Jelikož jsem v předchozích dvou blogpostech o OpenID a WHOISu nalákal čtenáře na IETF 83, sluší se přinést nějaký report o tom, jak tato konference splnila očekávání. Dá se říct, že více než dostatečně.
Jak už je na IETF zvykem, je neděle věnovaná tutoriálům. Mezi ně byl trochu narychlo zařazen i tříhodinový tutoriál na OpenID Connect. To ještě více umocnilo fakt, že tato konference byla problémům digitálních identit věnovaná víc než jsem sám čekal. V zajímavé souhrnné prezentaci bylo zmíněno i probíhající vzájemné testování existujících implementací. Zájemcům o OpenID Connect bych určitě doporučil blogy jeho autorů, zejména články OpenID Connect in a nutshell a Designing a Single Sign-on system using OAuth 2.0. A pokud někdo stále nerozumí rozdílům mezi OpenID a OAuth, existuje i Dummy’s guide. Na závěr byl prezentován i projekt AccountChooser jako nástroj pro poskytovatele služeb, kteří chtějí implementovat jednotné přihlášení napříč technologiemi. Jak udělat správně uživatelské prostředí na straně poskytovatele služeb je zjevně oříšek a nikdo není spokojen s tím co se nazývá NASCAR UI – desítky barevných tlačítek s různými poskytovateli, mezi kterými si uživatel musí nalézt toho svého.
Z pondělních pracovních skupin zaujala NETMOD, jejíž cíl je vydefinovat univerzální datové modely pro vzdálenou konfiguraci různých prvků pomocí protokolu NETCONF. Na datovém modelu pro konfiguraci routingu totiž pracuje Láďa Lhotka z našich laboratoří. Odpolední technické „plenary“ začalo připomenutím druhého dne IPv6, na který se připravujeme i my. Potom už byly hlavními tématy TLS, problémy certifikačních autorit a zabezpečení webu obecně, které se lehce vyhrotilo při kritice tvůrců prohlížečů spočívající v tvrzení, že napadené nebo pochybné certifikační autority neodstraňují z prohlížečů flexibilně.
Avizovaná panelová diskuze o OpenID a OAuth pořádaná organizací ISOC v úterý před polednem byla pro auditorium, ve kterém seděli zástupci různých (číselných i doménových) registrů, spíše seznamovací. Její obsah nejspíš jen vyvolal v posluchačích otázky, které jsme si my položili již dříve a odpověděli na ně v podobě služby MojeID. V navazující pracovní skupině KITTEN, o které jsem se zmiňoval dříve v souvislosti s použití OpenID pro zabezpečení dalších internetových protokolů, se pouze probral stav existujících dokumentů bez nějakého zásadního posunu. To na WEIRDS se očekávala bouřlivá diskuze o podobě nového WHOIS protokolu. Překvapivě se ozvali pouze jednotlivci, kteří mají obavy o zbytečně vynaložené úsilí. Navržený „charter“ pro připravovanou pracovní skupinu tedy bude poslán ke schválení příslušným orgánům IETF. V podvečer ještě zasedla pracovní skupina DNSEXT. Na ní Ondra Surý z našich laboratoří prezentoval navrhovanou úpravu protokolu IXFR. Tato pracovní skupina se pravděpodobně setkala naposledy; její odsouhlasené rozpuštění již čeká pouze na administrativní proceduru.
Středeční program nabídl mimo jiné pracovní skupinu TLS. Ta probírala rozšíření mechanismů pro získání certifikátů při navazování TLS spojení, např. z DNS, jak bylo schváleno v rámci pracovní skupiny DANE. Tato pracovní skupina již všechny svoje dokumenty dokončila a jsou v procesu schvalování, takže pro ni nebyl důvod se tentokrát scházet.
