mardi, octobre 03, 2006

La sécurité du Web 2.0: BBAuth, le "propriétaire" mieux placé qu'OpenID, "le fils de l'Open Source"

Après mon billet sur le service BBAuth de Yahoo, Christophe m'interpelle sur l'idée de Scott Kveton que Tristan Nitot (le chantre de l'Open Source en France) a repris " je m'interroge plutôt comme Tristan Nitot sur l'opportunité d'une telle démarche... il pose la bonne question: pourquoi ne pas utiliser OpenID?"

Je suis un fan de l'Open Source : après avoir convaincu mon management, j'ai récemment mené pendant 3 ans un projet de migration de mainframe IBM (OS/390, COBOL, CICS) vers l'Open Source (Linux, Tomcat, Java). De plus , je publie régulièrement dans des magazines (Agefi ou IFRA) sur le sujet pour apporter ma modeste pierre...

Donc, je ne pourrai pas être taxé "d'anti- Open Source primaire" dans ce qui suit.

Mais, malgré tout dans ce domaine très spécifique de la sécurité, je pense que la philosophie "Open Source" reste moins bien placée - à l'heure actuelle - pour des raisons émotionnelles qu'une approche propriétaire où le prestataire est d'entrée "le bon coupable pré-désigné"

Donc, sur le fond (sans parler de la portée des 2 technologies qui est différente à mes yeux):
  • Le chemin du logiciel en mode Open Source a été et est encore dans les grandes entreprises traditionnalistes très laborieux car les entreprises ne savent que très rarement se passer d'un fournisseur officiel vers qui se tourner en cas de souci. Le recours à une communauté sans identité précise paraît encore souvent irréaliste (même si cela fonctionne!)
  • J'en déduis que le chemin de la "sécurité Open Source" le sera encore plus: la sécurité est très proche du monde juridique. Donc, les entreprises et les particuliers voudront encore plus avoir quelqu'un contre qui se retourner en cas de souci. Le récent procès démarré contre AOL n'en est-il pas la preuve étincelante?
Et j'écris ceci sans juger de la valeur technique objective de OpenID (au demeurant très bien pensée) . Je reste dans le domaine strictement subjectif des réactions émotionnelles autour de la sécurité.

Dans le cas de BBAuth, Yahoo portera la responsabilité. Dans le cas de OpenID, ce sera qui? Le site OpenID est très clair à ce sujet: "Nobody should own this. Nobody's planning on making any money from this. The goal is to release every part of this under the most liberal licenses possible"

Ma conclusion:
  • les mashups et services du Web 2.0 ont besoin d'un système de sécurité pour toucher des domaines fonctionnels qui nous sont proches
  • la sécurité et la non-responsabilité (mère des philosophies Open Source) ne me semblent pas faire bon ménage
  • il est donc bien que le " titan" le plus Web 2.0 parmi la bande des 3 (Yahoo, Google, Microsoft - le fameux GYM) prenne cet aspect sécuritaire (ce fardeau ?) à sa charge. Il a déjà largement montré "patte blanche" sur le web 2.0 (flickr, del.icio.us, stratégie générale) . Il va ainsi le faire décoller! Et peut-être ramasser les bénéfices du premier parti....
Ensuite, la concurrence effrénée entre les "GYMnastes" fera le reste dans les mois à venir.

A vos contre-arguments !

(la devise de l'IETF est aussi mienne: "we believe only in working code and rough discussions" - je crois en la vertu clarificatrice des discussions animées... )

Source: blog Media & Tech (par didier durand)

Aucun commentaire: