технически
я имел ввиду, что продумал подробнее, в том числе как это реализовать технически
gufy
Новичок
спасибо, господа, что не забываете тему; на самом деле, мысль, по=моему, витает в воздухе. просто так достало регистрироваться на одинаковых phpBB или vBulletin форумах, с этими занудливыми получениями сообщений об активации аккаунта по e-mail, что захотелось такого вот..
на самом деле, не очень понятно, что делать с интеграцией этой системы в форумы. а функционал может быть очень широк - от отдельных buddy list'ов, ников и аватаров для каждого сообщества, до... чего фантазии хватит
непонятно, то ли нужно делать отдельный сервис и сервер, как, например, icq.com - независимый сервер, только клиент - не на клиентском компе, а на веб-форуме в виде скрипта, то ли как-то еще
на самом деле, не очень понятно, что делать с интеграцией этой системы в форумы. а функционал может быть очень широк - от отдельных buddy list'ов, ников и аватаров для каждого сообщества, до... чего фантазии хватит
непонятно, то ли нужно делать отдельный сервис и сервер, как, например, icq.com - независимый сервер, только клиент - не на клиентском компе, а на веб-форуме в виде скрипта, то ли как-то еще
!ataMAN
Guest
например:
ты заходишь на какой-то форум(или целый сайт), где используется такой внешний централизованный логин
1) если ты уже логинился под этим логином недавно, то просто лазишь по форуму, как свой
но если ты на этом форуме впервые, тебе выдаётся сообщение, что он испольует эту систему и предлагается разрешить ему получить все сведения о себе
2) если не логинился недавно, то при совершении действия, требующего опознания личности(создание топика, например), ты попадаешь на главную страницу сайта логина, где тебе вкратце говорят, что это такое и предлагают зарегестрироваться или войти, если уже зареген;
после тебя кидает назад на сайт, где всё уже происходит по сценарию 1).
ну а на форуме нужно только модуль аутентификации переписать, убрать большинство вещей из настроек профиля и ссылки на регистрацию и логин заменить ссылками на сайт системы логина
для начала=)
ты заходишь на какой-то форум(или целый сайт), где используется такой внешний централизованный логин
1) если ты уже логинился под этим логином недавно, то просто лазишь по форуму, как свой
но если ты на этом форуме впервые, тебе выдаётся сообщение, что он испольует эту систему и предлагается разрешить ему получить все сведения о себе
2) если не логинился недавно, то при совершении действия, требующего опознания личности(создание топика, например), ты попадаешь на главную страницу сайта логина, где тебе вкратце говорят, что это такое и предлагают зарегестрироваться или войти, если уже зареген;
после тебя кидает назад на сайт, где всё уже происходит по сценарию 1).
ну а на форуме нужно только модуль аутентификации переписать, убрать большинство вещей из настроек профиля и ссылки на регистрацию и логин заменить ссылками на сайт системы логина
для начала=)
!ataMAN
Guest
Если нет центрального владельца, то любому желающему предоставлять данные о пользователях или как-то аккредитовывать желающих? Ну в принципе можно продумать схему, где каждый может открыть свой сервер и начать регистрацию новых пользователей для глобальной системы, после чего сам поддерживает своих пользователей, сервера будут обмениваться информацией о пользователях по их желанию... не прозрачно как-то.. Или что имелось ввиду под отсутствием "одного центрального сервера"?
Ещё очень важно подумать о том, что чаще всего аккаунты пропадают из-за того, что пользователи сами добровольно сказали свой пароль; решение может быть такое - сделать ровно одно место по единственному адресу для ввода пароля, и всячески подчёркивать пользователю, что этот пароль никогда и нигде не должен быть воспроизведён, кроме как вот здесь (это единственное место может быть и разным для разных пользователей)
Я готов реализовать простейший начальный вариант, только нужно несколько желающих форумов/сайтов для первого так сказать полёта.
Жду комментариев.
Ещё очень важно подумать о том, что чаще всего аккаунты пропадают из-за того, что пользователи сами добровольно сказали свой пароль; решение может быть такое - сделать ровно одно место по единственному адресу для ввода пароля, и всячески подчёркивать пользователю, что этот пароль никогда и нигде не должен быть воспроизведён, кроме как вот здесь (это единственное место может быть и разным для разных пользователей)
Я готов реализовать простейший начальный вариант, только нужно несколько желающих форумов/сайтов для первого так сказать полёта.
Жду комментариев.
gufy
Новичок
!ataMAN
ты сейчас говоришь о деталях, давай поглобальнее.