A opět ty identity. Na čtvrteční ráno byl naplánován BOF týkající se protokolu SCIM (Simple Cloud Identity Management). Velcí poskytovatelé cloudových služeb by si rádi standardním způsobem synchronizovali data o uživatelích. Navrhli tedy protokol, který má standardizovány operace pro založení, zobrazení, změnu a zrušení (CRUD) vzdáleného kontaktu spolu s univerzální datovou strukturou v XML a JSONu. Jestli vám to připomíná EPP, které používáme v našem doménovém registru, tak mně také. To jen ukazuje, že staré nápady jsou neustále recyklovány a možná není daleko doba, kdy místo EPP protokolu budeme také používat nějaký REST protokol nad HTTP. Následovala druhá panelová diskuze týkající se OpenID, OAuth a tentokrát i BrowserID. Je více než zřejmé, že BrowserID nemůže OpenID aktuálně plnohodnotně nahradit. Pracovní skupina OAUTH poté řešila hlavně tzv.“rechartering“, tzn. změnu svých cílů. Pro OpenID Connect bude důležité, jestli si pracovní skupina vezme za své některé osiřelé specifikace, na kterých je závislý jako např. Simple Web Discovery. Proti tomu se zvedl částečný odpor, neboť se opět jedná o alternativní přístup k něčemu, na co již existují v IETF jiné standardy host-meta a webfinger.
Závěrečnou tečku za konferencí udělala v pátek pracovní skupina DNSOP. Hlavním tématem bylo TTL a jeho snižování nebo zvyšování. Inženýři z Verisign navrhují jeho výrazné zvýšení jako ochranný mechanismu proti případné nedostupnosti autoritativních serverů. Jejich japonští kolegové naopak doporučují výrazné snížení jako ochranný mechanismus z důvodu rychlého zotavení z případné chyby např. v souvislosti s technologií DNSSEC. K tomu se samozřejmě ještě přidává zákaznický pohled, neboť uživatelé samozřejmě chtějí vidět svoje požadované změny okamžitě. Jednoznačná odpověď asi neexistuje.
Jaromír Talíř
Třeba nás čtou i na školách (ne snad povinně) – AKTUALIZOVÁNO
V rámci našich osvětových aktivit se snažíme objíždět české střední školy s prezentacemi o internetu a doménách, o DNS a DNSSEC, o mojeID, IDN nebo třeba IPv6. Před několika lety jsme v této souvislosti začali spolupracovat i s Jednotou školskych informatiků, z čehož se po čase zrodila možnost uspořádat takové školení i pro samotné kantory (dostali jsme na něj i akreditaci od MŠMT). První a druhý běh tohoto kurzu se uskutečnil před dvěma lety a na obou dohromady se sešlo ke 40 zájemců, tedy poměrně dost. A tak jsme ho letos oprášili a ve spolupráci s JSI vypsali jeho pokračování. Přeci jen, za dva roky se toho v mnohém dost změnilo.
Jednodenní vzdělávací (čti informativní) kurz pro učitele IT předmětů na gymnáziích, středních a vyšších odborných školách se uskuteční v naší akademii 14. června. Pásmo se bude skládat z přednášek o tom, jak funguje internet, jak je to s doménami a s přechodem na IPv6, co je DNS, DNSSEC, IDN nebo mojeID. Chybět nebude ani část o projektech, které v CZ.NIC pro školy a jejich návštěvníky připravujeme, nebo diskuse na závěr o tom, co by od nás pedagogové uvítali.
Tento kurz je pro pedagogy, a to zdarma. Doporučujeme proto přihlásit se co nejdříve, aby bylo ještě místo. V případě, že se utrhne lavina zájmu a my budeme zahlceni přihláškami (na to se v duchu těšíme :)), vypíšeme samozřejmě náhradní termín. Jestli nás tedy čtete i na školách a tato nabídka vám přijde zajímavá, neváhejte a přihlaste se. Čas máte do 14. května včetně. Pokud máte kolem sebe kolegy, které by to všechno kolem internetu mohlo zajímat, dejte jim vědět nebo je rovnou přihlaste.
