Kommentare zu: OpenID und der gläserne Surfer

Von: EA PLAY » Playcast 37: OpenID - Passwort: Eisbär

EA PLAY » Playcast 37: OpenID - Passwort: Eisbär — Thu, 23 Aug 2007 13:45:34 +0000

[...] Die Risiken von OpenID [...]

Von: neunetz.com » Eigener OpenIDserver in 2 Minuten

neunetz.com » Eigener OpenIDserver in 2 Minuten — Wed, 02 May 2007 11:02:19 +0000

[...] Ralf Bendrath, der sich auch hier in den Kommentaren schon einmal kritisch zu OpenID geäußert hat, spricht beim Elektrischen Reporter (<- sehenswert!) unter Anderem über die datenschutztechnischen Gefahren von OpenID und versucht, das Argument ‘halt eigenen OpenID Server anlegen’ mit der Aussage zu entkräften, dass ja auch niemand sich seinen eigenen Emailserver anlegt. Stimmt, ich hab mir bis dato keinen eigenen Emailserver angelegt und plane das auch nicht. Vor wenigen Minuten habe ich mir aber meinen eigenen OpenID-Server installiert. [...]

Von: neunetz.com » OpenID Provider und Datenschutz: Teil 1

neunetz.com » OpenID Provider und Datenschutz: Teil 1 — Sat, 21 Apr 2007 22:17:21 +0000

[...] Der Tautologe » OpenID – technischer Hintergrund: [...] Über OpenID wird in…Handelskraft: Internet-TV: Revolution angekündigt… Über Joost, das…Carsten Pötter: OK, verstanden. Vielen Dank für…neunetz.com » Schnelldurchlauf: kurz vorgestellt (1): [...] MOG jetzt mit Youtube…MediaMaster — Flickr für CDs – blog :: weinschenker.name: [...] Noch mehr Info gibt’s… [...]

Von: Der Tautologe » OpenID - technischer Hintergrund

Der Tautologe » OpenID - technischer Hintergrund — Fri, 20 Apr 2007 14:51:37 +0000

[...] Über OpenID wird in letzter Zeit viel, teilweise auch kontrovers diskutiert, speziell was den Aspekt des Datenschutz betrifft. Viele befürchten, dass OpenID Provider ihre gesammelten Daten nutzen werden, um Profile zu erstellen. So bietet es sich aus vielerlei Gründen an, einen eigenen OpenID-Server zu betreiben, um Dritten nicht unnötig Informationen über das eigene Surfverhalten zu geben. Des Weiteren stellt sich für viele Anbieter die Frage, wie sie ihr Angebot OpenID-fähig machen können. Daher hier ein paar Informationen zu den technischen Details von OpenID (keine Garantie auf Korrektheit und Vollständigkeit). [...]

Von: Marcel Weiß

Marcel Weiß — Sun, 15 Apr 2007 13:40:33 +0000

“Wir sind auf der re:publica in einem Brainstorming auf einige, denke ich, witzige Ideen gekommen, wie man die Ablage der Datenbank-Inhalte so gestalten kann, dass der Identity Provider die Bezüge nicht mehr kennt. Wenn es so läuft, wie wir uns das vorstellen, sollte hinterher niemand mehr nicht mal mit einem Datenbank-Abzug etwas anfangen können.”

Das klingt interessant. Bin gespannt auf die weitere Entwicklung diesbezüglich. Denn hier -Datenschutz- liegt in der Tat ein, wenn nicht der Knackpunkt von OpenID. Wenn das relativ zufriedenstellend gelöst wird, könnte OpenID das Internet sehr viel nutzbarer machen.

Hat jemand ne Ahnung was mit dem Trackback da oben passiert ist? Meine Güte hat’s den vielleicht zerschossen.

Von: neunetz.com » Zwei deutsche OpenID Provider

neunetz.com » Zwei deutsche OpenID Provider — Sun, 15 Apr 2007 12:39:17 +0000

[...] Boris Erdmann: Der Besuch der re:publica hat…Carsten Pötter: Meine Bankverbindung hast Du? …Marcel Weiß: Carsten Pötter, inoffizieller Korrekturleser von…Carsten Pötter: Ja, sieht gut aus; gleich…tomblog » Blog Archive » Mediamaster – meine Musik überall: [...] Ich für meinen Teil… [...]

