OpenID & Co.: The Next Web und die Sache mit den korrekten Informationen

Von Carsten Pötter

Gestern veröffentlichte das Techblog The Next Web einen Artikel von Brad McCarty über Facebook Connect, OAuth und OpenID. Selbstbewusst wählte er die Überschrift Facebook Connect, OAuth and OpenID: The differences and the future. Da erwartet der geneigte Leser so etwas wie eine Analyse oder zumindest gut recherchierte Hintergrundinformationen. Was McCarty dann aber zu sagen hat, ist mehr als dürftig. Teils sind die Informationen falsch oder im Fall von Facebook Connect und OAuth schlicht nicht mehr aktuell. Wäre der Artikel vor zwei Jahren erschienen, wäre das alles vielleicht noch OK gewesen sein. Heute jedenfalls nicht mehr.

Zu OpenID schreibt er:

There’s also the problem that it requires more than one handshake (introduction) in order to get data stored on a server. In fact, OpenID cannot, at this point, acquire that information on its own. It has to send a second request for OAuth to handle the information transfer.

Es wird nicht klar, welche Daten er meint. Grundsätzlich benötigt OpenID aber nicht OAuth, um Profildaten zu übertragen. Die Extensions Simple Registration (nur wenige Daten, zugegeben) und Attribute Exchange erledigen das ohne OAuth. Und:

Rumors are swirling that OpenID is working on a new standard called OpenID Connect that will be built on top of OAuth.

Naja, das sind nicht mehr nur Gerüchte. McCarty verlinkt doch explizit auf die Seite.

Über Facebook Connect weiß McCarty zu berichten:

With Facebook Connect, what we see are elements of both OpenID and OAuth. Facebook Connect can verify that you are who you say you are, and it can then provide access to your data once you’ve given it permission to do so.

Seit Facebook groß seine Open Graph API ankündigte, benutzt man dort OAuth 2: Facebook Platform uses the OAuth 2.0 protocol for authentication and authorization

OAuth 2 ist momentan allerdings noch ein Draft.

Leider ist McCarty nicht der einzige, der auf großen Techblogs bei diesen Themen versagt. In der Regel bringen solche Blogs inzwischen nur noch News; Analysen oder tiefer gehende Informationen kommen da zu kurz. Jedes Blog möchte eine “wichtige” Nachricht von Apple, Twitter oder Facebook als erstes bringen. Da zählt nur noch der Faktor Zeit. Andererseits ist die Open Web Community – um es vorsichtig auszudrücken – sehr zurückhaltend, auf diesen Blogs zu kommentieren und falsche Informationen zu berichtigen.

Deshalb ist es zu begrüßen, dass die OpenID Foundation den Blogger Jesse Stay angeheuert hat, um zukünftig über die Entwicklungen dort zu berichten.

XAuth: Mit Multihoming gegen Facebook (Connect)

xauthXAuth ist der Versuch von verschiedenen Unternehmen wie Meebo (das wohl der Initiator ist), Google, Yahoo, Microsoft, MySpace, JanRain und Disqus, etwas gegen Facebook und Facebook Connect in’s Rennen schicken zu können, dass dem Netzwerk-Giganten Facebook etwas Nennenswertes entgegen setzen kann.

Es ist eine klassische Strategie unterlegener Unternehmen gegen Marktführer in Technologiebereichen: Multihoming einfacher machen und Adapter zwischen vorher nicht verbundenen Systemen herstellen.

netzwertig.com schreibt:

Jede Website kann es ihren Besuchern mittels der XAuth-Plattform ermöglichen, sich über die von ihnen genutzen Social Networks einzuloggen und damit den persönlichen Social Graph mit sich herumzutragen sowie Aktivitäten von der jeweiligen Site innerhalb des identifizierten sozialen Netzwerks zu publizieren – ganz so wie man es von Facebook Connect kennt.

TechCrunch schreibt:

There is a central XAuth server that exists to facilitate data transfer between domains, but your personal information is never actually transferred through it. Instead, all personally identifiable information is stored in your browser using HTML5’s local storage — XAuth.org exists to verify which tokens a third party has access to. If you’re still wary, you can choose to opt out of XAuth using a control panel at XAuth.org.

[..]

Say MySpace decided it wanted to allow Meebo to automatically have access to its users’ friend lists. MySpace could include a session ID as part of its token that would grant Meebo access to that data, without any input required from the user. Using XAuth, MySpace could grant access to this token only to a select few partners on a whitelist, or it could open it up to any third parties who wanted it.