A pro vás ostatním, kterým jsou už školní lavice malé. Měli byste o takové jednodenní posezení zájem? Dejte nám vědět v komentářích, jestli se máme myšlence zařadit takový kurz do naší nabídky dále věnovat. Přeci jen, do akademie jsou zvyklí chodit spíše odborníci s praxí. V tomto případě jde jednoznačně o kurz méně odborný.
Aktualizováno 12. dubna 2012:
Protože se tato nabídka setkala s dobrou odezvou, otevřeli jsme ještě jeden běh tohoto kurzu; ten je od dnešního dne vypsaný na 31. května. Pokud mě ale dosud někdo nepředběhl, na 14. června jsou ještě dvě nebo tři místa volná. Zájem účastníků nás velice těší.
Vilém Sládek
UnoDNS – začátek konce jednotného internetu?
Také jste byli naštvaní, když vám některá webová služba odmítla přístup s tím, že nejste ze „správného“ geografického regionu? Takovýto pohled nepotěší asi nikoho…
Zkoušeli jste různé proxy či VPN a zjistili, že reálně se nedají používat, protože jsou pomalé? Nedávno se objevila nová služba UnoDNS, která o sobě tvrdí, že problémy s proxy či VPN vyřešila a že Hulu, Netflix a další streamované služby či kanály vám poběží bez problémů. Dokonce i recenze služby to potvrzují.
Je tu ale jeden háček. Musíte si změnit nastavení DNS a začít používat servery UnoDNS. Ty filtrují dotazy do DNS pro domény podporovaných služeb a mění odpovědi. Běžná odpověď pro www.netflix.com:
www.netflix.com is an alias for wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com.
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.185.102
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.186.229
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.187.142
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.188.229
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.184.243
wwwservice--frontend-373494752.eu-west-1.elb.amazonaws.com has address 176.34.185.50
A stejná odpověď při použití UnoDNS:
www.netflix.com is an alias for wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com.
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 107.21.96.127
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 50.19.99.64
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 107.20.232.200
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 50.19.103.125
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 107.20.137.117
wwwservice--frontend-313423742.us-east-1.elb.amazonaws.com has address 50.19.119.154
A právě tady je jádro možného problému. Co když nebudou filtrovány jen záznamy služeb pro streaming videa, ale i něco jiného? Ani bychom to nezjistili, protože kdo z nás si po několika týdnech vzpomene, že jsme změnili nastavení DNS kvůli poslední epizodě seriálu, kterou jsme chtěli vidět. Nejsme zde dokonce svědky konce doposud běžné praxe používání DNS našich ISP a začátku fragmentace na používání různých DNS poskytovaných někým jiným? Pokud ano, zřejmě nás čeká situace, kdy každý z nás uvidí „jiný Internet“ právě podle toho, jaké DNS servery používáme. Případně si budeme mezi těmito „různými Internety“ přepínat podle uvážení. Žádná lákavá představa ani v jednom případě …
PT
FREDovo dopoledne na ICANN 43
V souvislosti s posledním setkáním ICANN bychom chtěli ještě v krátkosti zmínit události, které v Kostarice potkaly náš registrační systém FRED.
Správci národních domén jsou v rámci ICANN seskupeni v organizaci ccNSO, a to proto, aby při prosazování svých zájmů mluvili pokud možno jedním hlasem. První den celé konference má tradičně tato organizace svůj „TechDay„, na kterém reprezentanti jednotlivých registrů ukazují produkty ze svých „kuchyní“; tady bychom mohli s trochou nadsázky říct, že první polovina dne patřila FREDovi. Shodou okolností totiž po sobě prezentovali technická řešení svých registrů nejprve Estonci, potom Kostaričani a nakonec zástupci Faerských ostrovů. Příjemné pro nás bylo zjištění, že nám FRED neudělal ani v jednom případě ostudu.