Von: Boris Erdmann

Boris Erdmann — Sat, 14 Apr 2007 09:43:14 +0000

Der Besuch der re:publica hat uns gezeigt, dass es hier noch einiges zu tun gibt. Für uns ist das vertraglich gegebene Versprechen natürlich bindend. Allerdings könnte man das Ganze auch technisch untermauern. Wir sind auf der re:publica in einem Brainstorming auf einige, denke ich, witzige Ideen gekommen, wie man die Ablage der Datenbank-Inhalte so gestalten kann, dass der Identity Provider die Bezüge nicht mehr kennt. Wenn es so läuft, wie wir uns das vorstellen, sollte hinterher niemand mehr nicht mal mit einem Datenbank-Abzug etwas anfangen können.

Personas: Das mit den Personas ist ja gerade dann witzig, wenn man diese über verschiedene OpenIDs (bei uns z.Zt. auf Anfrage) in einem Account verteilen kann. Sonst hampelt man ja wieder mit n über k Passwörtern rum. Und genau hier entsteht natürlich das Aggregations-Potenzial. Aber dazu siehe oben.

Von: Carsten Pötter

Carsten Pötter — Tue, 10 Apr 2007 18:34:07 +0000

Ich glaube schon, dass das Thema Datenschutz und Datensicherheit zu einem Wettbewerb unter OpenID Providern führen wird. Die Geschichte mit dem Staatsanwalt wir man nicht umgehen können; das stimmt wohl.

Es sollte auch klar sein, dass OpenID nicht für jeden Nutzer die ienzig wahre Lösung darstellt und es sollte auch weiterhin Alternativen der Registrierung geben, egal ob beim gleichen Dienst oder ob halt ein Dienst ohne OpenID das gleiche bietet wie einer mit.

Von: Marcel Weiß

Marcel Weiß — Tue, 10 Apr 2007 10:24:13 +0000

Ralf, die Anzeige hat nicht geklappt. Aber ich nehme mal an, Du meinst Re:publica.
Dass eine Konzentration von Daten auch zu einer Vergrösserung der Datenschutzproblematik führt, ist logisch. Ich bin mir nur nicht sicher ob das wirklich so schwerwiegend ist, dass man OpenID als Ganzes ablehnen sollte. Das war vielleicht etwas ungünstig ausgedrückt von mir.
Fakt ist, dass das Onlineleben mit Accounts auf dutzenden von Seiten verbunden ist und verbunden sein wird. Dazu wird sich irgendwann eine Lösung entwickeln. Was ich gut finde, den ich habe Accounts auf über 100 Seiten, gut das ist extrem und ich nutze nur einen Bruchteil, aber das Problem besteht und es wird eine Lösung dafür geben weil es ein wichtiges Problem im heutigen Netz ist. Den Usern muss mit den Vorteilen nur auch die Nachteile klar sein.

Mit den verschiedenen Personas meinte ich eher Accounts bei verschiedenen Providern. Der große Vorteil von OpenID ist imo auch noch gegeben wenn man 3 oder 4 verschiedene Accounts hat. Das ist immernoch besser als das Zehn- oder 25fache. Ich könnte zB meinen Aktivitäten als Blogger für neunetz.com, als Hobbymusiker und als Privatmensch auf verschiedene Accounts bei verschiedenen Providern legen.

Der Unterschied zu Passport ist ganz klar die Offenheit des Systems. Es gibt jetzt bereits etliche OpenID-Provider. Konkurrenz belebt das Geschäft und ist positiv für den User. Am leichtesten können sich Provider von ihren Konkurrenten abheben indem sie in Richtung Datenschutz Leistung anbieten.
Du hast allerdings recht die Problematik bleibt bestehen. Und für jeden, der Daten will, ist OPenID ein gefundenes Fressen. Cracker sprach ich ja auch schon an.

Hmm, gibt es denn einen besseren Ansatz für das Problem?

