Authentification ouverte ou fermée?
Sur Egomedium, Sébastien se demande s’il vaut mieux pour un service web (et en particulier pour Ziki), s’interconnecter à un système d’authentification ouvert tel qu’OpenID, ou bien s’il vaut mieux s’appuyer sur les systèmes propriétaires de Yahoo, Microsoft ou Google, en particulier parce que la norme OpenID n’est pas encore stable, que rien ne garanti la pérennité des fournisseurs OpenID qui débutent actuellement, et qu’il y a des bugs dans certaines implémentations d’OpenID.
A titre purement personnel, je trouverais 100 fois plus intelligent que Yahoo, Microsoft et Google se rallient tous à une norme ouverte telle qu’OpenID, quitte à être force de proposition sur le sujet et apporter leur savoir faire pour en faire une norme stable et fiable, plutot que de continuer à se battre entre eux pour essayer d’imposer leur propre norme. Ce combat dure depuis un bout de temps, il n’y a toujours pas de vainqueur, mais un grand perdant: l’internaute qui est obligé de maintenir tout un tas de profile un peu partout.
En effet, si les trois grands ajoutent la passerelle nécessaire pour utiliser OpenID au dessus de leur propre système d’authentification proprietaire, cela permettra à des milliers de sites d’envisager sereinement l’utilisation d’un systeme externe “universel” d’authentification, sans avoir à passer un temps important sur l’integration des apis propre à chaque système… C’est d’ailleurs probablement ce qui explique l’engouement pour OpenID, même si cette norme n’est pas encore stable. Il vaux mieux capitaliser sur des systèmes qui promettent à terme l’ouverture au plus grand nombre, que de passer du temps sur des systèmes propriétaires. Car il ne faut pas se leurrer, à partir du moment où l’on proposerait l’authentification via le systeme de l’un des 3 grands, il faudrait fournir les autres, puisque pour un service web, il n’y a aucun interet à privilégier l’un des trois grands, sauf accords spécifiques ;-) . Ne proposer qu’une des trois authentifications revient à se priver d’internautes qui pourraient avoir des griefs contre l’authentification choisie non?
D’ailleurs certains ne s’y sont pas trompé: AOL a convertit tout ses comptes utilisateurs en identifiant OpenID, et Microsoft a annoncé qu’il supportera OpenID. Si Microsoft va jusqu’au bout de ses promesses, alors je vois mal comment Yahoo et Google pourraient rester sur leurs positions et ne pas faire de même non?
Maintenant, il est évident qu’il y a des problèmes à la mise en place: qui n’a jamais connu de bugs lorsqu’il met en place quelque chose de nouveau? Mais est ce que cela veut dire qu’il faut abandonner une excellente idée parce qu’il y a des ratés au demarrage? Surement pas, sinon ni Google, ni Yahoo, ni Microsoft n’existeraient aujourd’hui ;-) .
Est ce que parce que la norme évolue, cela veut dire que c’est une mauvaise norme et qu’il faut l’abandonner? Surement pas, sinon cela reviendrait a dire qu’il ne faut jamais apprendre de ses erreurs, et qu’il faut arrêter d’évoluer! C’est pas très réaliste non? Et comme c’est en mettant en application une norme qu’on peut se rendre compte de ses lacunes et/ou défaut, autant l’utiliser des à présent, pour la faire ensuite évoluer dans le bon sens via un feedback constructif non?
Maintenant d’un point de vue officiel Ziki, et pour répondre à ta question Sébastien, intégrer des systèmes fermés d’authentification n’a pas été discuté en interne. Donc peut être qu’un jour nous prendrons le temps de le faire, ou peut-être pas, mais moi, en interne, je vais militer pour le “attendons quelques mois que la mayonnaise prennent, et vous verrez que Yahoo et Google rejoindrons Microsoft et ils supporterons tous OpenID” ;-)