V průběhu týdne jsem měl ještě možnost prodiskutovat náš systém s ředitelem registru Rwandy. FREDa mají nasazeného v testovacím provozu a čekají na převedení domény .rw do jejich správy. Kolegové ze zmíněných registrů udělali FREDovi skutečně dobrou reklamu. Krátce po skončení konference se mi totiž ozval správce domény ostrovů Komoro (.km), že zvažují využití systému pro jejich technické řešení.
I s ohledem na tyto události zvažujeme uspořádat v rámci červnového setkání ICANN v Praze specializovaný workshop, kde by bylo možné seznámit potenciální zájemce o tento náš produkt podrobněji. To by FREDovi mohlo pomoci rozšířit se i do dalších destinací, které na automatizovanou správu domény teprve přecházejí.
Jaromír Talíř
333333 podepsaných domén a velká sázka o malé pivo
Nedávno překročil počet podepsaných domén v .cz magickou hranici 333 333, což je rozhodně důvod ke spokojenosti. Naše národní doména si v penetraci tohoto zabezpečení drží stále první příčku na světě. Skvělé je, že k těmto počtům nepřispívají pouze doménoví registrátoři, kteří automaticky podepisují všechny domény s jejich nameservery, ale že se připojují i firemní koncoví držitelé. Podívejme se třeba na média – iHNed.cz, Lidovky.cz, všechny servery Internet Info. Důležitý je i přístup státní správy a v tomto mi například naposledy udělal radost Český telekomunikační úřad, který nedávno podepsal obě své domény. A rozhodně je důležité, že začali validovat i velcí telekomunikační operátoři.
Nicméně naše prvenství už není tak suverénní jako dříve. Velmi silně se probudila země, která jako první DNSSEC implementovala, tedy Švédsko. Tamní registr velmi tlačí na své registrátory a ti už dokázali podepsat zhruba 180 tisíc domén. V poslední době to maličko spadlo, protože jeden registrátor migruje na novou technickou platformu, ale i tak mají téměř 150 tisíc.
Povzbuzen tímto úspěchem se mi nedávno ozval ředitel .SE, Dany Aerts (mimochodem ač spravuje švédskou doménu, je to původem Nizozemec) a navrhl mi, že se vsadíme o to, kdo bude mít do konce roku vyšší procento podepsaných domén. Kdo prohraje platí tomu druhému národní pivo. Pravda, nejsem velkým fanouškem švédských piv, ale na druhou stranu jsem soutěživý človek, takže jsem sázku přijal :-). Čili sázka je na světě, a tak se na vás správce, registrátory a všechny, co mohou něco udělat, obracím s prosbou: pojďte zavést DNSSEC a pomozte mi toto holandského Švéda pokořit!!! Kdo mi pomůže nejvíce, toho zvu na české pivo na oplátku zase já.
Ondřej Filip
Problém jménem DNSChanger a pár dobrých zpráv
Jak si možná vzpomenete, v únoru jsme na tomto blogu vydali článek informující o skutečnosti, že 8. března dojde k vypnutí sítě DNS serverů, využívaných trojským koněm s příznačným názvem DNSChanger. FBI, která momentálně tyto DNS servery provozuje, však mezitím dostala soudní příkaz k dalšímu prodloužení provozu těchto DNS serverů, tak, aby mělo co možná největší množství uživatelů kompromitovaných počítačů možnost tento zákeřný software odstranit. Nově stanovené datum je tedy 9. července 2012. Zde je pro technicky zdatnější uživatele video, které demonstruje, co DNSChanger v systému dělá.
