Zaufanie w świecieWeb 2.0

Ciekawe, jaka będzie kolejna faza inicjatyw związanych z Web. Obecnie główne problemy dotyczą anonimowości i identyfikacji oraz braku powiązań semantycznych.

Ciekawe, jaka będzie kolejna faza inicjatyw związanych z Web. Obecnie główne problemy dotyczą anonimowości i identyfikacji oraz braku powiązań semantycznych.

Jednym z większych problemów związanych z Web 2.0 jest zaufanie do dostawcy treści. Jest to szczególnie istotne, gdy czytelnik witryny może równocześnie publikować własne treści. Kwestia zaufania ma dwa główne aspekty dotyczące identyfikacji - autorstwo treści oraz ochrona praw autorskich. Pierwszy jest konsekwencją tego, że model Web 2.0 jest w pełni demokratyczny. Każdy może publikować treści, używając coraz łatwiejszych w użyciu narzędzi. Natomiast wyszukiwarka jest bezlitosna - tak samo indeksuje treści publikowane przez nastolatka, jak i profesora. Dodatkowo większość osób zakłada, że jest anonimowa, co powoduje, że wypowiedzi stają się często zbyt swobodne i internauta buduje swego rodzaju alter ego w Internecie. Czytelnik nie jest w stanie zweryfikować, kim jest piszący lub czy ten sam podpis oznacza, że autorem treści jest ta sama osoba. Może wystarczyć podpisanie się tym samym pseudonimem innego internauty, aby zacząć publikować treści, które zostaną przypisane oryginalnemu autorowi (także przez wyszukiwarki).

Drugi aspekt to prawa autorskie. Jest to głównie problem właściciela portalu, który udostępnia miejsce, aby publikować treści, również te w formie multimedialnej. Wielokrotnie przewija się pytanie, czy właściciel portalu odpowiada za to, co publikują internauci? Można tu przypomnieć problemy, jakie miał YouTube lub inne portale zajmujące się publikowaniem filmów online. Jeśli chodzi o ochronę praw autorskich, to na razie właściciele portali widzą tylko jedno, w praktyce mało skuteczne rozwiązanie - systemy filtrowania i analizy treści.

Nieudana centralizacja

Próby budowy scentralizowanego systemu autoryzacyjnego dla całej sieci, jak dotąd, nie powiodły się. Przyczyn jest wiele, ale podstawową było to, że jeden centralny system, który dobrze sprawdza się w wewnętrznym systemie jednej firmy, jest nie do zaakceptowania w środowisku rozproszonych portali i masy użytkowników, którzy często na różnych stronach mają różne tożsamości. Dodatkowo, w przypadku systemu centralnego, zarówno witryna, jak i internauta muszą mieć "zaufanie" do dostawcy systemu autoryzacyjnego.

Warto zauważyć, że w podobnym modelu działają serwisy do płatności online. Ale w ich wypadku "wiedza" jest rozproszona. System autoryzacji kart zna numer karty, sklep i kwotę, a sklep zna zawartość koszyka i wie tylko, że środki zostały albo zablokowane na koncie, albo już przelane jako płatność za zakupy.

Może jednak federacja

Szczegóły komunikacji CardSpace

Szczegóły komunikacji CardSpace

Obecnie większość firm, jak Sun, Microsoft, IBM, wiąże nadzieje z systemami federacyjnymi. Udało się uzgodnić jeden sposób wymiany informacji w ramach stosu WS-Security, WS-Trust, WS-MetadataExchange i WS-SecurityPolicy. Dzięki temu można mieć taki mechanizm, gdzie różne strony będą poświadczać informacje na temat danego klienta. Serwis rządowy wygeneruje kartę zawierającą jego wiek, imię/nazwisko lub wykształcenie. Bank udostępni dane o tym, czy jest on w stanie dokonać zakupu. Tak działa np. CardSpace (z .Net 3.x), ale także Novell Access Manager czy jeden z modułów autoryzacyjnych Suna do OpenSSO. Mechanizm wykorzystuje trzy strony. Pierwsza to użytkownik, który potwierdza przekazanie informacji. Druga to zwykle witryna WWW, która domaga się określenia tożsamości. A trzecia - niezależna organizacja, który wystawia tzw. kartę informacyjną przekazywaną przez użytkownika na witrynę. Do generowania karty wykorzystywany jest Security Token Service. Oczywiście w szczególnym przypadku STS może się znajdować w ramach witryny, na której chce wykonać jakąś operację dany użytkownik. W uproszczeniu przeglądarka, za zgodą internauty, prosi poświadczającego o otrzymanie tokenu, który potem może przekazać witrynie. W całym tym procesie istotne jest to, że to użytkownik decyduje, jakie informacje udostępnia. Ma pełną kontrolę nad własnymi danymi osobowymi.

Kolejna kwestia związana jest z procesem autoryzacji. Jeżeli wymagalibyśmy podpisu kryptograficznego używając normalnej architektury PKI, np. w S/MIME, to bez trudu można by śledzić, co dana osoba robi na poszczególnych witrynach. Mechanizm autoryzacji musi być tak dobrany, by nie naruszał prywatności danej osoby. W mechanizmie federacyjnym "token", który identyfikuje odwiedzającego witrynę, jest tak skonstruowany, by był unikalny dla każdego adresu domeny. W ten sposób nie można łatwo wskazać, że to jedna i ta sama osoba wykonywała operacje.

