Od minulého měsíce lze používat mojeID pro přihlašování na službě Jízdomat.cz. Jedná se o úspěšný komunitní projekt pro plánování spolujízd, který v těchto dnech oslavil své druhé narozeniny.
Pomyslným narozeninovým dárkem, který provozovatelé Jízdomatu nadělili sobě, a především pak svým uživatelům, je nový systém uživatelských referencí, který vstoupil v platnost od 1. listopadu. Rozšiřuje stávající systém, který je založen na pozitivních či negativních hodnoceních řidičů a cestujících samotnými uživateli a doplňuje ho o úroveň ověření uživatele v systému mojeID.
Možná namítnete, že dosavadní referenční systém, založený čistě na zkušenostech ostatních s hodnoceným uživatelem, je tím nejlepším, co lze v sociální síti tohoto typu aplikovat. A svým způsobem máte pravdu – pokud si uživatel vybírá mezi dvěma řidiči, jejichž historii má k dispozici, patrně dostane přednost řidič s větším počtem plusových bodů, eventuálně s menším počtem těch minusových.
Co ale pokud jste řidič bez historie? Nikdo s vámi nepojede, protože nemáte pozitivní hodnocení, které však nezískáte, dokud s vámi někdo nepojede…
Začarovaný kruh. A teď si představte, že když už se vám podaří získat prvního cestujícího, který bude dokonce ochoten vás ohodnotit, dostanete od něj nakonec palec dolů, a to jenom proto, že se buď špatně vyspal, nepadli jste si do oka, nebo že jste neměl v autě jeho oblíbenou vůni. A máte palec dolů a přesto, že nikdo z vašich dalších potenciálních cestujících neví, zda to byl palec za agresivní jízdu, oplzlé řeči nebo za špatnou náladu hodnotícího, můžete si být jisti, že teď už s vámi nepojede vůbec nikdo. Protože co kdyby…
Řešením právě tohoto “co kdyby” je nově zprovozněná verifikace účtů na Jízdomatu pomocí mojeID. Stávající systém uživatelských referencí zůstává nadále směrodatným pro výběr parťáka na spolujízdu, rozšíření o mojeID však umožňuje daleko snazší zapojení nových účastníků.
Uživatel, který dobrovolně vystoupí z anonymity a prokáže se účtem verifikovaným důvěryhodnou autoritou, totiž dává jasně najevo, že má v úmyslu chovat se korektně.
Klíčová je právě ona dobrovolnost tohoto aktu. Chce-li uživatel plnohodnotně využívat tuto službu, nemusí nevyhnutelně použít mojeID, vždy má k dispozici také alternativní možnost, ovšem pokud to udělá, výrazně mu to usnadní práci.
Když jsme spouštěli mojeID, slýchali jsme často námitku poskytovatelů služeb: “Do toho nikdy nikdo nepůjde, aby zaváděl povinné ověření pomocí vaší služby, protože vždycky bude výrazně větší poměr uživatelů bez mojeID než těch s mojeID.” A skutečně, ukazuje se, že existuje daleko lepší cesta. Těší nás, že se spolupodílíme na vytváření Internetu jako místa, kde si sami uživatelé začínají uvědomovat, že být ověřeným a tedy důvěryhodnějším, je velkou výhodou a že nacházíme stále více partnerů, kteří jsou odhodláni své uživatele v tomto přesvědčení podporovat.
Ondřej Písek
Problémy eshopů a jejich řešení. Netýká se to i vás?
Stojíte rádi ve frontě u pokladny? A stalo se vám někdy, že jste se při pohledu k pokladnám rozhodli nakoupit raději v trafice nebo na benzince? Možná, že podobně přemýšlí také návštěvníci vašeho eshopu. Třeba si i oni na pokladně – při pohledu na nekonečný formulář pro jednorázovou objednávku – řeknou, že bude snazší si ten kávovar koupit zítra cestou pro rohlíky…
V létě 2010, tedy v době, kdy jsme připravovali spuštění služby mojeID, jsme měli na zřeteli celou řadu potenciálních výhod a přínosů pro provozovatele internetových služeb. Do okamžiku, než jsme tyto naše vize konfrontovali se skutečnými potřebami reálných provozovatelů webů a eshopů, však nešlo o nic jiného, než o pouhé domněnky a dohady.
