L’iden­tité avec Mozilla

Pour l’échange entre le serveur de mail et le navigateur, je ne te comprends pas. J’avais compris que le navigateur présentait sa clef publique, le serveur mail la signait et renvoyait la signature. Tel que tu me le dos le navigateur envoie sa clef publique et le serveur de mail la stocke pour la présenter plus tard à qui la demande. Les deux me vont, mais les deux imposent un protocole à gérer, avec des acceptations, des refus, des points d’entrées, etc. Tout ceci n’est pas et ne peut pas être géré par WebFinger qui ne s’occupe que de la découverte et éventuellement de la présentation d’une clef publique par le serveur de mail.

Bref, il faut faire plus et c’est une des parties complexes. Qu’elle ne soit pas spécifiée est gênant. Et non, ce ne peut pas être simplement délégué à une fonction js de callback vu que c’est purement de l’initialisation, ça ne fait pas partie du workflow géré dans la session entre le navigateur et le site consommateur.

Idem, que la révocation soit laissée à plus tard pour moi c’est assez étrange vu qu’on touche au coeur de la validation. Si la proposition de Mozilla se contente de définir une API navigateur sans définir comment gérer la partie réellement importante, je ne lui donne même pas 50 centimes. J’espère que c’est en cours de réflexion.

Sur la simplicité non, ce n’est même pas plus simple pour l’utilisateur. Tu me dis qu’il faudra créer un openid mais là il faudra initialiser l’association entre le serveur mail et le navigateur, pour cela il faudra s’authentifier quelque part avec une procédure très similaire à une création de compte. Il y a même toutes les chances pour que le serveur email ne gère pas le mécanisme et qu’il faille passer par le tiers Mozilla. Là il faudra bel et bien s’enregistrer, passer par une validation mail classique, bref : créer un compte. Sauf qu’en plus il faudra le refaire pour chaque navigateur.

Bref, tu demandes n’importe quelle adresse existante, à condition de pouvoir créer un compte sur un intermédiaire tiers. On n’a pas réellement d’avantage par rapport à OpenID là. OpenID tu as déjà un identifiant si tu es sur Google, Yahoo, MSN, Orange, Blogger, etc. J’ai beaucoup moins de chances d’avoir à créer un OpenID que d’avoir à créer mon compte sur le tiers de confiance Mozilla.