OpenID の方向性

no extension

この記事が面白かったので, 思ったことをつらつらと。

このメモの中で一番印象的だったのは Yahoo! Japan に関する以下の部分。

「OpenIDを使うためには、ユーザが明示的に初期設定する仕様にしている。 これは、Yahoo!のIDを大量取得者がいるためで、RPを不正に利用することを防止するため。 初期設定時にCAPTCHAを使ってbotによる自動登録を防止している。」

簡単に言うと, OpenID を spam 等に悪用されるのをできるだけ防ぐ対策を行っている, ということだ。

(念のために説明しておくと, RP (Relying Party)というのは OpenID を受け入れる側のサービスを指す。 対して, 実際に OpenID の認証を行う側のサービスを OP (OpenID Provider)と呼ぶ。 Yahoo! Japan や mixi は OP として機能しているわけだ。 詳しくは「いますぐ使えるOpenID ― OpenIDサービスを利用して,OpenIDの仕組みを理解する」あたりが参考になる)

OpenID が spam に利用される可能性は当然あるのだが, それが現実の懸念になってきているということなのだろうか。 このブログへのコメントを OpenID (または TypeKey)でサイン・インしたユーザに限ってるのは, spam 除けが主な理由。 ただしサイン・インのプロセスを自動化されれば効果がなくなる。 OP を立てること自体はさほど難しくない。 最近は Web サイトを乗っ取るツールもあるみたいだし, その気になれば OpenID を乱発することは十分可能だろう。 (でも今のところ, そんな酔狂な(コストに見合わない)ことをする奴ぁいねーよ! と思っていたのだが...)

sign-in (MOTS-ja)

そうなると, RP としては受け入れる ID を絞らざるを得なくなるかもしれない。 ちなみにこのブログの OpenID サイン・イン画面は右の図のようになっているんだけど (mixi は mixiComment プラグインで追加している), 各項目は設定で表示/非表示を切り替えられる。 でも受け入れる ID を絞るとなると, そんなもん全然 Open じゃなくなるわけで(RP の実装によっては delegation も使えなくなる), 「OpenID って結局なんだったのよ?」ってなことになりかねない気がする。

一方, そういうのとは別にユーザを囲い込もうとしてるのが mixi だ。 「GINZA TECH LOUNGE feat. OpenID」 では OP のプロトコル実装を中心に書かれているが, mixi の OpenID のキモはマイミクまたは特定のコミュニティ参加者のみを承認する仕組みにある。 逆に mixi には RP がない。 OpenID で入ってくるユーザに(意図的に公開を許可した)コンテンツを見せるとかコメントを入れられるようにする, なんてことをする気はさらさらないようである。 あくまで OpenID というのはサービス・プロバイダによるユーザ・コントロールの手段でしかないということだ。

RP 側は, 認証の仕組みのみをアウトソースしてサービス内容に専念しようにも近い将来 spam 対策に悩まされそうな気配だし, OP 側は, 所詮 OpenID をユーザの囲い込み手段としか見なしていない。 OpenID の明日はどっちだ!