Proč je tento trojský kůň tak nebezpečný? Po infikování počítače totiž změní DNS servery používané napadeným počítačem na své vlastní, které byly až do zásahu FBI ovládané tvůrci DNSChangeru. To znamená, že počítač oběti mohli například místo na adresu www.gmail.com přesměrovat na svůj vlastní server, kde pak mohli například získat přihlašovací údaje oběti. Lze předpokládat, že obětí těchto podvodů byli nejčastěji uživatelé internetového bankovnictví. Dále tento software stahuje do počítače další viry a trojské koně. Nejvíce zákeřná je však schopnost tohoto trojského koně změnit i nastavení některých routerů, používaných v domácnostech pro sdílení internetového připojení. Za tímto účelem zkouší známá defaultní jména a hesla pro různé routery. Pokud tedy máte na svém routeru defaultní jméno a heslo stačí jeden nakažený počítač, či návštěva někoho, kdo se s nakaženým počítačem do vaší sítě připojí a problém máte také. A je jedno, zda na svém PC používáte nejaktuálnější antivir, či jak obezřetně se na internetu chováte.
V současné době již nehrozí riziko přesměrování na podvodné servery. Avšak tento trojský kůň s velkou pravděpodobností indikuje další virovou nákazu vašeho počítače. Navíc, pokud dojde 9. července tohoto roku k definitivnímu vypnutí DNS serverů, které tento trojský kůň používá, přestane vám fungovat překlad doménových jmen na IP adresy. A nyní již další dobrá zpráva. Tento problém zaujal naše laboratoře a ty se rozhodly spustit českou verzi stránek, které umožňují detekovat, zda je váš počítač nakažen tímto nebezpečným trojským koněm. Proto neváhejte navštívit tuto stránku na adrese www.dns-ok.cz. Zde se dozvíte nejen zda je váš počítač, či router napaden, ale také, jakým způsobem se nejlépe této virové nákazy zbavit.
A perlička na konec. Pokud jste byli tímto virem napadeni a chcete pomoci FBI při vyšetřování, můžete se tímto formulářem přihlásit jako jedna z obětí.
Pavel Bašta
Co byste chtěli slyšet o IPv6? Na 6. 6. připravujeme „IPv6 only“ akci
V minulém roce jsme už touto dobou měli plné ruce práce s přípravou konference Internet a Technologie 11. Letos tomu je trochu jinak. Místo tradičního červnového setkání totiž plánujeme jednodenní akci výhradně zaměřenou na IPv6 a zcela logicky ji uspořádáme na světový start IPv6, tedy na 6. června 2012. Nebudeme v tom pořadatelství sami, chystáme ji společně s EURidem a NIXem.
Akce bude mít víceméně stejný formát, na který jste od nás zvyklí. Opět ji máme v plánu doplnit o nějaké workshopy, opět ji budeme streamovat (i když možná jen po šestce :-)), opět bychom rádi představili někoho ze světové komunity. Jisté je už i místo konání, kterým bude Ballingův sál Národní technické knihovny na šestce (čti v Praze Dejvicích). V plánu máme samozřejmě i nějaké novinky spojené s hlavním i doprovodným programem. Jejich odhalení má ale ještě svůj čas. Na co ale určitě není brzy, to je uložení této akce do vašich kalendářů!
Co je v tuto chvíli aktuální je program akce. Vytipovali jsme přednášející, na které se pomalu začínáme obracet. Říkali jsme si ale, že by bylo dobré znát názor internetové komunity na to, koho na akci pozvat a co nového se dozvědět; jaká přednáška a čí by vás zajímala, co byste na konferenci o šestce rádi viděli a slyšeli, případně třeba i vyzkoušeli. Budeme proto moc rádi, když se s námi v komentářích pod textem podělíte o své nápady a myšlenky. Předem za ně děkujeme.
A na závěr ještě něco málo k našim letošním akcím. Kdo jste už dopředu počítal s tradiční konferencí Internet a Technologie, určitě s ní počítejte dál. Máme ji v plánu na druhou půlku roku. Důvodem je doslova natřískaný červen, do něhož spadá nejen mezinárodní šestkový den, ale hlavně nedlouho poté nás čeká velice významná mezinárodní akce a to 44. ICANN meeting. Přijít se podívat na vybrané akce tohoto setkání můžete samozřejmě také.