Šli jsme se jich proto zeptat, s jakými problémy se v každodenním provozu potýkají, kde vidí jejich řešení a zda by jim při tom mohla námi chystaná služba pomoci. K našemu překvapení jsme mimo jiné zjistili, že polovinu z toho, co jsme při vývoji mojeID považovali za důležité, nejen že neřeší, ale dokonce ani netuší, že by se tím vůbec mohli zabývat. To bylo pro nás důležité, protože nám to umožnilo se přednostně zaměřit na řešení aktuálních problémů a spoléhat, že to ostatní provozovatelé docení, až po hlubším seznámení se službou.
Dozvěděli jsme se, že majitele eshopů trápí především nízká konverze a že již vlastně rezignovali na ideu validních kontaktních údajů, efektivních věrnostních programů a vracejících se zákazníků, kteří by se opakovaně logovali do svých uživatelských účtů. Vlastním průzkumem jsme si potvrdili, že míra opouštěných nákupních košíků, která přesahuje 60 %, je číslo, které si ve skutečnosti provozovatelé eshopů nedokáží nikterak interpretovat. Domnívají se, že část těchto košíků je „přinesena“ k pokladně proto, aby si zákazník spočítal konečnou cenu včetně přepravy, balného a případných dalších poplatků. Ale co ten zbytek?
Nejsou to také vaši zákazníci, kteří utíkají z pokladny eshopu proto, že jim prostě za to ta „námaha“ s vyplňováním formulářů nestojí? Ptáte se, co s tím?
Protože jako provozovatel služby mojeID chceme podporovat e-commerce segment, rozhodli jsme se letos v říjnu uspořádat ve spolupráci s několika partnery zvučných jmen E Business Akademii, která se zaměří především na řešení problémů provozovatelů malých a středních eshopů.
Přijďte si poslechnout příspěvek mých kolegů o tom, jak může mojeID pomoci při řešení problémů eshopů.
Ondřej Písek
Knihovníci doporučují mojeID
Na konferenci Knihovny budoucnosti 2012, která proběhla v minulém týdnu v Pardubicích a kde se sešlo více jak 250 zástupců knihoven, byl představen připravovaný Centrální portál českých knihoven (CPK). Ten umožní získat požadované dokumenty v tradiční tištěné nebo digitální formě a pohotové a komplexní informace kdykoli, odkudkoli a kdekoli.
Jedním ze stavebních prvků projektu CPK je ověřená sdílená identita čtenáře. V přednášce „Sdílení uživatelských identit“ představil Petr Žabička z Moravské zemské knihovny v Brně knihovníkům možnost využití služby mojeID pro zavedení ověřené identity. Čtenář, který se bude registrovat v libovolné knihovně s účtem mojeID, bude uznáván i v ostatních knihovnách a v rámci všech služeb dostupných pod CPK. „Po dlouhém testování a hledání vhodné služby padla volba právě na mojeID,“ uvedl mimo jiné Petr Žabička.
Přednášku následně doplnil Martin Lhoták, ředitel Knihovny Akademie věd ČR a hlavní koordinátor projektu CPK. Znovu zopakoval, že mojeID je jedinou funkční a hodnověrnou službou pro zajištění ověřené identity v rámci projektu a doporučil knihovníkům neváhat s jeho implementací do knihovních systémů. Harmonogram projektu očekává, že během roku 2013 podpoří mojeID většina knihoven.
Radim Ponert
Dnes je ten slavný den, kdy k nám byl zaveden… mojeID
Právě v těchto dnech bylo zavedeno mojeID do systémů prvních knihoven. Na konferenci Knihovny současnosti 2012, která se koná tento týden v Pardubicích, představila Moravská zemská knihovna v Brně svoji implementaci služby mojeID a společnost KP SYS svůj katalog s podporou mojeID. V tuto chvíli to znamená, že kromě Moravské zemské knihovny v Brně mohou využívat mojeID také návštěvníci knihoven v Chebu a Liberci (knihovna Technické univerzity).
