Google si accinge a rivedere i suoi piani per l’implementazione del protcollo OpenID. La decisione sembra sia stata presa in seguito alle critiche ricevute nei giorni scorsi dal colosso di Mountain View (ved. questa notizia). Eric Sachs, Security Team di Google, ha annunciato che la società non richiederà più ai siti web interessati ad abbracciare il meccanismo di login OpenID di registrarsi sul portale Google.
Oltre a porsi come “fornitore” OpenID, Google vorrebbe rendere i propri servizi pienamente compatibili con il protocollo ma, come spiega Sachs, vi sarebbero al momento numerosi aspetti tecnici e di usabilità da soppesare in modo adeguato.
OpenID poggia su due “entità”: i fornitori (“provider”) OpenID ed i servizi che accettano questo tipo di meccanismo come sistema di registrazione e login. L’ipotetico sito che offre un servizio, mostra un modulo di login formato da un unico campo all’interno del quale l’utente dovrà inserire il suo identificativo personale OpenID. Tale identificativo dovrà essere stato precedentemente registrato ed attivato presso un fornitore OpenID.
Nella specifica OpenID 1.0, il sito che fornisce il servizio richiede – utilizzando un URL HTTP – la verifica dell’identità dell’utente che sta tentando il login. Con OpenID 2.0, il sito va alla ricerca dell’URL del “provider” in grado di attestare l’identità dell’utente richiedendo il documento XRDS.
Il metodo di autenticazione dell’utente può variare: solitamente, però, il provider OpenID richiede all’utente una password quindi se il sito che ospita il servizio sia o meno autorizzato a ricevere credenziali di accesso e dati relativi all’identità.
Nel caso in cui l’utente risponda affermativamente alla trasmissione dei dati di login, il sito web che propone il servizio al quale l’utente sta tentando di accedere si preoccupa quindi di verificare che le informazioni di autenticazione provengano realmente dal provider OpenID indicato.