Atelier "apports du web sémantique à l'identité numérique", organisé par la
Fing dans le cadre du
programme Identités actives, vendredi 15 février 2008, 14-18h (
la Cantine, Paris).
Compte-rendu
Présents : Christian Fauré (Atos), Olivier Gendrin (novactive.com), Antoine Grillon (coaliz.com), Olivier Gutknecht (fotonauts.com), David Larlet, Charles Népote (Fing), Charles Nouÿrit (myid.is ; la première heure), Alexandre Passant (apassant.net), Gautier Poupeau (ATOS ; en fin d'atelier), Johan Romefort (Seesmic), Eric van der Vlist (dyomedea).
Soit 10 participants.
Synthèse en 6 points clé
- le web sémantique peut faciliter l'échange de données identitaires, même s'il reste à faire des progrès dans le domaines des outils bas niveau (parseurs, crawlers, etc.)
- OpenID? peut assurer une couche de confiance aux données issues du web sémantique ; il est possible de mettre en oeuvre un mécanisme simple permettant de "certifier" des données identitaires en s'appuyant sur OpenID? ; concrètement, ce mécanisme se déroule en 3 temps résumés comme suit (les détails techniques sont développés plus bas) :
- 1. dans la page qui me décrit, j'associe à mes données d'identité mon URL OpenID? ; en d'autres termes, en même temps que je déclare telles et telles données de profil, je déclare également avoir telle URL pour OpenID?
- 2. j'intègre dans ma page OpenID? une référence à la page qui me décrit
- 3. lorsque je me logue avec OpenID? sur un service/outil qui sait exploiter ce mécanisme, l'identification OpenID? permet au service :
- d'identifier la page qui me décrit et d'en exploiter les informations
- de vérifier que l'URL OpenID? déclarée avec mes données d'identité correspond bien à celle avec laquelle je me suis authentifié
- avec le mécanisme décrit ci-dessus, il devient possible de réaliser la portabilité des données entre services ; on verra les premiers exemples implémentés sur le site d'Alexandre Passant
- un premier travail de communication s'impose pour expliquer ce mécanisme, le partager et en évaluer l'accueil
- il est envisageable d'aller plus loin et de proposer une sorte de label, appelé par exemple "immediate portability" en référence à la simplicité de mise en oeuvre de la solution (notamment par rapport à DataPortability?)
- il est nécessaire de convaincre plusieurs partenaires et services pour développer les usages :
- d'un côté les fournisseurs OpenID?, pour qu'ils implémentent la possibilité d'intégrer dans chaque page OpenID? une référence à la page qui décrit la personne
- de l'autre les fournisseurs de données d'identité pour qu'ils intègrent dans leurs descriptions publiques des utilisateurs un lien vers leur OpenID?
- et enfin les potentiels consommateurs de ces données (moteurs de blogs, moteurs de wiki, etc.)
Développement.
1. Hypothèses discutées
1.1. Le web sémantique peut faciliter l'échange de données identitaires
2 facteurs facilitent l'échange de données d'identité dans le web sémantique :
- la normalisation du modèle de données (RDF) et l'existence de vocabulaires clé en main (FOAF, relationship, etc.)
- les infrastructures et outils sont maintenant en place et ne bouleversent pas le web (c'est une évolution du web et pas une révolution)
On parle d'abord de la qualité des bibliothèques qui ne sont pas optimales en PHP et en Python. Jena est costaud mais les triple store sont aussi un maillon faible.
OGu : oui pour le dév à la petite semaine ; non pour la monté en charge.
JRo : Seesmic revient d'un triple store vers une DB normale.
AP et JR : dbpedia a montré la possibilité de triple stores géants, mais on n'a pas de retour sur les accès (sans doute très faibles)
EVDV : évoque également des freins dans SPARQL pour les habitués au SQL : par exemple il n'y a pas de fonctions statistiques basiques et donc, plus précsiément, il n'y a pas de COUNT.
EVDV : il y a des opportunités pour des outils plus RAD : par exemple faire du ROR sur un triple store.
AP : signale
ActivRDF? : ROR couplé à un striple store.
1.2. OpenID? peut fournir la couche de confiance
On tombe d'accord sur le fait qu'
OpenID?, en dehors de problèmes de diffusion qu'il pourra éventuellement connaitre, peut fournir une couche de confiance.