Das ganze ist natürlich nicht in erster Linie dazu gedacht, die online verteilten Identitäten zusammenzuführen, sondern ist ein schlichter Angriff auf Facebook. Dieser Angriff funktioniert nur, wenn man eine ähnliche Funktionalität wie Facebook bieten kann. Da Facebook im Vergleich zu den XAuth-Akteuren in diesem Feld um Dimensionen größer ist, ist ein Zusammenschluss der einzige Weg für diese: Die Zersplitterung wieder zusammenzuführen ist also Mittel, nicht Zweck.

Nur so können die beteiligten Unternehmen einen Mehrwert schaffen, der gegenüber dem Marktführer konkurrenzfähig ist: Multihoming über ihre gesamten Angebote hinweg einfacher machen. Und damit im Idealfall für die eigenen Angebote den Mehrwert steigern.

Man verbündet sich also und macht es den Parteien, die man überzeugen will, einfacher: Obwohl z.B. Online-Publisher und Endnutzer verschiedene, eigenständige Dienste nutzen, will man ihnen mit XAuth die Bequemlichkeit eines zentralen Dienstes zur Verfügung stellen.

Es ist der einzige Ansatz für diese Unternehmen gegen Facebook. Ob es ein Erfolg wird, ist dabei vollkommen offen. Unter anderem, weil es immanente Unterschiede zwischen zentral und dezentral geführten Plattformen gibt, die man nicht ohne weiteres überwinden kann.

Es beginnt bereits damit, dass XAuth auf Opt out statt Opt in setzt: Wer also einen der beteiligten Dienste bereits nutzt, nutzt künftig automatisch auch XAuth, wenn er sich nicht explizit dagegen entscheidet. Dafür hat sich natürlich keiner der betroffenen Endnutzer entschieden. Aber natürlich müssen sie die Endnutzer ohne zu fragen ins XAuth-Boot setzen, um überhaupt ein Momentum für XAuth zu bekommen. Mit XAuth stehen die Betreiber schließlich vor dem klassischen Henne-Ei-Problem zweiseitiger Märkte, alle Gruppen am Anfang an Bord zu bekommen..

It’s getting messy.

Socialthing! & co oder ‘meine Daten sind mir schnurz’

Zur Zeit geht wieder ein Dienst durch die Webgeekszene, bei dem ich nur mit dem Kopf schütteln kann. Socialthing! ist ein Lifestream-Dienst ähnlich Friendfeed (und dutzende andere). Man kann also seine fragmentierte Onlinepersönlichkeit hier zusammenführen.

Der Twist: Im Gegensatz zu Friendfeed das ausschließlich auf APIs und RSS-Feeds setzt, muss man bei Socialthing! seine Logindaten der aggregierten Dienste eingeben.

!

Hallo? Noch ganz knusper?

Ich finde die Unart, mit Passwörter abzufragen ziemlich, na, bedenklich. Es ist erstaunlich, dass dieser Vorgang mittlerweile als “üblich” angesehen wird.

Zum Glück wurde mit diesen Passwörtern, die man an dritte Webdienste weitergibt wenigstens noch nie Missbrauch getrieben. Oh, Moment. Da war doch eben erst am Wochenende etwas:

Your Email Password: A True Horror Story About Why We Need Authentication Standards – ReadWriteWeb

Dustin Brooks is a reader of Atwood’s excellent blog Coding Horror and sent Atwood the story of his sleuthing around the app, called G-Archiver.

“It didn’t really have the functionality I was looking for,” Brooks wrote, “but being a programmer myself I used Reflector to take a peek at the source code. What I came across was quite shocking. John Terry, the apparent creator, hard coded his username and password to his gmail account in source code. All right, not the smartest thing in the world to do, but then I noticed that every time a user adds their account to the program to back up their data, it sends and email with their username and password to his personal email box! Having just entered my own information I became concerned.

“I opened up a browser and logged in to gmail using his account information. It still worked.

“Upon getting to the inbox I was greeted with 1,777 emails with account information for everyone who had ever used the software and right at the top was mine. I decided to go ahead and blast every email to the deleted folder and then empty it. I may have accidentally changed the password and security question to something I don’t remember as well, whoops, my bad. I also contacted google to erase this account as I didn’t see a way to delete it myself.”