Společnost KP-SYS implementovala do svého systému mojeID společně s OpenID. Nasazení proběhlo nejdříve na testovacích firemních serverech a po důkladném otestování došlo na implementaci do ostré verze webového knihovního katalogu Portaro (technologie PHP). V současnosti implementují v KP-SYS mojeID do druhé generace katalogu Portaro (technologie JAVA) a rozšiřují funkcionalitu o další údaje přenášené do lokální databáze uživatelů. V plánu je dále představení tohoto řešení zástupcům knihoven na konferenci Bibliotheca Academica 2012 a samozřejmě koncovým uživatelům (podzimní Setkání uživatelů katalogu Portaro).
Moravská zemská knihovna v Brně integrovala mojeID mezi své služby počátkem minulého týdne. Úvahy o ostrém nasazení jsou už rok staré; první zmínky o mojeID se mezi knihovníky rozšířily právě před rokem na konferenci Knihovny současnosti, kde byl systém poprvé představen. Knihovna si od zavedení slibuje zejména zpříjemnění registrace do knihovny pro své čtenáře, ale zároveň propojení služeb pro již stávající uživatele. V současnosti je možné mojeID využít nejen při nové registraci do knihovny, ale také při prodlužování platnosti průkazu. V blízké budoucnosti mají v MZK v plánu umožnit plnohodnotnou registraci na dálku.
Pozadu ale nezůstávají ani ostatní producenti knihovních systémů. Intenzivně probíhají jednání o implementaci služby mojeID do systému Clavius (společnost LANius), kde je přislíbena implementace do konce roku 2012. Tento systém využívá přibližně 2 000 městských knihoven v Čechách, ale i na Slovensku. Zavedení mojeID řeší i ve společnosti Multidata Praha, která provozuje knihovnicko-informační systém ALEPH. Ten využívají především akademické knihovny, z nichž namátkou vybírám knihovnu Akademie věd České republiky, Národní technickou knihovnu nebo knihovnu Masarykovy univerzity v Brně. Oslovili jsme rovněž řadu dalších menších firem nebo společností zaměřených na open source řešení. Zde jsou jednání teprve v zárodku.
Radim Ponert
mojeID přivítalo jubilejního uživatele
S rostoucím počtem provozovatelů internetových služeb, kteří se rozhodli systém pro jednotné přihlašování mojeID implementovat, roste i počet jeho uživatelů. K dnešnímu dni jich sdružení CZ.NIC eviduje více než 70 tisíc. Podíl plně a částečně identifikovaných je přitom téměř vyrovnaný – 41 procent ku 59 procentům.
Podle statistik v uplynulém měsíci vzniklo zhruba 3 800 nových mojeID účtů, denní počet přihlášení pomocí mojeID se pohybuje okolo 1500. Mezi společnostmi, které službu pro své zákazníky aktuálně zavádí, jsou například Jízdomat.cz, Moravská zemská knihovna v Brně nebo Česká zemědělská univerzita v Praze (ČZU se tak stane první vzdělávací institucí podporující mojeID). A vývoj a podpora mojeID v CZ.NIC také nezahálí – mezi poslední novinky patří například přizpůsobení editoru mojeID profilu pro mobilní zařízení nebo nové moduly pro open source systémy.
Ondřej Písek
Co nového v mojeID
Nedávno jsme vydali další verzi naší služby mojeID s níž spatřilo světlo světa také pár zajímavých a užitečných novinek.
První z nich se týká především těch uživatelů, kteří se rozhodnou založit si své mojeID až teď. Při vybírání identifikátoru teď budou mít díky kontrole “as you type check” možnost zjistit, jestli je jimi vybraný identifikátor ještě volný nebo ho už získal někdo před nimi. Jedná se o poměrně drobné vylepšení, které ale, jak pevně věříme, povede ke zvýšení komfortu pro nově registrující se :).
Druhá novinka je mnohem výraznější a týká se těch, kteří už mojeID účet mají a jsou zároveň držiteli domén .CZ. Pro tyto uživatele je tu teď možnost požádat si o skrytí jejich údajů v registru domén. Tato změna souvisí s úpravami v Pravidlech registrace, o nichž na tomto blogu psala před nedávnem kolegyně Zuzana. Důležité je podotknout, že uživatelé, kteří projeví o tuto možnost zájem, musí mít své mojeID validované.
Jak jsem uvedl na začátku, jedná se skutečně o pár změn. Kdybyste ale měli zájem vidět, jak vypadají v praxi, ještě než se sami pustíte do jejich využívání, doporučuju vám podívat se na náš další release log. Kolega Jaromír Talíř v něm mimo jiné mluví i o hlavním směru, kterým se bude naše služba v budoucnu ubírat.
