Протокол OpenID, лежащий в основе «социальной авторизации», устарел. Качество работы более не устраивает администрацию Яндекса и потому с 10 августа его использование прекращается. На смену OpenID придет API Яндекс.Паспорт.
Администрация Яндекса предупредила пользователей о прекращении эксплуатация протокола OpenID и переходе на API Яндекс.Паспорт. Решение Яндекса обусловлено тем, что OpenID устарел. Работа протокола не устраивает администрацию Яндекса.
Изменение коснется исключительно авторизации пользователей на сторонних ресурсах. К аккаунтам Яндекса доступ останется неизменным: пользователи не утратят доступ к почте, диску, поиску и прочим сервисам.
“Пользователи поддержат переход с OpenID. Он действительно устарел и не предоставляет тех возможностей, столь нужных вебмастерам” – считает исследователь безопасности “Digital Security” Белов Сергей.
«Реализация OpenID может быть небезопасной, например, в Facebook в прошлом году найдена серьезная уязвимость как раз в OpenID – (https://www.facebook.com/BugBounty/posts/778897822124446). За счет внедрения внешних сущностей XML (реализация OpenID через XML) злоумышленник потенциально мог получить удаленное выполнение команд на серверах Facebook. Нашедший данную уязвимость получил $33500 в рамках программы BugBounty”.
«Есть и минусы закрытия поддержки OpenID. Многие проекты предоставляли пользователям вход как раз через Yandex OpenID и сейчас им необходимо удостовериться, что пользователи имеют доступ к ресурсу альтернативными способами. Но закрытие должно было случиться рано или поздно» – прокомментировал новость Белов Сергей.
Переход на API Яндекс.Паспорт для пользователей означает то, что они смогут авторизоваться на сторонних сайтах, только если на них поддержат новую схему и потому следует получить прямой доступ к аккаунтам до 10 августа. Для получения прямого доступа можно воспользоваться следующими рекомендациями:
– пройти дорегистрацию на стороннем интернет-портале
– восстановить пароль от аккаунта на стороннем ресурсе
– обратиться в техническую службу сайта.
