Skip to content bgp dns droit email enjeux fai infra ssl email github rss

Posts

• 20 November / ieufi / droit : Internet et le droit / Olivier Iteanu - 20 novembre 2014 @ Institut Mines-Télécom / Paris - Read the postThis is a Standard Post
• 23 May / ieufi / BGP : BGP / Sarah Nataf - 23 mai 2014 @ Institut Mines-Télécom / Paris - Read the postThis is a Standard Post
• 11 April / ieufi / FAI
  Qu'est ce qu'un FAI ?

Bruno Spiquel

11 avril 2014 @ Institut Mines-Télécom / Paris
Read the postThis is a Standard Post

• 07 February / ieufi / Email
  L'email

Benjamin Sonntag

7 février 2014 @ Institut Mines-Télécom / Paris
Read the postThis is a Standard Post

• 22 January / ieufi / Enjeux
  Création, partage et droit d'auteur

Philippe Aigrain

22 janvier 2014 @ Numa / Paris
Read the postThis is a Standard Post

• 22 January / ieufi / Enjeux
  Création, partage et droit d'auteur

Lionel Maurel

22 janvier 2014 @ Numa / Paris
Read the postThis is a Standard Post

• 08 November / ieufi / Enjeux
  Internet et ses enjeux

Benjamin Bayart

8 novembre 2013 @ Institut Mines-Télécom / Paris
Read the postThis is a Standard Post

• 25 October / ieufi / infra
  Les infrastructures physiques

Joël Mau

8 novembre 2013 @ Institut Mines-Télécom / Paris
Read the postThis is a Standard Post

• 09 September / ieufi / SSL
  SSL / TLS

Benjamin Sonntag

20 septembre 2013 @ La Cantine / Paris
Read the postThis is a Standard Post

• 09 September / ieufi / DNS
  DNS

Stéphane Bortzmeyer

9 septembre 2013 @ La Cantine / Paris
Read the postThis is a Standard Post
Il était une fois internet

Tout ce que vous avez toujours voulu savoir sur Internet

email github rss 

© 2013 / 2019 - Creative Commons BY:SA with datalove

Nederburg - Hugo Theme by Appernetic.

OAuth est un protocole libre qui permet d'autoriser un site web, un logiciel ou une application (dite « consommateur ») à utiliser l'API sécurisée d'un autre site web (dit « fournisseur ») pour le compte d'un utilisateur. OAuth n'est pas un protocole d'authentification, mais de « délégation d'autorisation ».

OAuth permet à l'utilisateur de donner, au site ou logiciel « consommateur », l'accès à ses informations personnelles qu'il a stockées sur le site « fournisseur » de service ou de données, ceci tout en protégeant le pseudonyme et le mot de passe des utilisateurs. Par exemple, un site de manipulation de vidéos pourra éditer les vidéos enregistrées sur Dailymotion d'un utilisateur des deux sites, à sa demande.

Le protocole est créé par Blaine Cook et Chris Messina (en) et sa partie principale, OAuth Core 1.0, est finalisée le 3 octobre 2007
...
rédiger un premier jet de proposition pour un protocole ouvert
...
Mode de fonctionnement
OAuth dans sa version 2.01 repose sur des échanges entre quatre acteurs. Le resource owner (utilisateur) est capable d’accorder l’accès à la ressource pour une application client. L’authorization server (serveur d’autorisation) occupe le rôle central au sein du protocole, il est chargé d’authentifier le resource owner et de délivrer son autorisation sous la forme d’un jeton appelé access token. Le resource server quant à lui correspond au serveur où sont stockées les ressources protégées 2.
...
Ce mécanisme 3 de va-et-vient avec l’authorization code et jeton d'accès a plusieurs avantages :

• il respecte une convention de type sécurité backend 4. La machine cliente est jugée peu sécurisée. En cas d'interception des requêtes sur cette dernière, l’authorization code ne permet pas de récupérer les ressources de l'utilisateur. L'échange du jeton d'accès se fait par un canal contrôlé par les deux services professionnels.
• oAuth permet ainsi aux développeurs, n'ayant pas de serveur avec certificat SSL proprement configuré, de faire appel à d'autres protocoles d'échange sécurisés que HTTPS pour l'échange du jeton d'accès.
• les jetons d'accès 5 (comme les JSON Web Token) peuvent être signés par le serveur d’autorisation. Ils peuvent également contenir une date de péremption.