Vilém Sládek
Změny v Pravidlech registrace přinášejí i možnost skrýt další údaje
Dokument s názvem Pravidla registrace čítá celých devět stránek hustého textu, a tak si dovolím ve stručnosti představit novinky, které k 1. červnu vstupují v platnost.
Jednou z drobných změn je úprava přílohy č. 1, podle které může nově být v kontaktu poštovní adresa označena jako neveřejný údaj bez ohledu na to, jakou daný subjekt zastává v centrálním registru pozici (držitel, administrativní kontakt, technický kontakt atp.). Adresa tedy nebude zobrazována ve veřejné části vyhledávání v databázi whois. Jediným údajem, který v centrálním registru nadále zůstane vždy viditelný, je jméno a příjmení. CZ.NIC touto změnou vychází vstříc zákonným požadavkům na ochranu osobních údajů.
Zákon na ochranu osobních údajů se však týká pouze fyzických osob – údaje o právnických osobách lze nalézt v řadě veřejně dostupných registrů. Také v případě centrálního registru budou možností skrýt poštovní adresu disponovat pouze fyzické osoby. Aby nedocházelo k nežádoucímu „zosobňování“ právnických osob účelovým označováním za fyzické osoby, vyplňováním názvu a obchodních firem do položky jméno a příjmení nebo vynecháním některých údajů, bude moci údaje skrýt pouze subjekt, který prošel tzv. validací – jednoduchým a bezplatným ověřením údajů prostřednictvím služby mojeID. U takto ověřených subjektů bude CZ.NIC bezpečně vědět, že kontakt patří fyzické osobě, která bude mít možnost skrýt svou poštovní adresu a navíc získá možnost využívat výhod validovaného kontaktu služby mojeID na řadě serverů, kam se lze s využitím mojeID přihlásit.
K ochraně osobních údajů zbývá dodat, že ačkoliv subjekt díky validaci službou mojeID získá větší míru kontroly nad tím, komu a v jakém rozsahu své údaje sděluje, CZ.NIC je může v souladu se zákonem na základě požadavku předat orgánům činným v trestném řízení. O kontaktní údaje může požádat i veřejnost, ovšem pouze pokud řádně vyplní zvláštní žádost, ve které doloží účel, kvůli kterému o informace žádá. Pro každý kontakt bude nutné podat samostatnou žádost, a to výhradně písemně s ověřeným podpisem žadatele. Tento relativně složitý administrativní postup má zabránit zneužívání tohoto institutu. CZ.NIC si rovněž vyhrazuje právo poskytnutí údajů odmítnout, pokud dojde k závěru, že požadavek je neoprávněný a žadatel pro svou žádost neprokázal legitimní důvod.
Další změna ve správě údajů v registru se týká zahraničních držitelů. Od června budou subjekty, jejichž bydliště, sídlo či kontaktní adresa se nacházejí mimo území EU/EHP, povinny na výzvu sdružení CZ.NIC nebo příslušného státního orgánu (soudu, správního orgánu, ale také rozhodce či rozhodčího soudu) poskytnout doručovací adresu na území EU/EHP nebo označit svého zástupce s doručovací adresou na tomto území. Problémy s doručováním do exotických lokalit jsou dlouhodobou záležitostí a přispívají ke značnému ztížení možnosti domáhat se svých práv u soudu. Pro větší účinnost komunikace a usnadnění doručování písemností na poštovní adresu uvedenou v registru byla zrovnoprávněna komunikace prostřednictvím elektronické pošty, tedy na e-mail uvedený v registru. Výzva ke sdělení bude odeslána elektronicky a pokud CZ.NIC neobdrží požadované informace ve lhůtě 15 dnů od jejího odeslání, bude mít právo danou doménu zrušit. Je důležité dodat, že tento postup bude uplatněn zejména v případě, kdy se CZ.NIC buď dozví důvěryhodné informace o nesprávnosti údajů v registrům nebo bude o sdělení údajů požádán příslušným orgánem.
Zuzana Průchová Durajová
Ohlédnutí za IETF 83
Jelikož jsem v předchozích dvou blogpostech o OpenID a WHOISu nalákal čtenáře na IETF 83, sluší se přinést nějaký report o tom, jak tato konference splnila očekávání. Dá se říct, že více než dostatečně.