нужно прикинуть масштабы систем. лучше бы надыбать oracle в крайнем случае PostgreSQL. явно MySQL не потянет хотя для начала можно и его. это раз. два. хостинг? огрганизация интерфейса обращений? если он будет в исходниках свободно распространяемых форумов, то о безопасности думать и думать. надо что-то типа API. в общем, ты пока не торопись с реализацией, лучше подумай, потом подумай, еще немного подумай, тогда подумай и давай, может чего и выйдет
я, если что, с тобой
ты сейчас говоришь о деталях, давай поглобальнее.
нужно прикинуть масштабы систем. лучше бы надыбать oracle
в крайнем случае PostgreSQL. явно MySQL не потянет хотя для начала можно и его. это раз. два. хостинг? огрганизация интерфейса обращений? если он будет в исходниках свободно распространяемых форумов, то о безопасности думать и думать. надо что-то типа API. в общем, ты пока не торопись с реализацией, лучше подумай, потом подумай, еще немного подумай, тогда подумай и давай, может чего и выйдет я, если что, с тобойche
Guest
Фишка форума - создать список дружественных форумов.
Пользователь вася регистрируется на форуме 1.(когда-то)
Пользователь вася заходит на форум 2, который взаимно дружествен с форумом 1.
Форум 2 - ты кто?
Вася - я вася@форум1
Форум 2 переадресовывает васю на форум 1
Форум 1 понимает что это Вася с форума2 и отсылает Васю обратно, прицепив к нему id
Форум 2 видит вернувшегося Васю с прицепленным id
Форум2 спрашивает у форума 1 - id - это чей id?
форум 1 отвечает - Да вася это, Вася, я за него гружусь.
Форум 2 пускает Васю, в случае траблов бьет морду форуму1 как поручителю.
При этом форум 2 запоминает васю и может рекомендовать его тем сайтам, которые дружественны ему но не дружественны форум1.
Ни какой централизации.
Если cms более менее популярная, или фишка начнет набирать популярность сама (как модули к уже имеющимся) то сообщества начнут расти, в рамках взаимораскрутки укрупняться и прочее. Если нет - значит не судьба.
P.S. Илья - рад видеть.
Пользователь вася регистрируется на форуме 1.(когда-то)
Пользователь вася заходит на форум 2, который взаимно дружествен с форумом 1.
Форум 2 - ты кто?
Вася - я вася@форум1
Форум 2 переадресовывает васю на форум 1
Форум 1 понимает что это Вася с форума2 и отсылает Васю обратно, прицепив к нему id
Форум 2 видит вернувшегося Васю с прицепленным id
Форум2 спрашивает у форума 1 - id - это чей id?
форум 1 отвечает - Да вася это, Вася, я за него гружусь.
Форум 2 пускает Васю, в случае траблов бьет морду форуму1 как поручителю.
При этом форум 2 запоминает васю и может рекомендовать его тем сайтам, которые дружественны ему но не дружественны форум1.
Ни какой централизации.
Если cms более менее популярная, или фишка начнет набирать популярность сама (как модули к уже имеющимся) то сообщества начнут расти, в рамках взаимораскрутки укрупняться и прочее. Если нет - значит не судьба.
P.S. Илья - рад видеть.
che
Guest
Не надо ни на ком завязываться, поддержку этой беды можно встроить в любой форум с минимальными телодвижениями.
Слегка поправить скрипт/модуль авторизации а юзера регать как login terminator домен поручитель
Кстати момент с общением двух скриптов между собой без пользователя можно исключить, тем самым дав возможность пользоваться фишкой на хостах без исходящих. Достаточно применить ассиметричное шифрование, и коннектором вполне безопасно выступит юзер
То есть в процессе подружения форумы обмениваются открытыми ключами(могут вообще их на всеобщее выставить)
Форум 2 посылает васю к поручителю
Вася идет
Поручитель видит васю, берет необходимые данные (мыло, сексуальная ориентация и прочее), подсчитывает контрольную сумму или лучше хэш(md5 или типа того), добавляет к данным
Полученное шифруется открытым ключом форума2 затем закрытым форума 1
Шифртекст вешается на Васю, Вася посылается обратно
Форум два расшифровывает текст открытым ключом форума 1 затем своим закрытым. Хэш отделяется от строки, вычисляется хэш строки, сравнивается с хэшем прибывшим. если не совпадает, Васю посылают далеко и надолго. Иначе авторизация считается пройденной.
Если Вася может подделать данные, то ему вручают нобеля и те кучи денег что разные фонды обещают убийце RSA.