Il est possible de mettre en oeuvre un mécanisme simple permettant de "certifier" des données identitaires en s'appuyant sur
OpenID?. Concrètement, ce mécanisme se déroule en 3 temps :
- 1. dans la page qui me décrit, j'associe à mes données d'identité mon URL OpenID? ; en d'autres termes, en même temps que je déclare telles et telles données de profil, je déclare également avoir telle URL pour OpenID?
- 2. j'intègre dans ma page OpenID? une référence à la page qui me décrit
- 3. lorsque je me logue avec OpenID? sur un service/outil qui sait exploiter ce mécanisme, l'identification OpenID? permet au service :
- d'identifier la page qui me décrit et d'en exploiter les informations
- de vérifier que l'URL OpenID? déclarée avec mes données d'identité correspond bien à celle avec laquelle je me suis authentifié
Comment met-on en oeuvre l'auto-détection FOAF dans une URI OpenID? ?
CNe et APa expliquent qu'il suffit d'utiliser une URI
OpenID? qui intègre une balise "link" ainsi spécifiée :
http://xmlns.com/foaf/spec/#sec-autodesc
Exemple :
<!-- FOAF auto-discovery ; see http://xmlns.com/foaf/spec/#sec-autodesc -->
<link rel="meta" type="application/rdf+xml" title="FOAF" href="http://www.wikini.net/wakka.php?wiki=CharlesNepoteFOAF/raw"/>
Si le fournisseur
OpenID? ne délivre pas d'URI permettant l'auto-détection FOAF (ce qui est le cas de tous les fournisseurs actuellement), l'utilisateur peut utiliser une URI qu'il maitrise et contenant un mécanisme de redirection vers le fournisseur
OpenID?.
<!-- Métadonnées relatives à openid -->
<link rel="openid.server" href="http://www.myopenid.com/server" />
<link rel="openid.delegate" href="http://charles.nepote.myopenid.com/" />
<meta http-equiv="X-XRDS-Location" content="http://charles.nepote.myopenid.com/xrds" />
Plusieurs personnes ont mis en oeuvre ce mécanisme à titre expérimental :
EVDV : mentionne qu'on pourrait aussi échanger l'adresse du FOAF via l'échange d'attribut
OpenID?.
1.3. Le web sémantique "time to market"
Une fois n'est pas coutume, la communauté du web sémantique a pris de l'avance par rapport à la "concurrence" (vocabulaire métiers non extensibles, APML, etc.) si bien que FOAF gagne naturellement du terrain, y compris chez ceux qui ne voulaient pas en entendre parler (Google par exemple).
1.4. Une future prime à l'ouverture ?
Les futurs services en lignes, pour avoir une chance de se différencier de l'existant, vont proposer des standards d'échanges ouvert
2. Pour quels usages
On regarde les réalisations d'AP sur son blog (services associés à
OpenID?), qui fournissent des premières pistes d'usage. On évoque ensuite en vrac différentes possibilités d'usages :
- agrégation locale de liens vers certains de mes services (exemple : http://apassant.net/blog/2008/02/15/owlsameas-reciprocity-with-openid/ )
- découverte automatique de relations (AP : techniquement c'est facile)
- réduction du SPAM : white listing (cf. DIG)
- création de communauté de proximité (white listing)
- ouvrir les droits à partir de points de confiances (user rank) capté sur d'autres services [AP : voir le vocabulaire "trust vocabulary" (Mindswap (?))]
- JR : ça veut dire qu'il faut que l'algorithme soit public
- AP : Voir relationship qui étend foaf:knows
- proposition par les applications de services personnalisés : groupes d'utilisateurs, contenus, etc.
- AP : parle de MOAT : tagging sémantique
- DL : il faut du cul ;) : service de rencontre
- CNe : ne voit pas bien l'intérêt d'APML
- OGe : services types copains d'avant (cf. le vocabulaire "bio")
- opportunité de données de santé : groupe sanguin, etc.
- exploitation par des brokers de voyage voire des services de santé
- attributs physiques (mensurations)
- OGu : compagnie.com/rdf qui décrive la boite
- OGu : auto discovery ?
- DL : monétiser des données RDFisées
- AP : zoom info : api ? à voir ?
- GP : robots reconstitue ton carnet d'adresses de boites
- GP : voir les applications de FaceBook? et voir comment les recréer en mode ouvert et décentralisé ; exemple Topfriends
3. Le comment et les questions
CNe : à la suite des démo d'Alexandre Passant, propose d'avancer à petits pas en mettant en oeuvre au fur et à mesure toujours plus de démo et en proposant des mécanismes légers
OGu : avancer par petits pas oui, mais si c'est refaire ce qui se passe ailleurs ça n'a pas d'intérêt.