Jak už je na IETF zvykem, je neděle věnovaná tutoriálům. Mezi ně byl trochu narychlo zařazen i tříhodinový tutoriál na OpenID Connect. To ještě více umocnilo fakt, že tato konference byla problémům digitálních identit věnovaná víc než jsem sám čekal. V zajímavé souhrnné prezentaci bylo zmíněno i probíhající vzájemné testování existujících implementací. Zájemcům o OpenID Connect bych určitě doporučil blogy jeho autorů, zejména články OpenID Connect in a nutshell a Designing a Single Sign-on system using OAuth 2.0. A pokud někdo stále nerozumí rozdílům mezi OpenID a OAuth, existuje i Dummy’s guide. Na závěr byl prezentován i projekt AccountChooser jako nástroj pro poskytovatele služeb, kteří chtějí implementovat jednotné přihlášení napříč technologiemi. Jak udělat správně uživatelské prostředí na straně poskytovatele služeb je zjevně oříšek a nikdo není spokojen s tím co se nazývá NASCAR UI – desítky barevných tlačítek s různými poskytovateli, mezi kterými si uživatel musí nalézt toho svého.
Z pondělních pracovních skupin zaujala NETMOD, jejíž cíl je vydefinovat univerzální datové modely pro vzdálenou konfiguraci různých prvků pomocí protokolu NETCONF. Na datovém modelu pro konfiguraci routingu totiž pracuje Láďa Lhotka z našich laboratoří. Odpolední technické „plenary“ začalo připomenutím druhého dne IPv6, na který se připravujeme i my. Potom už byly hlavními tématy TLS, problémy certifikačních autorit a zabezpečení webu obecně, které se lehce vyhrotilo při kritice tvůrců prohlížečů spočívající v tvrzení, že napadené nebo pochybné certifikační autority neodstraňují z prohlížečů flexibilně.
Avizovaná panelová diskuze o OpenID a OAuth pořádaná organizací ISOC v úterý před polednem byla pro auditorium, ve kterém seděli zástupci různých (číselných i doménových) registrů, spíše seznamovací. Její obsah nejspíš jen vyvolal v posluchačích otázky, které jsme si my položili již dříve a odpověděli na ně v podobě služby MojeID. V navazující pracovní skupině KITTEN, o které jsem se zmiňoval dříve v souvislosti s použití OpenID pro zabezpečení dalších internetových protokolů, se pouze probral stav existujících dokumentů bez nějakého zásadního posunu. To na WEIRDS se očekávala bouřlivá diskuze o podobě nového WHOIS protokolu. Překvapivě se ozvali pouze jednotlivci, kteří mají obavy o zbytečně vynaložené úsilí. Navržený „charter“ pro připravovanou pracovní skupinu tedy bude poslán ke schválení příslušným orgánům IETF. V podvečer ještě zasedla pracovní skupina DNSEXT. Na ní Ondra Surý z našich laboratoří prezentoval navrhovanou úpravu protokolu IXFR. Tato pracovní skupina se pravděpodobně setkala naposledy; její odsouhlasené rozpuštění již čeká pouze na administrativní proceduru.
Středeční program nabídl mimo jiné pracovní skupinu TLS. Ta probírala rozšíření mechanismů pro získání certifikátů při navazování TLS spojení, např. z DNS, jak bylo schváleno v rámci pracovní skupiny DANE. Tato pracovní skupina již všechny svoje dokumenty dokončila a jsou v procesu schvalování, takže pro ni nebyl důvod se tentokrát scházet.