Die Ironie, dass der Launch von Socialthing und diese Horrorgeschichte quasi fast zusammenfielen, ist auch einem Kommentator auf TC, das die obige Story auch vorher behandelt hatte, nicht entgangen:

I love that this story comes immediately after this:

“These users should have known better than to type their email credentials into a third party service, so sympathy levels are at a minimum.”

I’ll just hop on over to SocialThing! now and enter my credentials (I wouldn’t anyway, but it was just funny).

 

Besonders bei GMail, an dem ja noch der ganze Rest an Google-Webdiensten hängt, sollte man besonders vorsichtig sein.

Das dürfte auch einer der Hauptgründe gewesen sein, warum Google als erste eine Oauth-ähnliche API veröffentlicht haben.

Dienste, die umfassenden Zugriff auf meine Accounts auf anderen Seiten benötigen, werde ich auch erst nutzen oder ausprobieren, wenn Oauth oder etwas Vergleichbares die Verzahnung zwischen den Seiten auf ein vernünftige Basis stellen. Alles andere ist einfach nur leichtsinnig.

Denn weder vertraue ich jedem dahergelaufenen Webdienst mit pastellfarbenen abgerundeten Ecken, noch will ich den anscheinend sich mittlerweile einbürgernden leichtfertigen Umgang mit Zugangsdaten unterstützen.

Google releast Contacts Data API

also known as die proprietäre Googlealternative, bis OAuth endlich nutzbar wird

Namentlich geht es darum, dass beispielsweise ein Kontaktabgleich zwischen Mail (hier Gmail) und einem Socialirgendwas-Dienst bezüglich sozialer Kontakte nicht über die Herausgabe von Loginname und Passwort läuft sondern über eine Authentifikation über die API.

Was man als Entwickler mit der Contacts Data API machen kann:

# Import a user’s Google contacts into their web or desktop application
# Export their application’s contact list to Google
# Write sync applications for mobile devices or popular, desktop-based contact management applications

Wie das funktioniert:

Instead of the 3rd party application itself asking for the username and password, it asks Google to retrieve that data. Google then uses the AuthSub mechanism to ask the user themselves to login if they aren’t already logged in and asks afterwards if it’s ok for that 3rd party application to access this data.

Das ist soweit schon mal toll und auf jeden Fall wesentlich besser, als die Unart, Logindaten zu fordern und auch einzugeben. Aber eine langfristige Lösung ist das auch nicht, denn:

Wenn OAuth nicht bald aus den Puschen kommt und jeder Dienst (beispielsweise etwa Yahoo und Windows Live Hotmail, beide wesentlich größere Emailanbieter und damit Kontaktdatensilos) folglich anfängt, Google folgend sein eigenes API-Süppchen zu kochen, kann man sich als Entwickler auch gleich einbuddeln.

 

Mehr zur Contacts Data API:

OpenID: Probleme, Lösungswege und Zukunft

OpenID scheint dieses Jahr langsam im (Web-)Mainstream anzukommen. Die Meldungen dieses Jahr über große Unternehmen die (zugegeben oft erst einmal halbherzig) OpenID anfangen zu unterstützen, brechen nicht ab. Wenn auch die meisten großen Seiten OpenID nur als Provider nicht als Consumer zunächst unterstützen (heißt man kann sich mit ihren Accountdaten anderenorts einloggen nur bei ihnen anmelden mit einer OpenID geht nicht, siehe hier zur näheren Erklärung).

Markus hat nun vor ein paar Tagen einen interessanten Text über OpenID geschrieben und ist dort besonders auf Probleme eingegangen:

Leider ist openID aber wie eine Kreditkarte bei der man dann auch nicht mehr mit Bargeld bezahlen kann, wenn man in einem Geschäft einmal mit ihr bezahlt hat, und leider kann man den Kreditkartenbetreiber dann auch nicht mehr wechseln.

Er erwähnt dann Delegation als Lösung dieses Problems (Zu Delegation siehe diesen Artikel von Carsten hier auf neunetz.com, außerdem wird im Agenturblog die Bedeutung von Delegation nochmal unterstrichen).

Ein weiterer Punkt, der sich durchsetzen wird mMn, ist, dass sowohl auf Consumer als auch auf Providerbasis unabhängige Emailadressen hinterlegt werden können. Mit diesen lässt sich dann im Notfall der Account sperren, wiederherstellen, whatever.

