Verisign, OpenID로 identity 2.0 서비스 시작

5월 16일, Verisign은 블로그를 통해 Verisign Personal Identity Provider 서비스를 시작한다고 알렸습니다.
이 서비스는 OpenID를 기반으로 하는 Identity 관리 서비스입니다.

이제 OpenID 호스팅 서비스는 Janrain의 myopenid와 Verisign의 PIP 두 개로 늘었네요...

Technorati Tags: identity20

RSS와 인증

Syndicate conference에서 RSS와 Authentication에 대한 토론을 한답니다.
예상대로 RSS가 Private Channel로 확장되려는 움직임이 컨퍼런스에서 나타나고 있네요. 조만간 RSS를 통해서 영수증, 청구서 등을 받아볼 날이 오지않을까 싶습니다.

그룹웨어와 Thunderbird

저는 회사에서 몇 안되는 Thunderbird 사용자인데요,
첨부가 붙은 메일을 회사내의 다른 사람에게 전달하면(즉, 그룹웨어를 통해서 보면), 항상 첨부가 떼어져버리는 사고때문에 골치가 아팠습니다. (저희 회사의 그룹웨어는 노츠입니다.)
언젠가 원인을 파악해야지 하다가, 업무에 밀려서 미루다가 오늘 드디어 해결했습니다 (Thunderbird 만세^^)

해결하면서 알게된 thunderbird 옵션들을 정리합니다.
(Thunderbird 1.5 이상에서 "도구->환경설정->고급탭->일반탭->설정편집" 을 실행하면 나타나는 옵션들 중 첨부와 관련된 옵션들입니다)

• mail.strictly_mime_headers
  true이면 첨부파일명에 8bit 문자를 사용하지 않고, RFC2231 또는 RFC2047에 따라 인코딩합니다, false이면 무시하고 그냥 8비트 문자대로 사용합니다. true인 경우 다음과 같이 인코딩됨.
  name="=?EUC-KR?B?MjAwNjA0MjXAzLTPxdgouq/B2LjwwvfA5bTUKS5kb2M=?="
  false인 경우 다음과 같이 인코딩됨.
  name="테스트.doc"
  
• mail.strictly_mime.parm_folders
  이 값이 0 또는 1이면 파일명을 RFC2047에 따라 인코딩하고, 2이면 RFC2231에 따라 인코딩한다.
  
• mail.content_disposition_type
  이 값이 1이면 "Content-Disposition: attachment;"로 처리하고, 0이면 "Content-Disposition: inline;"으로 처리합니다.

위의 값들을 이용해서 상황에 맞게 조정하시면, 거의 모든 수신자에 대한 첨부파일 문제를 해결하실 수 있습니다.


Technorati Tags: thunderbird, attachment, encoding

Paypal로 콜라를?

eSecure Peripherals 사는 네트웍이 연결된 무전(cashless) 자판기에서 paypal을 이용할 수 있도록 Paypal Payment Module을 개발할 것이라고 합니다.
이것도 OpenAPI의 힘이라고 할 수 있을려나요? 근데 한가지 걱정되는 것은 발신자 번호 속이기 공격을 어떻게 피하려나 궁금합니다.

Dynamic Security Skin의 실망스러운 실험결과

Dynamic Security Skin이라는 것은, 사용자가 미리 지정한 그림이 패스워드를 입력하는 창에 나타나면 안전한 것이고, 그렇지 않으면 안전하지 않은 것으로 판단하도록 하여 피싱공격을 피하는 방법입니다.




하지만, 22명의 사람들에게 20개의 사이트를 대상으로 실험한 결과, 참가자의 22%는 주소창, status 창 등을 전혀보지 않았답니다.
안전한 웹을 만드는 길은 멀고도 험한가 봅니다^^

OpenID, SXIP, Infocard 비교

W3C의 Dan Connolly 씨가 최근에 있었던 W3C Security Workshop을 참관하고나서 시맨틱웹의 관점에서 OpenID, SXIP, Infocard를 비교했습니다.

Yadis 진영 ACM으로 진격

Yadis의 대표주자인 Johannes Ernst(LID), Drummond Reed(XRI) 이 ACM DIM 2006의 프로그램 위원이 되었네요...
주제도 "Exploring User-Centric Identity Management" 입니다.

Digital Money Forum 발표자료

지난 번에 말씀드린 9번째 Digital Money Forum의 발표자료가 공개되었네요.

재미있는 내용들 많으니 관심있는 분들은 살펴보시길...

Identity2.0 발표자료

너무 늦은 감이 없진 않지만, NGWeb에서 발표했던 자료올립니다.

NGWeb2006-B53-id20-chlee.pdf


Technorati Tags: identity20, NGWeb

매쉬업에 비즈니스 모델?

재미와 명성을 제외하면, 매쉬업 서비스에 비즈니스 모델은 있을까요?

Read/WriteWeb에서는 다음과 같은 비즈니스 모델을 얘기한다.