A opět ty identity. Na čtvrteční ráno byl naplánován BOF týkající se protokolu SCIM (Simple Cloud Identity Management). Velcí poskytovatelé cloudových služeb by si rádi standardním způsobem synchronizovali data o uživatelích. Navrhli tedy protokol, který má standardizovány operace pro založení, zobrazení, změnu a zrušení (CRUD) vzdáleného kontaktu spolu s univerzální datovou strukturou v XML a JSONu. Jestli vám to připomíná EPP, které používáme v našem doménovém registru, tak mně také. To jen ukazuje, že staré nápady jsou neustále recyklovány a možná není daleko doba, kdy místo EPP protokolu budeme také používat nějaký REST protokol nad HTTP. Následovala druhá panelová diskuze týkající se OpenID, OAuth a tentokrát i BrowserID. Je více než zřejmé, že BrowserID nemůže OpenID aktuálně plnohodnotně nahradit. Pracovní skupina OAUTH poté řešila hlavně tzv.“rechartering“, tzn. změnu svých cílů. Pro OpenID Connect bude důležité, jestli si pracovní skupina vezme za své některé osiřelé specifikace, na kterých je závislý jako např. Simple Web Discovery. Proti tomu se zvedl částečný odpor, neboť se opět jedná o alternativní přístup k něčemu, na co již existují v IETF jiné standardy host-meta a webfinger.
Závěrečnou tečku za konferencí udělala v pátek pracovní skupina DNSOP. Hlavním tématem bylo TTL a jeho snižování nebo zvyšování. Inženýři z Verisign navrhují jeho výrazné zvýšení jako ochranný mechanismu proti případné nedostupnosti autoritativních serverů. Jejich japonští kolegové naopak doporučují výrazné snížení jako ochranný mechanismus z důvodu rychlého zotavení z případné chyby např. v souvislosti s technologií DNSSEC. K tomu se samozřejmě ještě přidává zákaznický pohled, neboť uživatelé samozřejmě chtějí vidět svoje požadované změny okamžitě. Jednoznačná odpověď asi neexistuje.
Jaromír Talíř
OpenID bude jedno z významných témat blížícího se IETF 83
Ve svém nedávném blogpostu o identitách jsem zmiňoval finišující proces standardizace protokolu OAuth 2.0 směřující do podoby RFC a novou iniciativu v podobě protokolu OpenID Connect. Tyto technologie a digitální identity vůbec budou zdá se jedním z důležitých témat blížícího se setkání IETF 83. Jako první se iniciativy chopil ISOC, který na příští úterý ohlásil panelovou diskuzi na téma Authentication and Authorization: Next steps for OpenID and OAuth. Vzápětí se na čtvrteční program konference dostala sada prezentací následovaná otevřenou diskuzí na téma Beyond HTTP Authentication: OAuth, OpenID, and BrowserID. Na oboje jsem velice zvědavý, stejně tak na výsledek, které obě akce přinesou.
Na IETF se tyto technologie objevují ještě v jednom ne úplně nevýznamném kontextu. V pracovní skupině KITTEN (Common Authentication Technology Next Generation) se například řeší, jak využít OpenID, OAuth nebo SAML pro autentizaci v běžných internetových protokolech používajících standardy GSS a SASL. Nemusí tak být úplně nesmyslná představa, že jednou bude možné se pomocí OpenID přihlašovat i do LDAPu, IMAPu a dalších. Třeba to nebude trvat dlouho, nechme se překvapit.
Jaromír Talíř
O jednom řešení, které sedí
Jak jsme se nedávno dozvěděli z novin a televizí, naši mladí (čti nezletilí) lámou rekordy, snad i celoevropské, v pití alkoholu. Tyto informace nenechaly nečinnými zaměstnance společnosti dTest, kteří vyzkoušeli 12 českých eshopů věnujících se i prodeji alkoholických nápojů. Výsledek nepotěší a taky nepřekvapí: 10 z 12 online obchodů umožňuje prodej alkoholu osobám mladším 18 let. Zbývající dva z toho vyšly bez ztráty kytičky, a to proto, že mají propracovanou distribuci, na jejímž konci je fyzické ověření odběratele zboží při jejím předávání.
Co si z toho vzít? Alkohol je mezi mladými stále velkým fenoménem. Ten jak vidíme pomáhají svým způsobem posilovat i někteří provozovatelé elektronických obchodů. Dobrá zpráva je, že tu jsou ale i takoví, kteří se drží zákona. A kromě jednoho již aplikovaného řešení se nabízí doslova na míru ušitá služba umožňující vyžadovat při objednání některé, v tomto případě podstatné osobní údaje. Na jejich základě by potom bylo zájemci o alkohol povoleno nebo nepovoleno toto zboží získat.
Snad se časem najdou další a další příklady z praxe, které povedou po té správné cestě, ať už je zvolený způsob ověření věku jakýkoliv. Za jak dlouho se tak stane, kdo ví.
VS