Markus:

Das Problem mit openID ist nicht, dass es zu Problemen kommen kann, sondern dass die Konsequenzen der Probleme unangenehmer sind als man sie sonst so antrifft.

Das Problem gibt es auch heute schon. Wenn man nämlich zum Beispiel einen Googleaccount hat und alles von Email über Feeds, Bookmarks, Fotos, SocialNetwork (Orkut) und Onlineoffice über Googledienste abwickelt. Deshalb gibt es seit geraumer Zeit die Möglichkeit in den Settings des Googleaccounts weitere Emailadressen neben der Gmail-Adresse zu hinterlegen. Im Falle des Passwortklaus kann man dieses ja nicht zurücksetzen und an Gmail senden lassen..

Außerdem wird es sich beim Großteil der Webdienste einbürgern, dass neben OpenID (oder welches webglobale Loginsystem sich auch durchsetzen mag) immer auch ein seitenexklusives Login angeboten wird, das sich wahlweise nachträglich zum Account hinzufügen lässt. Heißt, man wird die Wahl haben, ob man auf die Seite immer nur via OpenID zugreift oder aus Sicherheitsgründen oder warum auch immer einen separaten Zugang einrichtet. Das würde dann zB auf die sich aus jahrelangem Gebrauch herauskristallisierenden Lieblingsseiten zutreffen. (Ja, die Ironie ist mir durchaus bewusst.)

Oder aber es kommt ganz anders und eine Seite wie Facebook -oder Facebook selbst *gasp*- wird sich zum Rückgrat für das soziale Web entwickeln und mit der Öffnung in alle Richtungen in ein globales Loginsystem mutieren (evolutionieren?). [Das mag noch leicht lächerlich klingen, die Wahrscheinlichkeit dafür ist aber gar nicht so gering.]

Denn ehrlich gesagt: Vor ziemlich genau einem Jahr war ich sehr optimistisch, was OpenID anging. Der große Durchbruch, den ich für 2007 phantasierte, scheint nun dieses Jahr zu kommen. Aber ich sehe keine Lösungen für immer noch bestehende schwerwiegende Probleme:

Nachwievor ist die Usability nicht sonderlich gut -freundlich ausgedrückt. Alles ist viel zu kompliziert und schwer zu durchschauen für Normalnutzer. Datenschutz bleibt ein Problemfeld. Und auch die Securityprobleme sind nicht zu unterschätzen:

The problem(s) with OpenID « The Identity Corner

Dieser Artikel ist mit Vorsicht zu geniessen, da der Verfasser an einem konkurrierenden System zu OpenID arbeitet. Nichtsdestotrotz ist die Fülle an Problemen nicht gerade gering. Inwiefern einige der angesprochenen Probleme mit dem neuen OpenID2.0 behoben sind, kann ich nicht beurteilen. Zumindest kommt OpenID2.0 mit Verschlüsselung. (siehe zu OpenID2.0 auch diesen Artikel auf centernetworks vom November ’07)

Wie auch immer OpenID sich entwickelt, an einem seitenübergreifenden Identifikationsmechanismus für die Nutzer geht kein Weg vorbei. Die Anzahl nützlicher und damit regelmäßig genutzter Webdienste wird eher noch zu- denn abnehmen. Von nur temporär genutzten bzw. ausgetesteten Seiten ganz zu schweigen. Auch deswegen wird die Webevolution an einem weit verbreiteten Single-SignOn nicht vorbeikommen: Neue Dienste können leichter User akquirieren, wenn sie ihnen den Login so einfach wie möglich machen. Diese Mikrointeressen führen zwangsläufig zu einem Makrozustand der weitgehenden Flächenabdeckung.

Ich hoffe nur, wir implementieren hier nicht einen Standard, der uns in der Zukunft irgendwann aufgrund unzureichend beachteter Probleme in die Knie zwingt; und dann zum Bücken. Das reicht schon in Sachen in Email.

 

 

Wer sich für OpenID interessiert, dem sei nochmal die neunetz.com-Artikelserie von Carsten Pötter über OpenID vom letzten Jahr ans Herz gelegt. Carsten betreibt mit Thomas Huhn zusammen die Infoseite Spread OpenID. Thomas Huhn ist unter Anderem bekannt vom deutschen OpenID-Blog OpenID Blog Germany, vom OpenIDDirectory und dem OpenID-Provider meinguter.name.