Von: Ralf Bendrath

Ralf Bendrath — Tue, 10 Apr 2007 01:31:04 +0000

Freut mich, dass mein kleiner englischer Blog-Eintrag mittlerweile auch in Deutschland für ein wenig Diskussion sorgt. Kurze Antwort hier:

Dass man natürlich mehrere IDs anlegen kann, hat ja Carsten schon erwähnt. Wie ich aber in meinem Post schrieb, geht damit der große Vorteil solcher Systeme – die Usability – den Bach runter.

Das mit den verschiedenen Personas sehe ich nicht als Vorteil, denn sie basieren alle auf der selben URI. Tracking und Profiling ist also genauso möglich.

Und zumm Thema “Man kann davon ausgehen, dass ein OpenID-Provider besonders auf Datenschutz achtet” – hey Leute, das ist naiv. Irgendwann steht dann mal ein Staatsanwalt auf der Matte, das Zeug wird gecrackt oder die Firma braucht frisches Geld. Wo bleiben dann alle eure Daten? Mit dem Argument hätte man auch bei Hailstorm oder Passport bleiben können. Dass solche Argumente in nach-StudiVZ-Zeiten überhaupt noch kommen können, ts ts ts.

Mehr live-Diskussion dazu (und zu anderen ID-Systemen) wird es am Mittwoch hier geben:
Ich bin gepannt.

Von: Carsten Pötter

Carsten Pötter — Mon, 09 Apr 2007 22:06:20 +0000

Danke für die Blumen. Thomas Huhn has sich mit dem Thema heute auch sehr ausführlich auseinandergesetzt; ist sehr lesenswert:
http://openidgermany.de/2007/04/09/openid-nein-danke/

Natürlich kann man auch mehrere Provider nutzen (Bendrath erwähnt das übrigens auch), aber vielleicht hilft es am Anfang z.B. Sxipper oder Xlogon als Provider zu nehmen. Beide erlauben es mehrere Personas zu haben, bei denen dann unterschiedliche Daten hinterlegt sind. Xlogon ist übrigens ein deutscher Provider.

Von: Marcel Weiß

Marcel Weiß — Mon, 09 Apr 2007 21:36:38 +0000

Das größte Risiko bei OpenID sehe ich eher darin, dass, ERfolg vorausgesetzt, OpenID irgendwann zum heiligen Gral der Hacker wird. Cracker, die sich Zugang zu einem OpenID-Provider verschaffen der die Onlineidentität von Millionen Usern verwaltet. Let’s talk about Supergau.

Da finde ich die Privacybedenken dagegen ziemlich nebensächlich. Man kann davon ausgehen, dass ein OpenID-Provider besonders auf Datenschutz achtet. Immerhin will so ein Unternehmen sein Geld damit verdienen, zuverlässlich seinen Usern eine Onlineidentität zu bieten. Wer das nicht tut, wer sich da ein Patzer erlaubt, der ist weg vom Fenster, so einfach ist das. Und ich denke, dass besonders OpenID-Provider zu den Unternehmen im Netz gehören werden die Geld verdienen werden. Nutzern wird ein sicherer Provider, der entsprechend Zuverlässigkeit bietet, etwas wert sein. Und mit deiner vorgestellten Lösung -Delegation- ist das Wechseln ja dann auch kein Problem. Aber: das wird bei etablierten Providern wie myopenid oder claimid nicht passieren. Wie Du schon sagst, ein solches Misstrauen ist bei Google mindestens ebenso gut aufgehoben. Wenn nicht sogar besser.

Und was Bendrath angeht: “You have a unique identifyer (your OpenID uri) for all relying parties, so you can’t choose between different cards or identites for different sites.”

Irgendwie habe ich die Regel übersehen, dass man nur eine OpenID besitzen darf..
Ich würde sowieso dazu raten, mehr als eine zu verwenden. Z.B.: Eine für professionelles bzw. arbeitstechnisches, eine für privates und eine für pron2.0-Seiten ..oder was weiß ich

guter Artikel! (hmm, ich muss aufhören meinen Gastautor zu loben..)