Redes Federadas

[Caio Tiago Oliveira]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 12/29/2013 05:19 AM, Bertoni wrote:
> Car at s,
> 
> Legal o trabalho que vem sendo desenvolvido, mas fico a me
> perguntar se Redes Federadas não seria algo mais amplo, que
> permitam as pessoas trocar informações entre as distintas redes sem
> necessariamente participar, ter um perfil, em todas elas.
> 
> Tenho dúvidas sobre permitir que um usuário de redes privadas e 
> proprietárias possam fazer login nas instalações noosfero com
> usuário e senha das redes proprietárias.
> 
> Gostaria que os compas esclarecessem se isso não gera um problema
> de segurança para nossas instalações?

Para federação é necessário autenticação e autorização de conteúdo.
No quesito autenticação, apenas as informações de login seriam
compartilhadas. Nesse caso, a rede onde o usuário está cadastrado e o
usuário dele nessa rede. Em outros casos, pode ser uma URL única que
nem identifique o usuário (lógica do OpenID).

Para autorização, é possível que o usuário escolha a dedo o que
permitir ou não. A depender da forma que seja implantado é possível
que não se tenha escolha sobre o que permitir e ocorram problemas de
privacidade. Isso tem que ser levado em consideração, mas é possível
restringir os dados que os sites autorizados possam acessar e quando
possam. Por exemplo, solicitar para acessar determinado conteúdo e ter
acesso a informações públicas a qualquer hora.

Sobre problema de segurança, não é o fato da rede ser privada,
proprietária, pública, livre que vai interferir nela. Todas as
soluções precisam ser pensadas cuidadosamente e implementadas levando
a segurança em consideração.

Do meu ponto de vista, trocar um cadastro onde é inserido email e
senha, além do preenchimento dos dados manualmente, por outro cadastro
onde a identificação seja por fora e alguns dados sejam preenchidos
não implica em falhas de segurança. Todas as medidas de segurança
tomadas para a criação de contas devem ser tomadas também em casos
onde esses dados venham de outras fontes.
Inclusive, geralmente os sites que fazem esse tipo de cadastro ainda
permitem que o usuário escolha um nome de usuário no sistema, para
exibição.
O que muda é apenas que o usuário precisa fornecer um número menor de
dados para cadastro.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
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=H5gG
-----END PGP SIGNATURE-----