 

(Link out like your life depends on it – that’s my motto :))

Der kleine OpenID Rückblick

Tja, der Monat Juli neigt sich unerbittlich seinem regnerischen Ende und ich habe es nicht fertig gebracht hier etwas über OpenID zu schreiben; ist mir etwas peinlich. Also dann mal direkt rein ins Geschehen und wenigstens die letzten zwei Wochen Revue passieren lassen, was sich so in der OpenID Community getan hat.

OpenID Bounty

Mit der I Want My OpenID Bounty wurde vor einem Jahr von Sponsoren wie Sxip, VeriSign, JanRain, NetMesh, Six Apart,… eine Aktion gestartet, die Open Source Projekte prämieren möchte, die OpenID entweder als Relying Party (RP) oder als Identity Provider (IdP) integrieren. Insgesamt können zehn Projekte eine Prämie in Höhe von je $5000 bekommen. Auf der diesjährigen O’Reilly Open Source Konferenz wurden die ersten drei Projekte prämiert: Drupal, Plone und DotNetNuke.

Wo ich gerade bei dieser Konferenz bin: David Recordon, Mitarbeiter bei VeriSign und Vize der OpenID Foundation wurde als Best Strategist für seine Arbeit an OpenID ausgezeichnet. Glückwunsch, nicht schlecht für einen Zwanzigjährigen.

Stromausfall in San Francisco

Teile San Franciscos waren am 24. Juli von einem Stromausfall betroffen; darunter befand sich auch ein großes Datacenter, wo u.a. Sites wie Six Apart, Craigslist und Technorati ihre Server haben. Mal davon abgesehen, dass dort so etwas wie Notstromaggregate eigentlich ihren Dienst verrichten sollten, hat dieser Stromausfall auch eine kleine Schwachstelle von OpenID aufgezeigt. Ein IdP wie LiveJournal (gehört bekanntlich zu Six Apart) war plötzlich nicht mehr erreichbar und Benutzer konnten somit keine Webseiten mit OpenID mehr benutzen. Dumm gelaufen.

RP’s haben allerdings die Möglichkeit mehrere OpenID’s für einen Account zuzulassen; leider machen davon die wenigsten Gebrauch. Vielleicht wachen jetzt ein paar von denen auf und ermöglichen ihren Nutzern das.

OpenID Non-Assertion Covenants

Bislang haben drei der führenden Unternehmen der OpenID Community sogenannte Non-Assertion Covenants veröffentlicht: JanRain, Sun und VeriSign. Damit versprechen diese Unternehmen, dass sie keine Forderungen irgendwelcher Art (Lizenzen, Gebühren,…) gegenüber Entwicklern geltend machen, die OpenID einsetzen möchten und dabei Patente dieser Unternehmen nutzen. Nicht ganz unwichtige Entscheidungen, wenn sich OpenID weiter verbreiten und entwickeln soll. Sxip hingegen haben eine solche Erklärung bislang noch nicht abgegeben, beteuern aber ihre Patente nur defensiv einzusetzen. Dafür müssen sie allerdings auch Kritik einstecken; sie halten sich hoffentlich an die Aussage.

OpenID Directory listet mehr als 300 Seiten

Das OpenID Directory führt mittlerweile mehr als 300 RP’s auf. Das sind selbstverständlich nicht alle Seiten mit OpenID Unterstützung, aber trotzdem nicht schlecht; 300 Seiten schön übersichtlich geordnet.

Ein paar neue Vertreter: Online Adressbuch Plaxo, Wikihoster Wikispaces und Taskmanager Toodledo. Meiner Meinung nach drei richtig gute Seiten.

Gibt es eine anonyme OpenID?

Es gibt so Tage, da denke ich mir, dass OpenID nicht so richtig vom Fleck kommt. Diese Vorstellung prägt sich größtenteils durch das Lesen der OpenID Mailingliste. Versteht mich nicht falsch: die Diskussionen dort sind wichtig, aber hin und wieder kommt der Gedanke auf, dass man das doch schon alles mal vor Wochen geklärt haben konnte. Naja, wird wohl bei vielen anderen Projekten ähnlich sein.