Notes et références
1 « OAuth 2.0 — OAuth » [archive], sur oauth.net (consulté le 8 septembre 2020)
2 « Sécurisez l’accès à vos APIs avec OAuth2 » [archive], sur Nexworld, 12 juillet 2018 (consulté le 26 février 2020)
3 (en) Nilasini Thirunavukkarasu, « Id token Vs access token » [archive], sur Medium, 30 juin 2018 (consulté le 7 janvier 2021)
4 (en) « TeskaLabs Blog· Understanding the Importance and Value of Backend Security » [archive], sur TeskaLabs Blog (consulté le 7 janvier 2021)
5 (en) Dick Hardt dick.hardt@gmail.com, « The OAuth 2.0 Authorization Framework » [archive], sur tools.ietf.org (consulté le 7 janvier 2021)
Connu / https://tools.immae.eu/Shaarli/ind1ju?j4X-vw

Protocole, HTTP, interopérabilité, ça vous parle ? Et normes, spécifications, RFC, ça va toujours ? ... rendre accessibles ces notions fondamentales.

Protocoles
Le 21 mai 2019, soixante-neuf organisations, dont Framasoft, ont signé un appel https://www.laquadrature.net/2019/05/21/pour-linteroperabilite-des-geants-du-web-lettre-commune-de-45-organisations/ à ce que soit imposé, éventuellement par la loi, un minimum d’interopérabilité pour les gros acteurs commerciaux du Web.
...
tout l’Internet, repose sur des protocoles de communication ... L’interopérabilité est la capacité à communiquer de deux logiciels différents, issus d’équipes de développement différentes ... Seuls les protocoles ont besoin d’être communs ...

Babel
... L’Internet est un réseau à « permission facultative » ... Certains services sur l’Internet bénéficient d’une bonne interopérabilité, le courrier électronique, par exemple. D’autres sont au contraire composés d’un ensemble de silos fermés, ne communiquant pas entre eux. C’est par exemple le cas des messageries instantanées. Chaque application a son propre protocole, les personnes utilisant WhatsApp ne peuvent pas échanger avec celles utilisant Telegram, qui ne peuvent pas communiquer avec celles qui préfèrent Signal ou Riot. Alors que l’Internet était conçu pour faciliter la communication, ces silos enferment au contraire leurs utilisateurs et utilisatrices dans un espace clos.
La situation est la même pour les réseaux sociaux commerciaux comme Facebook
...
Un exemple d’un succès récent en termes d’adoption d’un nouveau protocole est donné par le fédivers. Ce terme, contraction de « fédération » et « univers » (et parfois écrit « fédiverse » par anglicisme) regroupe tous les serveurs qui échangent entre eux par le protocole ActivityPub, que l’appel des soixante-neuf organisations mentionne comme exemple. ActivityPub permet d’échanger des messages très divers. Les logiciels Mastodon et Pleroma se servent d’ActivityPub pour envoyer de courts textes, ce qu’on nomme du micro-blogging (ce que fait Twitter). PeerTube utilise ActivityPub pour permettre de voir les nouvelles vidéos et les commenter. WriteFreely fait de même avec les textes que ce logiciel de blog permet de rédiger et diffuser. Et, demain, Mobilizon utilisera ActivityPub pour les informations sur les événements qu’il permettra d’organiser. Il s’agit d’un nouvel exemple de la distinction entre protocole et logiciel. Bien que beaucoup de gens appellent le fédivers « Mastodon », c’est inexact. Mastodon n’est qu’un des logiciels qui permettent l’accès au fédivers.

Le terme d’ActivityPub n’est d’ailleurs pas idéal. Il y a en fait un ensemble de protocoles qui sont nécessaires pour communiquer au sein du fédivers. ActivityPub n’est que l’un d’entre eux, mais il a un peu donné son nom à l’ensemble.

Tous les logiciels de la mouvance des « réseaux sociaux décentralisés » n’utilisent pas ActivityPub. Par exemple, Diaspora ne s’en sert pas et n’est donc pas interopérable avec les autres.
...
L'appel réclame que l’interopérabilité soit imposée aux GAFA, ces grosses entreprises capitalistes qui sont en position dominante dans la communication. Tous sont des silos fermés. Aucun moyen de commenter une vidéo YouTube si on a un compte PeerTube, de suivre les messages sur Twitter ou Facebook si on est sur le fédivers. Ces GAFA ne changeront pas spontanément : il faudra les y forcer.
...
défendre les intérêts des utilisateurs et utilisatrices ... le W3C (World-Wide Web Consortium) est notamment responsable de la norme ActivityPub
...
Difficultés
... il existe beaucoup de moyens pour respecter la lettre d’un protocole tout en violant son esprit ... Jouer avec les normes est d’autant plus facile que certaines normes sont mal écrites, laissant trop de choses dans le vague (et c’est justement le cas d’ActivityPub)
...
Autres infos : le podcast de l’APRIL https://www.april.org/ a parlé de l’interopérabilité https://www.april.org/sites/default/files/decrypt1923.ogg.

Classé dans : Claviers invités, Dégooglisons Internet, Fédération, G.A.F.A.M., Internet et société, MigrationActivityPub, Berners-Lee, Communication, DNS, Facebook, fédivers, Fediverse, HTTP, interopérabilité, mastodon, Mobilizon, normalisation, norme, protocole, spécification, Web

Connu / https://my.framasoft.org/u/ind1ju/?AdP8RQ