Problématique de la simplicité/lisibilité de l'usage
OGu : Qu'est-ce que ça voudrait dire de subordonner les réalisations techniques à l'expérience finale des utilisateurs ?
- OpenID? : c'est moins des pb de diff technique que d'usage. Il faut des preuves par l'exemple.
- Est-ce qu'il n'y a pas de meilleurs moyens ? par exemple fournir des représentations, des métaphores visuelles des ID OpenID? ?
- On ne donne plus à l'utilisateur le repère visuel avec FOAF et OpenID? : ces techno sont c'est trop masquées.
OGu : cas :
- d'informations dont je n'ai que faire en tant que consommateurs
- de conflits entre vocabulaires pour une même personne
Comment faire savoir que mon profil (fichier FOAF) a été modifié ?
OGu et JR : un service en ligne ne pas pinguer tous les FOAF de tout le monde.
DL : pourtant Feedburner, lui, le fait bien.
JR : il faudrait imaginer un mécanisme de "publish-suscribe" : par exemple, jabber utilisé comme API parce que sa résiste à la charge et que sa ne communique que ce qui est demandé.
(Note de
CharlesNepote a posteriori : peux-tu développer Johann ?)
Expérimentations / évangélisation : fournisseurs OpenID?
CNe : est-ce qu'on peut penser que Seesmic puisse recommander certains fournisseurs
OpenID? car il fournissent le mécanisme d'auto-detection FOAF? JR : oui.
CNe : si Seesmic devenait fournisseur
OpenID?, fournirait-il le mécanisme d'auto-detection FOAF ?
CNe : est-ce qu'on pourrait créer un label qui indiquerait les fournisseurs
OpenID? capables de fournir du RDF avec auto découverte ?
- OGu : permettre à un consommateur de spécifier à un fournisseur les données qui l'intéressent (à la mano).
- DL : des fournisseurs peuvent faire une moyenne statistique de ce qui est requis par les consommateurs
CNe évoque myid.is qui pourrait joindre à l'identifiant
OpenID? de ses clients le mécanisme d'autodétection FOAF.
D'une manière générale, nous convenons qu'il y a un travail d'évangélisation à mener pour convaincre les fournisseur
OpenID? de mettre en oeuvre ce mécanisme.
EVDV suggère d'améliorer les actuels serveurs libres
OpenID? pour qu'ils intègrent ce mécanisme.
Génération FOAF par les applications et services
Actuellement (la plupart en béta) : Wordpress, Flickr, Twitter, Facebook, Semantic
MediaWiki? (?), Drupal (?), Dotclear (?)...
Bientôt : myid.is ? seesmic ? wikini ?
Il serait intéressant d'initier plusieurs développement Open Source pour augmenter la base d'utilisateurs potentiels.
Comment fait-on pour ne diffuser via FOAF que les données que je souhaite et pas toutes les données ?
Est-il envisageable d'utiliser le même couple pour la portabilité d'attributs privés ? Comment gérer le problème des données privées communiquées à la demande ?
CF : système complexe à gérer
3 pistes sont envisagées :
- AP : fichier généré en fonction de la personne qui le consulte
- CNe : souligne la problématique de la cohérence : une URI devrait identifier un corpus d'infos cohérent et pas variable, sinon que désigne donc une URI ?
- AP : on peut utiliser des seeAlso pour renvoyer vers des fichiers ouverts ou fermés
- EVDV : on peut chiffrer une partie du document
- On convient que cette méthode est délicate à mettre en oeuvre.
Modèles économiques en question
CF : quel est le modèle économique des providers
OpenID? ?
- DL : Revendre les données ?
- CNe : Orange : c'est un service de commodité et de fidélisation.
Fin du fournisseur OpenID? ?
OG : que se passe-t-il si ton fournisseur meurt ?
- AP : mécanisme de redirection ?
Give yourself an uri ?
CNe reprend l'invitation de Tim B. Lee : give yourself an URI.
OGu :
- soit je suis un geek et je me débrouille
- soit je paye un service clé en main
CNe : oui il y a peut-être là une opportunité de buziness
Antoine : En Corée, une URI est associée à la carte d'identité (?).