Подробнее об авторизации на сайте

Авторизация на нашем сайте - не требует регистрации: все что необходимо, это иметь аккаунт на одном из шести поддерживаемых сайтов. Другими словами, если у вас есть аккаунт ВКонтакте, Mail.ru или других популярных службах в Интернет, то вы уже обладаете аккаунтом и на нашем сайте. Для входа в свой личный кабинет - перейдите на страницу авторизации и выберите кнопку той службы, через которую вы хотите войти. Далее, начнется процесс авторизации на сайте-источнике.

Основное преимущество – для работы с нашим сайтом, вам не нужно проходить очередную процедуру регистрации: придумывать себе уникальный логин, изобретать пароль «не менее шести символов в котором должны быть и буквы и цифры», вводить трудно-разбираемые символы на картинках (защита от ботов) и тому подобное. Но если сама регистрация это трата пяти-десяти минут, то чего стоит лавинообразный эффект от подобных регистраций на половине существующих сайтов? На домашнем компьютере, эту проблему частично решает менеджер паролей, но это полумера. Если домашний компьютер недоступен или произошла переустановка системы – то вспомнить все логины/пароли на сотнях ресурсах обычно просто невозможно. Мы уверены, что будущее за OpenID-авторизацией, когда одна учетная запись, на любом ресурсе, будет являться ключом к личному пространству на любой сайт.

Первый резонный вопрос, который возникает - а насколько это безопасно? Чтобы понять, что данная схема намного безопаснее традиционных подходов, ниже дано пошаговое описание процесса авторизации:

1. Вы нажимаете кнопку на сайте-потребителе (который просит авторизацию, в данном случае наш сайт)
2. На сайт-провайдер (владелец ваших учетных записей) передается запрос об авторизации
3. Сайт-провайдер выдает свою форму авторизации (в отдельном окне или фрейме)
4. Вы вводите свои учетные данные в форму сайта-провайдера
5. Сайт-провайдер проверяет введенные данные, используя свои стандартные функции авторизации
6. После проверки учетных данных, на сайт-потребитель отправляется ответ

Если авторизация на сайте-провайдере прошла с ошибкой, сайт-провайдер формирует соответствующий ошибочный код и сайт-потребитель сообщает об этом, останавливая процесс авторизации. Если авторизация прошла успешно, ответ состоит из UID-а пользователя (уникальный идентификатор в базе сайта-провайдера) и, иногда, дополнительных полей, не имеющих секретной информации и доступных публично. Что касается дополнительных полей, то обычно, сайт провайдер, перед тем как отправить данные - уведомляет пользователя о том, какие именно данные будут отправлены, позволяя отказаться и самостоятельно определить что отправлять разрешено, а что нет.

Самая важная деталь в этой схеме - ваш логин и пароль, не вводится нигде, кроме всплывающего окна сайта-провайдера! Наш скрипт определяет успешность авторизации - исключительно по ответу сайта-провайдера. Другими словами, если вы авторизуетесь через аккаунт на Яндексе, то в случае успешной авторизации, API Яндеска вернет запрашивающей стороне (то есть нашему скрипту) UID пользователя с подтверждением что авторизация прошла успешно. Так как у нас нет никаких причин не доверять Яндексу (или Мэйл.ру или Гуглу) то при ответе от сайта-провайдера "все окей!", авторизация считается успешной.

Даже если предположить худшую для нас ситуацию, такую как взлом нашей базы данных - никакой полезной информации, кроме UID-ов пользователей в разных службах, хакеры не получат. По той простой причине, что мы не храним паролей пользователей. Пароли – недоступны ни нам, ни кому-либо другому кроме сайта провайдера! Ни один сайт-провайдер не станет предоставлять API для внешней авторизации и при этом… сообщать пароли! UID-ы – не несут никакой пользы, с их помощью нельзя авторизоваться или инициировать процедуру смены пароля.

Таким образом, схема авторизации которую мы используем на своем сайте не просто безопасна, она гораздо безопаснее авторизации на других ресурсах. Почему? Большинство сетевых сообществ – построено на так называемых «движках». А подавляющее число таких движков написаны на PHP и имеют открытый код. Хакер, который поставил себе целью взломать какой-либо ресурс, имеет возможность детально изучать исходный код в поисках уязвимостей, которая позволит разместить зловредный код, с помощью которого пароль или будет перехвачен или отправлен (совершенно незаметно для пользователя) на email взломщика. Такие ситуации не редкость, так как популярные движки – это огромные проекты с большим объемом кода, и множеством сторонних плагинов. Такая открытость кода – не идет ни в какое сравнение с работой служб авторизации таких крупных компаний как Google или Mail.ru, которые никак не документированы и постоянно улучшаются квалифицированными специалистами по сетевой безопасности.

Единственная возможность получить пароль пользователя – это имитировать работу внешней авторизации, используя дизайн схожий с сайтом-провайдером. Чтобы избежать этой, довольно старой ловушки – нужно всегда внимательно смотреть на адресную строку окна, в котором вы вводите данные. Нужно понимать, что несмотря на то, что технически схема авторизации абсолютно безопасна и надежна, она, как и многие технические решения – бессильна перед человеческим фактором. Поэтому, если репутация сайта вам неизвестна – будьте внимательны при такой авторизации: быть может сайт не использует внешнюю авторизацию, а лишь имитирует ее похожим дизайном.

Конечно, последнего абзаца достаточно чтобы не искушать судьбу и покинуть наш сайт. Мы можем вас уверить что разработали наш сервис не для сбора чужих паролей и используем внешнюю авторизацию – как наиболее удобную и надежную для пользователей. Доверять нам или нет, это исключительно ваш выбор. Наша задача – предупредить вас о возможных злоупотреблениях такой схемы авторизации.

Также, рекомендуем прочитать вам статьи из справочных служб провайдеров и обзорную статью об OpenID в Википедии:

• Яндекс - http://help.yandex.ru/openid/?id=1112021
• Мэйл - http://openid.mail.ru/
• Гугл - https://www.google.com/support/accounts/bin/answer.py?answer=112802
• OpenID - http://ru.wikipedia.org/wiki/OpenID