• 광고 : Simplyhired.com 참조
• 제휴 : 매쉬업은 API를 제공한 업체에 트래픽을 제공하며, 이를 이용해서 제휴를 유도한다.
• 거래 매쉬업 (Transactional mashups) : 더욱 더 많은 사람들이 혼합된(mashed) 데이터만을 보고, 이를 통해서 거래를 일으키는 날이 올것이다.
• 기타모델 : 가입형 서비스, 트랜젝션별 과금, 프리미엄 서비스, 기업용 서비스

위의 사업모델을 곰곰히 생각해보면, 오프라인의 모델과 상당히 비슷하다는 생각을 하게된다.

첫번째로 제휴
이동통신 대리점은 이동통신 3사의 단말기를 판매하는 매쉬업 사이트라고 하고, 이통사를 데이터/서비스를 가지고 있는 API 제공업자라고하자. 이렇게 놓고, 이동통신사가 이동통신 대리점과 고객의 통화료를 일정기간 나누어가지는 것을 생각하면 쉽게 제휴 모델이 이해된다.


두번째로 거래 매쉬업
하이마트와 삼성디지털 플라자의 얘기를 생각해보자. 하이마트는 오프라인 가전 매쉬업 사이트라고 볼 수 있는 데, 모두다 "하이마트로 가요" 하니, 뒤늦게 구매력의 힘을 알게된 삼성에서 삼성디지털 플라자를 만들었다는 얘기. 물론 하이마트와 삼성의 협상이 원할하지 않아서 결국 삼성 독자 대리점을 운영하게 되었겠지만, 매쉬업 사이트에서 거래가 이루어진다면 훌륭한 사업모델이 될 것임은 쉽게 이해된다.

결국 매쉬업은 오프라인에서는 있을 수 없는 "혼합 프렌차이즈" 정도로 생각하고 사업모델을 생각해보면 좋을 듯 하다.


Technorati Tags: mashup, business

Web2.0과 Payment 2.0

웹2.0이 근래의 화두인 지라 제가 이니텍, 이니시스를 대상으로 사내 웹2.0 세미나를 준비해서 진행하고 있습니다.
지난 15일에는 석찬님을 초청하여 Payment 2.0에 대한 생각도 듣고, 많은 얘기나누었습니다.

석찬님 Payment 2.0 발표자료

29-31페이지를 보시면, Payment2.0과 web2.0 비교, Payment 2.0 TM(?), Longtail과 지불을 거론하고 있습니다. 웹2.0 시대에 지불은 어떤 형태여야할까에 대한 고민을 시작하기에는 충분히 좋은 질문들과 사용예라는 생각이 듭니다.

저는 개인적으로 다음과 같은 생각/고민들을 가지고 있습니다.

Payment 2.0 플랫폼 : 생산자이자 소비자인 사용자를 위한 플랫폼
초기에 쇼핑몰은 강력한 유통망을 가진 대기업이 주도했습니다. 하지만, 곧 소규도 판매상들이 주도하는 이른바 오픈마켓에게 자리를 내주게 되었습니다. 이런 소규모 상점들은 인터파크, 옥션, G마켓 등에 입점하여 판매를 합니다. 여기서 더 확장을 해보면, 입점하지 않는 소규모 상점들의 마켓 즉 분산마켓이 오픈마켓을 대체하리라 생각합니다. 즉, 생산자이자 소비자인 사용자를 위한 분산 마켓플랫폼, 지불플랫폼이 웹2.0 시대의 상거래에 필수적인 요소라 생각됩니다.

Payment 2.0 : Identity와의 연관
가령, 자작 만화 컨텐츠를 자신의 블로그에서 판매하려면? 조금 그림을 그릴 줄 아는 사람이 누군가의 요청을 받아서 그 사람만의 아바타를 그려주는 장사를 하려면? 분산마켓에서는 어떻게 생산자를 확인할 것인가? 어떻게 돈을 받는 사람을 확인함으로써 위험(Risk)을 줄일 수 있을까? 그 답은 Identity와 평판시스템에서 찾아야하지 않을까 생각합니다. 온라인 상에서 Identity와 그 사람의 활동을 연관시킴으로써 평판으로 만들고, 그 평판에 근거하여 돈을 지불함으로써 위험을 줄일 수 있을 것입니다.

세미나와 재미있는 브레인스토밍 많이해주신 석찬님께 다시 한 번 감사드립니다. 저는 이 세미나를 계기로 이니시스가 좀 더 웹2.0과 지불플랫폼에 대해 고민했으면 하는 바램입니다.


Technorati Tags: payment20

MS Infocard 연동 방법

MS 연구소의 Mike Jones씨가 Infocard 연동방법에 대한 기술보고서를 배포했습니다.
기술보고서의 프로토콜 그림을 인용합니다(아래 그림에 관심이 있는 분들은 기술보고서를 살펴보시길).







Technorati Tags: infocard

피카사, 국내 인화 서비스 개시

언제나 피카사에 인화서비스가 연동되려나 하고 있었는 데...
드디어 OP와 zzixx가 연동되었네요.

이제 좀 편하게 인화할 수 있겠네요...
(그동안은 편집해서, 내보내기해서, 업로드해서, 주문했습니다.)