Ondřej Filip
10 % webů je dostupných přes IPv6!
Jak jistě víte, pravidelně měříme rozšíření protokolu IPv6 v doméně .cz. V únoru jsme zaznamenali překročení důležité hranice – každý desátý webový server (tedy přesně každý web běžící na adrese ve tvaru www.<doména>.cz) má AAAA záznam a je tedy dostupný po IPv6. Při detailnějším pohledu by někomu mohlo přijít divné, že po nedávném ohlášení 900 000 domén v zóně .CZ stačí 89 561 domén na oněch 10 procent. Pro vysvětlení, my počítáme poměr u domén generovaných do zóny. Ten rozdíl tedy tvoří domény v ochranné lhůtě nebo ty, které nemají správný NSSET a pod.
K 10 procentům se blíží také počet mailových serverů s IPv6, což je další velice pozitivní zpráva. A vůbec nejlepší je situace v oblasti jmenných serverů; zde patrně velký kus práce odvedli naši registrátoři. Totiž přes 48 procent domén má alespoň jeden takový server dostupný po „šestce“ (pevně věřím, že už na konci března dojde k pokoření hranici 50 procent). Dopomoci k tomu můžete i vy. Stačí jen nasadit IPv6 ve vaší síti nebo na vašich serverech.
Kdo sleduje náš blog, ten ví, že téma IPv6 je v našem hledáčku dlouhodobě. Osvěty v této oblasti zatím rozhodně není moc. Krom našich školení, knihy a podobně připravujeme další akce. Ale o tom až příště….
Každopádně, IPv6 stoupá a to je vzhledem k docházení IPv4 adres moc dobře. Velmi by mohl pomoci plánovaný druhý světový den IPv6, který bude 6. června 2012. V tento den zapnou (tentokrát už nastálo) IPv6 největší světoví hráči jako Google, Facebook, Akamai, Microsoft Bing, Yahoo a mnozí další. Pevně věřím, že ani česká komunita nezůstane pozadu a aktivně se přidá. Rádi uslyšíme, třeba v komentáři pod článkem, jestli se také chystáte k tomuto dni připojit.
Ondřej Filip
Quo vadis WHOIS?
Jedním z témat proběhnuvšího zasedání organizace ICANN byly problémy související se službou WHOIS. Jedná se o službu, kterou nabízejí prakticky všechny doménové registry a která slouží ke zjišťování informací o zaregistrovaných doménách a jejich držitelích. Z pohledu veřejnosti je to prakticky jediná možnost jak tyto informace, často nutné pro řešení sporů nebo bezpečnostních incidentů, získat. V zásadě se téma WHOISu na zasedání probíralo ve dvou rovinách. První rovinnou byla validita dat v registru a druhou problémy vlastního přístupového protokolu definovaného podle RFC 3912.
ICANN v rámci svých pravomocí definuje pravidla pro fungování generických domén nejvyšší úrovně (gTLD) jako jsou .com, .org nebo .net a to včetně pravidel pro získávaní a zveřejňování údajů o držitelích v nich registrovaných poddomén. Kvalita těchto údajů je v registrech jednotlivých domén různá a obdobně se liší přístup k zacházení s těmito daty. ICANN proto na konci roku 2010 ustanovil skupinu nazvanou WHOIS review team, která měla situaci zanalyzovat. Výsledkem jejich práce je zpráva, která mimo jiné ICANN vyzývá, aby situaci řešil a zpřesnil validitu údajů o 50 % během 12 měsíců. Registry národních domén si pravidla co, kdy a jak zveřejňovat stanovují sami, což ale neznamená, že je nízká validita dat také netrápí. K vidění bylo několik prezentací, které nabízely různé cesty jak zajistit, aby data o držitelích domén byla validní. O cestě, kterou zvolilo Estonsko a která vychází z předávání bankovní informace o vlastníkovi účtu, z něhož se zaplatila doména, jsme již psali v souvislosti s naším registračním systémem FRED, který v Estonsku používají. Vlastní cestu prezentovalo také Turecko. U nás se snažíme jít cestou, že ověřeným kontaktům nabízíme něco navíc a to možnost vlastní správy údajů a sdíleného přihlašování v rámci služby mojeID.