Слегка поправить скрипт/модуль авторизации а юзера регать как login terminator домен поручитель
Кстати момент с общением двух скриптов между собой без пользователя можно исключить, тем самым дав возможность пользоваться фишкой на хостах без исходящих. Достаточно применить ассиметричное шифрование, и коннектором вполне безопасно выступит юзер
То есть в процессе подружения форумы обмениваются открытыми ключами(могут вообще их на всеобщее выставить)
Форум 2 посылает васю к поручителю
Вася идет
Поручитель видит васю, берет необходимые данные (мыло, сексуальная ориентация и прочее), подсчитывает контрольную сумму или лучше хэш(md5 или типа того), добавляет к данным
Полученное шифруется открытым ключом форума2 затем закрытым форума 1
Шифртекст вешается на Васю, Вася посылается обратно
Форум два расшифровывает текст открытым ключом форума 1 затем своим закрытым. Хэш отделяется от строки, вычисляется хэш строки, сравнивается с хэшем прибывшим. если не совпадает, Васю посылают далеко и надолго. Иначе авторизация считается пройденной.
Если Вася может подделать данные, то ему вручают нобеля и те кучи денег что разные фонды обещают убийце RSA.
!ataMAN
Guest
Зачем васе подделывать данные. Если он хочет другие данные достаточно зарегиться заново. Ну хотя рейтинг захочет подделать. Да, шифрование тут неплохо. А что насчёт подделывания тех же рейтингов самими владельцами форумов=) Нельзя доказать, где же правильный рейтинг. Это, конечно не смертельно=)
Но возникают другие вопросы, как-то: логины у форумов раздельны? То есть каждый выдаёт свой пароль? Или пароль один, но тогда он должен храниться в одном месте, то есть на форуме, где юзер регался. И каждый раз когда юзер захочет зайти на новый форум, он должен будет сначала залогиниться на нём.. но отдельный форум не обладает 100% аптаймом или надёжностью, и из-за него могут страдать слишком много других форумов и юзеров.
Тут вроде может помочь система дружественностей. Типа пароль у юзера один, но проверку его подлинности может проводить любой форум, дружественный для указанного юзером при регистрации. Но, в конечном счёте, владельцы многочисленных форумов/сайтов обычные люди, и я бы не доверил всем свой единственный пароль от всего.
Потом, опять, как реализовать другие сервисы, типа рейтингов. Где они хранятся. Кто докажет их правильность.
Есть ещё небольшие вопросы, например, где вася обновляет свою инфу, и как предполагается синхронизировать изменения?
Я не претендую на 100% бесошибочность моих утверждений, поэтому жду комментариев.
Но возникают другие вопросы, как-то: логины у форумов раздельны? То есть каждый выдаёт свой пароль? Или пароль один, но тогда он должен храниться в одном месте, то есть на форуме, где юзер регался. И каждый раз когда юзер захочет зайти на новый форум, он должен будет сначала залогиниться на нём.. но отдельный форум не обладает 100% аптаймом или надёжностью, и из-за него могут страдать слишком много других форумов и юзеров.
Тут вроде может помочь система дружественностей. Типа пароль у юзера один, но проверку его подлинности может проводить любой форум, дружественный для указанного юзером при регистрации. Но, в конечном счёте, владельцы многочисленных форумов/сайтов обычные люди, и я бы не доверил всем свой единственный пароль от всего.
Потом, опять, как реализовать другие сервисы, типа рейтингов. Где они хранятся. Кто докажет их правильность.
Есть ещё небольшие вопросы, например, где вася обновляет свою инфу, и как предполагается синхронизировать изменения?
Я не претендую на 100% бесошибочность моих утверждений, поэтому жду комментариев.
che
Guest
Я с кем попало дружить не стану
Это раз.Во вторых дружественные мне сайты имеют мой личный рейтинг, который лично я как хочу так и считаю. Когда Вася заходит ко мне, его поручитель сообщает мне его отношение к Васе (текущее число постов, нарушений, как давно знает, етц. Этот момент стоит продумать и стандартизировать. На основе этих данных и того как я отношусь к самому поручителю, я делаю вывод как мне относиться к Васе. Кроме того, когда вася на дружественном мне сайте авторизуется и просит поручится меня, я честно заявляю тому сайту, что поручаюсь, но со слов того сайта, который поручился за васю передо мной. Это информация к размышлению для запрашивающего сайта - как он ее обработает - его проблемы.
Логин васи на новом форуме - Вася@форум-поручитель или типа того.