DIGITAL MONEY 9TH

3월 29일과 30일에 Digital Money Forum이 개최된다고 합니다. 다음과 같은 흥미있는 주제들이 있네요...

Replacing Cash with Mobile Phones
Susie Lonie, Vodafone
A case study on the African M-PESA scheme

Currency for Kids
Jonathan Attwood, Swap-it-Shop UK
The UK's "eBay for kids"

Cross-Border Funds Transfer before the Internet - The ransom of King Richard
David Boyle, Author of "Blondel's Song"

행사 후에 발표자료는 공개되니 그 때 다시 봐야겠네요...

Yadis 1.0 발표

Yadis 규격 1.0이 발표되었습니다. Identifier로써 Yadis URL 또는 URL로 resolving 될 수 있는 identifier를 사용하게 됩니다.

IIW 2006

Identity Woman, 아거님이 소개했던 Cluetrain Manifesto의 저자 Doc Searls, XRI 후원자이며 Brigham Young 대학 교수인 Phil Windley가 주최하는 Internet Identity Workshop 2006이 열린다고 합니다. 미국에 산다면 달려가보고 싶네요.

구글 Single Sign-On

zooomr이라는 사진 공유 사이트는 구글 계정을 통해서 사용자 확인을 한 후 서비스를 제공하고 있습니다(물론, OpenID 등도 사용할 수 있습니다, 아쉽게도 지금은 확장이전 공사 중이군요).

이 회사는 구글과 아무런 계약도 없이 어떻게 구글 계정과 패스워드를 확인할 수 있었을까요?

이것은 구글이 Gtalk의 근간을 이루는 XMPP 프로토콜의 인증 메커니즘을 그대로 차용했기 때문이라고 합니다.

관련 링크들

Using Google's Universal Authentication Engine
The Mysteries of X-GOOGLE-TOKEN and why it matters
Google's X-GOOGLE-TOKEN
XMPP Protocol

발신자번호 속이기

지난 몇 년 새, 인터넷 전화의 도움으로 발신자번호 속이기(스푸핑)가 훨씬 더 쉬워졌다고 합니다. 왜냐하면, 인터넷 전화는 발신자번호 시스템에 임의의 숫자를 표시할 수 있기 때문입니다.
심지어, 미국에는 발신자를 속여서 전화 통화를 할 수 있도록 해주는 서비스가 있다고 합니다. 사용자가 60분 통화를 위해서 10$를 지불하고 spoofcard.com에서는 가상 "전화 카드"를 구매한 후, spoofcard로 수신자 부담 전화를 걸어서, 수신자의 전화번호를 입력하면, 조작된 발신자번호를 표시해준다고 합니다.

더 무서운 사례는 훔친 신용카드 번호를 산 후, 카드 주인의 집전화번호를 발신번호로 표시하도록 속인 후, Western Union과 같은 서비스에 전화를 해서 송금 신청을 하는 것입니다.

아뭏든 점점 더 안전한 전자금융에 대한 노력이 절실해지는 때입니다.


Technorati Tags: CID, spoofing

차세대 웹 통합 컨퍼런스와 Identity 2.0

3월 13~14일에 NGWeb2006 - "웹2.0 + 모바일" 컨퍼런스가 개최됩니다.

저는 둘째날, 5시에 Identity 2.0 발표(B53)를 맡게되었습니다.
현재의 웹2.0은 "OpenAPI를 통해서 공개된 정보들을 서로 공유하고, 기능 확장에 참여하는 것"입니다. 하지만, 앞으로 "보이지 않는 웹", 즉 공개되지 않은 정보들을 연결하고, 서로 확장하기 위해서 선결되어야할 필수요소는 Identity 문제입니다.

이제까지 해결하고자 했던 Identity에 대한 문제는 "어떻게 하면 (매번 회원가입하고 아이디를 만드는) 귀찮음을 해소할 수 있을까"입니다.
하지만, Identity 2.0은 이런 단순한 Identity 문제를 해결하자는 것이 아니며, 다음과 같은 세 가지 측면에서의 해결책을 찾자는 것입니다.

• 표현 : 어떻게 사람(subject)를 식별하고, 관련된 속성을 표현할 것인가?
• 공유 : 어떻게 속성을 교환할 것인가? (프라이버시를 보호하고, 사용자가 통제권을 가지면서)
• 인증 : 어떻게 일관된 인터페이스를 통해서 범용적인 인증 환경을 구축할 것인가?

첫째날에는 맥주파티를 겸한 BOF가 개최됩니다. 많은 분들 모여서 좋은 얘기나누었으면 합니다.

Technorati Tags: NGWeb, Identity2.0

IBM과 Novell, User-centric IdM에 동참

Eclipse!
Java 개발자라면 다 아시는 통합 개발 환경입니다.

프로젝트 Higgins
Eclipse 재단의 새로운 프로젝트 Higgins는 "user-centric" identity 관리 소프트웨어를 개발하는 것이라고 합니다.

기사 참고하세요.