Veřejnost má k těmto údajům přístup kromě obvyklých webových vyhledávacích stránek také pomocí stadardního protokolu podle RFC 3912. O tom, že tento protokol překročil hranice svých možností, se diskutuje již dlouho. Během podzimu loňského roku ale tato situace akcelerovala zejména díky aktivitě adresních registrů. Uvnitř ICANN na problematiku poukázala také zpráva č.51 výboru SSAC (Security and Stability Advisory Committee). Pěkný souhrn poskytla i prezentace z aktuálního setkání. V čem je největší problém? Prakticky všichni se shodují na následujících třech bodech:
- stávající WHOIS protokol umožňuje přesun balíku dat ze serveru na klienta. Neexistuje žádný standardizovaný model pro přenášená data a každá implementace si to tedy dělá po svém.
- neexistuje žádná standardizovaná podpora pro různé jazyky. Protokol neumožňuje vyspecifikovat kódování předaných údajů
- neexistuje žádná možnost autentizace klientů s tím, že by se různým skupinám nabízela různá data
Vyřešení tohoto problému si na svá bedra naložilo IETF. Na první informativní schůzce (BOF) při posledním zasedání se ale strhla bouřlivá diskuze. Problém je, že doménový svět se již o změnu jednou pokusil. Pracovní skupina CRISP zhruba mezi roky 2003 a 2007 vygenerovala jako náhradu WHOISu protokol IRIS, který se ale vůbec neprosadil. Zástupci adresních registrů poměrně silně ventilovali svoje obavy, že kvůli doménám opět skončí tento pokus neúspěšně. Jestli se tyto dvě skupiny dohodnou na ustanovení společné pracovní skupiny se ukáže příští týden na IETF 83. Podle diskuze v mailové konferenci to spíš směřuje ke kompromisu. Jak by finální výsledek mohl vypadat napovídají existující prototypy adresních registrů (ARIN, RIPE,…). Bude se jednat zřejmě od REST službu postavenou na HTTP protokolu s definovaným adresním schématem (např. whoisserver/contact/id) a v odpovědi se bude vracet XML nebo JSON struktura s výsledkem. Ale jsme teprve na startu, takže nebudu předbíhat…
Jaromír Talíř
OpenID bude jedno z významných témat blížícího se IETF 83
Ve svém nedávném blogpostu o identitách jsem zmiňoval finišující proces standardizace protokolu OAuth 2.0 směřující do podoby RFC a novou iniciativu v podobě protokolu OpenID Connect. Tyto technologie a digitální identity vůbec budou zdá se jedním z důležitých témat blížícího se setkání IETF 83. Jako první se iniciativy chopil ISOC, který na příští úterý ohlásil panelovou diskuzi na téma Authentication and Authorization: Next steps for OpenID and OAuth. Vzápětí se na čtvrteční program konference dostala sada prezentací následovaná otevřenou diskuzí na téma Beyond HTTP Authentication: OAuth, OpenID, and BrowserID. Na oboje jsem velice zvědavý, stejně tak na výsledek, které obě akce přinesou.
Na IETF se tyto technologie objevují ještě v jednom ne úplně nevýznamném kontextu. V pracovní skupině KITTEN (Common Authentication Technology Next Generation) se například řeší, jak využít OpenID, OAuth nebo SAML pro autentizaci v běžných internetových protokolech používajících standardy GSS a SASL. Nemusí tak být úplně nesmyslná představa, že jednou bude možné se pomocí OpenID přihlašovat i do LDAPu, IMAPu a dalších. Třeba to nebude trvat dlouho, nechme se překvapit.
Jaromír Talíř