■2005-05-30
* [メモ] FOAF認証、OpenID
さて、ねねさんと直接やりとりをして、食い違いが解消しましたので、いくつかまとめを。
まず確認したように、FOAFで階層を辿ることが実際上無理ということ。 いやあ、「友達100人できるかな」なんて想像もしてませんでした。せいぜい1ノード5,6人で深さ3ぐらいで、友達の友達はやっぱり同じ友達だった、って感じでそれほどFOAFファイルの取得をするこはないだろうとか思ってたんですよ(←私の貧困な人間関係観が反映されております)。それにもちろんFOAFツリー構造のキャッシュと、mbox/FOAF URLペアのキャッシュを使うことを前提にしていましたしね(あ、例えば100台ぐらいサーバを用意してバックで一斉にFOAF検索させるとかすれば速度の問題は解消……とかしょうもないことを今思いつきました)。
それから重要なのが、現状のOpenIDは認証として完結しないということ。OpenIDは「今日コメントしたボブと名乗る人物は、昨日コメントしたボブと同じURLを管理下におく誰かです」ということしかわからないわけです(参考)。このボブと名乗る人物がbob@example.comを所有しているかどうかはわからない。ということで、追加的なルールが必要になると。
http://family.example.com/ をpapa、mama、bokuで共有しているとすると、認証対象のURLをhttp://family.example.com/#papa とかで入れてもらって、そういうURLで認証要求が来た場合には、OpenID Serverはpapaしか認証せずmama、bokuは認証しない、という仕様を追加してもらえばどうでしょうか(コメント欄より一部URLを変更)
ということについては、追々OpenIDコミュニティに提案してももよいのかもしれませんが、もうちょっと煮詰まってからかなあ。papa, mamaを識別する"本当の"IDがmboxと紐付けされない限り、mboxを利用するFOAF認証に利用できないですし。 それから、個々人が設置するOpenIDの認証サーバは原則として全て「オレオレ」なので、OpenID(あるいはそれに類する認証方法)を使う場合に、どの程度の信頼性をFOAF認証に期待するのかを考えないといけないですよね。
* [メモ] FOAF認証、OpenID その続き
コメント欄からさらに。
OpenIDサーバ自体が、ちゃんと1ユーザ1URLで認証すれば、(http://family.example.com/#papaでは、papaは認証するがmamaは認証しない) 可能かなと思うんですが。
kawaiさんも書かれている通り、#以下が何であろうともURLは同じものなので、ちょっと問題あるのかなあと思いました。で、それとは別に、何でmboxと紐づけてないとダメかと私が考えているかについてですが。
実際のところ、ねねさんもおっしゃる通りmboxと紐付けられてなくても、「1ユーザ1URL」の原則が徹底されていれば動作上、問題ないでしょう。 じゃあ何を問題にしているかというと、OpenIDが”あるURL”を、”あるログインしている人”と結びつけるとして、ではそのログインしている人が実際にログインする際に使うIDは何か、ということです。もしかしたらそこでは、実際のIDとして連番数字を使っているかもしれません。そうすると、makamaka[at]donzoko.netを持っている私は、しかしID:0001でログインしていると。このとき、私がmailto:makamaka[at]donzoko.netというmboxかどうかは、OpenIDに問い合わせてもわかりません。だからfoaf:Personのmbox値と、ID URLの一対一関係がどこか(たぶんFOAFファイル)に記述されていなければならないわけです。これは管理コストを増やすことになるのではないかと。これが私の気にしている点です。
OpenID の「評判」サーバを作ることになるんでしょうか…(略)OpenID では、どういう方針で承認をコントロールするか
OpenIDはいずれ何らかの方策をとるのかもしれませんが、FOAF認証サーバがOpenID(やそれに類するもの)を利用していく場合にはやはり、個々のIDサーバに対するtrustのレベルを設定していくことになるのではないかなあと、感じています。結局、OpenIDそれ自体は全く信頼できないシステムなわけで、本当に信頼できるものをつくるにはPGPみたいなものを利用しないとならないのではないでしょうか。それでPGPのアナロジーとして、FOAF認証サーバも個々のIDサーバにtrustの重み付けをできるようにしてみてはどうかなと。FOAF認証サーバ自体が有する認証システムは"trust ultimately"。Typekeyのようにmailアドレスが実idであり(mbox値も返してくれる)システムはかなり信頼できるので"trust fully"。個々のOpenIDサーバなどは"trust marginally"で、他のFOAFで複数信頼されてないとダメ、とか。 ……すいません適当なこと言ってますので聞き流してください。
* [メモ] こっちは全然関係ない後で読むためメモ
・戦後民主主義者の靖国参拝 (Demilog経由で「政教分離の必要性って判らない人が多いのだろうか」ってあるけど、あれだけいたれりつくせりの説明を受けてなお理解できないってのはどんなもんなのかしら。)