Пароль Васи на форуме поручителе никому не раскрывается, как ты мог заметить. На новом форуме ему ставят куки, отсылают сгенеренный пароль на почту, всё как обычно, за исключением того что действовать он может сразу благодаря поручительству.
Я бы тоже. Поэтому доверять мы не будем. Мы дружим с сайтом, его юзеры беспредельничают. Мы роняем рейтинг сайта у себя, что по идее отразится на юзерах. не помогает - перестаем дружить. Все как у взрослых.
Никто. Ты их просто никому не доказываешь. Ты их составляешь сам для себя. Если твое мнение глубоко не совпадет с мнением сообщества и ты будешь упорствовать, с тобой перестанут дружить. Это саморегулирующаяся система.
Вася лезет на сайт. Так как сайт уже знает, что это вася, но видит что прошло достаточно времени, он посылает Васю к поручителю, благо знает куда посылать и вася возвращается с обновленными данными. Все происходит на автопилоте.
!ataMAN
Guest
Я так понимаю, тогда суть системы получается только в автоматической регистрации, поддержании данных в актуальной форме и чтобы все знали, с каких форумов ты пришёл
Но для автоматических регистраций есть специальные проги. То есть, если на каждом форуме опять при заходе нажимать высылку пароля (ну не бумашку ж с паролями фсегда насить?), ждать его получения, вводить, заходить.. То есть по-моему теряется большая часть смысла системы.
А под «рейтингами» я имел ввиду «репутации»:
Но для автоматических регистраций есть специальные проги. То есть, если на каждом форуме опять при заходе нажимать высылку пароля (ну не бумашку ж с паролями фсегда насить?
), ждать его получения, вводить, заходить.. То есть по-моему теряется большая часть смысла системы.А под «рейтингами» я имел ввиду «репутации»:
che
Guest
В то время, как первый раз пароль высылается тебе на мыло(которое ты даже не вводил, потому как оно было получено от поручителя) ты уже работаешь в форуме, причем не как новичек, а с рейтингом, равным произведению твоего на сайте поручителя на рейтинг поручителя(оба числа естесственно меньше единицы)Originally posted by !ataMAN
То есть, если на каждом форуме опять при заходе нажимать высылку пароля (ну не бумашку ж с паролями фсегда насить?
А под «рейтингами» я имел ввиду «репутации»:
Репутации я подробно расписал. Смысл такой, что если ты набедокурил, то расплачиваешься не только там где, но и на сайте поручителя, так как ему об этом сообщают.
Вводить каждый раз пароль - ты на часто посещаемых форумах каждый раз пароль вводишь или они тебя сами узнают?
Если ты посещаешь форумы, связанные с php и образующие сообщество, то зарегавшись на одном и получив там некоторую характеристику, по остальным ты уже ходишь не регистрируясь и пользуясь авторитетом первого * авторитет твой. Это удобно. А значит это инструмент, который не хочется терять. А значит новичкам такую возможность не давать - выставить достаточно жесткие условия для того что бы поручаться за кого бы то ни было. А с любителями на*бать не дружить, что приведет к оттоку от них посетителей, так как нахрен мне форум, с которым никто не считается, если я могу проводить время на phpclub, с которым считаются, зарабатывать очки, и это будет относиться к отношению ко мне на множестве других форумов. На самом деле это мощный инструмент, имеющий к психологии гораздо большее отношение чем к php.
кстати хотелось бы извиниться. Первый раз прочитал не очень внимательно, только сейчас заметил. Практически всё что я предложил было в двух словах описано HEm кроме кажись децентрализации.
XiMiK
Новичок
Интересная и масштабная тема была затронута из-за лени автора , вот так и движется прогресс...
Вобще тут было приведено много интересных идей, но их авторы всё время зацикливались на деталях. Пержде чем кидаться писать код, желательно определить цели, потом посчитать имеющиеся средства, а только потом что-то делать.
Про регистрацию програмой всё уже сказали. Про супер всемирную форумную систему тоже всё ясно. Но мыслить надо глобальнее. Чтобы люди потянулись, надо предложить им то, чего им не хватает. Просто единая авторизация кроет в себе большие возможности. Сама она как фак особо и нужна. Нормально вегда без неё обходились и обойдёмся, но...
Вобще что нужнопростому юзеру? Уже существующие форумы! Но при этом простота их использования и понимания. Нужно обьединять сущесвующие форумы, вести их статистику и предоставлять единый интерфейс. Юзеру нужен единый интерфейс к БД форумов!!!
В принцепе он есть, но он не совсем единый.
Вот что в форумах одинаково:
- Стоуктура отбражения данных
- Навигация (в общих чертах)
- Сервисы (поиск и т.д.)
