Протокол OpenID, лежащий в основе «социальной авторизации», устарел. Качество работы более не устраивает администрацию Яндекса и потому с 10 августа его использование прекращается. На смену OpenID придет API Яндекс.Паспорт.
Администрация Яндекса предупредила пользователей о прекращении эксплуатация протокола OpenID и переходе на API Яндекс.Паспорт. Решение Яндекса обусловлено тем, что OpenID устарел. Работа протокола не устраивает администрацию Яндекса.
Изменение коснется исключительно авторизации пользователей на сторонних ресурсах. К аккаунтам Яндекса доступ останется неизменным: пользователи не утратят доступ к почте, диску, поиску и прочим сервисам.
«Пользователи поддержат переход с OpenID. Он действительно устарел и не предоставляет тех возможностей, столь нужных вебмастерам» – считает исследователь безопасности «Digital Security» Белов Сергей.
«Реализация OpenID может быть небезопасной, например, в Facebook в прошлом году найдена серьезная уязвимость как раз в OpenID — (https://www.facebook.com/BugBounty/posts/778897822124446). За счет внедрения внешних сущностей XML (реализация OpenID через XML) злоумышленник потенциально мог получить удаленное выполнение команд на серверах Facebook. Нашедший данную уязвимость получил $33500 в рамках программы BugBounty».
«Есть и минусы закрытия поддержки OpenID. Многие проекты предоставляли пользователям вход как раз через Yandex OpenID и сейчас им необходимо удостовериться, что пользователи имеют доступ к ресурсу альтернативными способами. Но закрытие должно было случиться рано или поздно» — прокомментировал новость Белов Сергей.
Переход на API Яндекс.Паспорт для пользователей означает то, что они смогут авторизоваться на сторонних сайтах, только если на них поддержат новую схему и потому следует получить прямой доступ к аккаунтам до 10 августа. Для получения прямого доступа можно воспользоваться следующими рекомендациями:
— пройти дорегистрацию на стороннем интернет-портале
— восстановить пароль от аккаунта на стороннем ресурсе
— обратиться в техническую службу сайта.