Szczególnym przypadkiem autoryzacji jest tzw. samoopisująca się karta. Jest ona wystawiana przez lokalny STS działający na komputerze internauty i zawiera te informacje, które użytkownik chce przedstawić portalowi. W ten sposób, o ile portal zaakceptuje ten typ kart, można zakładać wirtualne tożsamości gwarantujące identyfikację, ale nienaruszające prywatności. Natomiast tam gdzie jest to niezbędne, można używać zaufanych kart wystawionych przez STS. Co ważniejsze, można zdecydować jakie dane będą przekazywane z danej karty, np. tylko nazwisko.

Koncepcja jest uniwersalna, ponieważ opiera się na dosyć dobrze zdefiniowanych standardach WS-* i systemach wymiany metadanych oraz mechanizmu podpisu cyfrowego. Ze strony serwisu WWW stosowana może być dowolna technologia - ASP.NET, JSP, PHP itp. Są także dostępne pluginy autoryzacyjne, np. do motoru blogowego WordPress lub Community Server. Klient przekazujący kartę dostępny jest nie tylko dla Internet Explorera, ale także Firefoxa i Opery na różnych platformach. Po prostu przekazywany jest specjalny dokument XML.

Walka z semantyką

Jeżeli uda się opracować taki system autoryzacji, który zyska dużą popularność, pozostanie jeszcze kwestia powiązań semantycznych między różnymi elementami publikowanymi w Internecie, co komplikuje tworzenie pojęciowych powiązań pomiędzy stronami. Ten problem widać nawet na przykładzie RSS. Co prawda, można przypisywać tagi do poszczególnych artykułów. Większość blogujących dba o to, aby właściwie kategoryzować własne wpisy. Można też odwoływać się do strumienia RSS, tak by zwrócone były tylko wpisy z danymi tagami. Ale nie ma możliwości, by określić, że dane tagi na różnych portalach, albo wpisywane przez różne osoby, mają takie same znaczenie. Na przykład można określać, że artykuł dotyczy Server albo MSSQL lub po prostu SQL, co jest kategorią bardziej ogólną. Ale odwiedzający dopiero po spojrzeniu na treść jest w stanie określić, że dany wpis dotyczy konkretnego produktu, a nie ogólnych rozważań na temat języka zapytań SQL.

Co prawda obecnie dostępne są standardy opisu semantycznych powiązań między encjami (Web Ontology Language, Resource Description Framework czy też inicjatywy związane z Dublin Core), ale są na razie w fazie "analiz naukowych" i prostych testowych implementacji. Co gorsza, część propozycji pomija fakt, że poza angielskim istnieją jeszcze inne języki.

U podstaw Web 2.0 jest także założenie, że witryny wymieniają się treścią. W praktyce jednak wzajemne linkowanie nie działa. Nie ma możliwości, by łatwo zagregować treści dotyczące określonego zagadnienia, chyba że umawiamy się z dostawcami informacji na konkretny sposób kategoryzacji. Warto też zauważyć, że kilka witryn pośredniczących w dostępie do blogów zakłada, że gdy duża grupa osób skategoryzuje podobnie daną treść, to wtedy kategoryzacja jest prawidłowa. Niestety nie zawsze to działa.

Kto jest odbiorcą Web 2.0?

Poza wyjątkami obecne inicjatywy Web 2.0 są skierowane do stosunkowo nielicznej grupy użytkowników, tzw. geeków. Wizja konfiguracji własnego bloga, przesuwanie okienek, tworzenie "mashup" przez dodawanie predefiniowanych komponentów przeraża zwykłego użytkownika. W konsekwencji przyciągają one tego samego odbiorcę, co utrudnia uzyskanie odpowiedniego poziomu finansowania. Z drugiej strony dużą popularnością cieszą się tzw. serwisy społecznościowe, jak MySpace lub polskie grono.net, albo usługi zapewniające miejsce na publikację własnych treści. Brakuje jednak dobrego modelu zarabiania na tego typu inicjatywach. Zwykle twórcy zakładają, że wystarczy reklama, którą obejść będzie potrafił tylko zaawansowany użytkownik - zwykły zrezygnuje z takiego portalu.

Tomasz Kopacz jest wieloletnim publicystą Computerworld, obecnie pracuje jako Senior Architect Evangelist w polskim oddziale Microsoft.

Przyszłość Web 3.0

Web 3.0 może być takim systemem, gdzie będzie można w jakiś sposób oceniać wiarygodność wpisów. Warto zauważyć, że wraz ze wzrostem popularności Wikipedii pojawia się coraz więcej pytań o wiarygodność wpisów, które mogą być edytowane przez urzędników lub nadzorowane przez zainteresowane korporacje. Może też okazać się, że Internet podzieli się na części darmową i komercyjną, z bardziej ostrymi regulacjami lub wymaganiami dotyczącymi identyfikacji użytkowników.