- Учётные записи и статистика
Разное (в общем):
- Структура хранения информации
- Платформы (Win/*nix; php/perl/c/java/vb)
- Физическое местонахождение (большая проблема)
- Владельцы
Проблемы с авторизацией витекают именно из-за отличий форумов (причём не только их систем).
Как былобы прекрасо, если бы скажем у меня был бы список всех форумов в сети на тему PHP, упорядоченый по убыванию посещаемости!!! Единый поиск по всем(!) форумам, статистика, одна учётная запись, да вобще любой сервис, вплоть до привата!!!
Для владельцев плюсы очевидны: владелец форума ставит себе необходимое ПО на сервер и регестрируется в системе, всё! Процесс запущен, мемберы системы проверяют новый форум на поршивость, и всё без обмана...
Для юзера простота и свобода в выборе.
При едином интерфейсе некоторые данные всёравно придётся хранить централизировано. Необязательно на одном сервере, но всёже. И скрипты должны быть в одном месте... Т.ч. без сервера не обойтись.
Как всё это смотрится с тех. точки зрения?
С топологией я ещё не опредилился, но смысол в том, что админ форума ставит модуль, который будет взаимодействовать с нашей единой системой. Сам модуль будет написан с помощью заготовленног API, т.ч. програмный интерфейс останется только адаптировать под структуру движка форума. К самым популярным системам (типа PHPbb) модули появятся мигом и пол проблемы уже решено.
Серверная часть систамы будет отвечать за хранение уч. записей, ведение статистики, предоставление интерфейса к единому поиску, просмотру и постингу.
Тут можно много чего придумать...
----------------------------
Вобщем всё что я хотел сказать:
решение проблемы заключается в обьединении сущ. форумных систам.
, вот так и движется прогресс...Вобще тут было приведено много интересных идей, но их авторы всё время зацикливались на деталях. Пержде чем кидаться писать код, желательно определить цели, потом посчитать имеющиеся средства, а только потом что-то делать.
Про регистрацию програмой всё уже сказали. Про супер всемирную форумную систему тоже всё ясно. Но мыслить надо глобальнее. Чтобы люди потянулись, надо предложить им то, чего им не хватает. Просто единая авторизация кроет в себе большие возможности. Сама она как фак особо и нужна. Нормально вегда без неё обходились и обойдёмся, но...
Вобще что нужнопростому юзеру? Уже существующие форумы! Но при этом простота их использования и понимания. Нужно обьединять сущесвующие форумы, вести их статистику и предоставлять единый интерфейс. Юзеру нужен единый интерфейс к БД форумов!!!
В принцепе он есть
, но он не совсем единый.Вот что в форумах одинаково:
- Стоуктура отбражения данных
- Навигация (в общих чертах)
- Сервисы (поиск и т.д.)
- Учётные записи и статистика
Разное (в общем):
- Структура хранения информации
- Платформы (Win/*nix; php/perl/c/java/vb)
- Физическое местонахождение (большая проблема)
- Владельцы
Проблемы с авторизацией витекают именно из-за отличий форумов (причём не только их систем).
Как былобы прекрасо, если бы скажем у меня был бы список всех форумов в сети на тему PHP, упорядоченый по убыванию посещаемости!!! Единый поиск по всем(!) форумам, статистика, одна учётная запись, да вобще любой сервис, вплоть до привата!!!
Для владельцев плюсы очевидны: владелец форума ставит себе необходимое ПО на сервер и регестрируется в системе, всё! Процесс запущен, мемберы системы проверяют новый форум на поршивость, и всё без обмана...
Для юзера простота и свобода в выборе.
При едином интерфейсе некоторые данные всёравно придётся хранить централизировано. Необязательно на одном сервере, но всёже. И скрипты должны быть в одном месте... Т.ч. без сервера не обойтись.
Как всё это смотрится с тех. точки зрения?
С топологией я ещё не опредилился, но смысол в том, что админ форума ставит модуль, который будет взаимодействовать с нашей единой системой. Сам модуль будет написан с помощью заготовленног API, т.ч. програмный интерфейс останется только адаптировать под структуру движка форума. К самым популярным системам (типа PHPbb) модули появятся мигом и пол проблемы уже решено.
Серверная часть систамы будет отвечать за хранение уч. записей, ведение статистики, предоставление интерфейса к единому поиску, просмотру и постингу.
Тут можно много чего придумать...
----------------------------
Вобщем всё что я хотел сказать:
решение проблемы заключается в обьединении сущ. форумных систам.