Anderen Leuten widerum schreitet die Entwicklung viel zu schnell voran, und sie sehen schon überall im Netz das OpenID Logo blinken; gezwungen OpenID zu nutzen, sofern sie sich überhaupt noch im Netz bewegen möchten. Soweit sind wir aber noch lange nicht. Da fehlen einfach noch ein paar tausend wichtige Seiten, die dann stolz OpenID enabled auf der Registrierungseite verkünden können.

Aber was tun, wenn es doch geschieht? Was sollen dann die Trolle der Netzwelt, die Spammer dieser Erde, die Anonymen Kommentierer und weiteres Gesindel tun, um den Rest der Welt zu belästigen? Ist eine OpenID nicht so etwas wie ein Ausweis? Lässt sich dann nicht jeder Kommentar einer bestimmten Person zuordnen? Aus und vorbei mit dem Trollen? Wird das Netz sauber und gut? Leute, keine Panik! Alles bleibt wie es ist.

Wir bleiben anonym

Erst einmal ist eine OpenID natürlich kein Ausweis. OpenID verifiziert von Hause aus nicht, ob mein Name nun Carsten Pötter oder doch eher Marcel Weiß ist. Grundsätzlich kann man nur davon ausgehen, dass hinter einer OpenID – einer URI, also eindeutig – immer die gleiche Person steht. Sieht man also auf Blog ABC einen Kommentar von def.openidprovider.com und bei dem Social Netwerk Tolle Freunde einen Nutzer mit eben jener OpenID, sollte dahinter jeweils die gleiche Person stehen.
Möchte ich jetzt nun weiterhin durch das Netz trollen, kann ich mir natürlich einfach OpenID’s bei unterschiedlichen Providern besorgen; bei Provider A bin ich der seriöse Carsten Pötter (OK, kleiner Scherz am Rande) und die OpenID von Provider B nutze ich zum Trollen. Ist das jetzt anonym? Vielleicht noch nicht so richtig.

Gehen wir also einen Schritt weiter. Weiter oben habe ich die Wörter grundsätzlich und sollte benutzt, was durchaus seinen Grund hat. Es gibt nämlich einen komplett anonymen OpenID Server: www.jkg.in/openid.
Bereits beim Aufruf der Seite wird einem eine automatisch generierte OpenID angeboten; gefällt die einem nicht, kann man auch seine Wunsch OpenID nehmen, jkg.in/openid/tollerhecht oder so etwas. Loggt man sich damit bei einer Seite mit OpenID Unterstützung ein, erfolgt keine Weiterleitung zurück an den Server, um dort ein Passwort einzugeben, ein Browserzertifikat abzufragen oder sonstige Authentifizierungsmaßnahmen, die bekannte OpenID Provider nutzen. Man ist eingeloggt, einfach so. Und weil mich niemand authentifiziert, kann diese OpenID auch jeder andere nutzen. Hinter jkg.in/openid/tollerhecht verbirgt sich vielleicht einmal Marcel und einmal ich. Ich hoffe mal, dass das anonym genug ist. Wie gesagt, alles bleibt wie es ist und grundsätzlich sollte man mal von gar nichts ausgehen. ;)

Fazit

Wie man an dem Beispiel sieht, kann man einer OpenID ohne weitere Verifizierung nicht trauen. Es stellt sich natürlich auch die Frage, ob ein solcher OpenID Server überhaupt lange genug bestehen bleiben wird bzw. ob alle OpenID Consumer ein Login von diesem Server akzeptieren werden. Die Möglichkeiten des Missbrauchs sind doch als weitaus größer einzuschätzen als evtl. Nutzen, denke ich mal. Aber Ihr seht, dass OpenID auch völlig anonym funktionieren kann. Gut? Schlecht? Egal?

Wo kann ich meine OpenID nutzen?

Im ersten Artikel zu der kleinen OpenID Serie hier auf Neunetz wurde ja bereits das Thema OpenID Provider und auch OpenID Consumer angesprochen. Ich habe dabei zwar ein paar Beispiele für Consumer gegeben und auch auf das OpenID Directory zur weiteren Recherche verwiesen, aber ich wurde gerade letztens wieder von einem Arbeitskollegen gefragt, wo man denn nun eine OpenID einsetzen kann. Also hier mal eine kleine Auswahl an Diensten, die man (fast) täglich gebrauchen könnte.

  1. Ma.gnolia: Ma.gnolia ist ein Social Bookmarking Dienst, der meines Erachtens ein paar sehr schöne Features aufweist, die ihn von anderen unterscheiden. Zum einen gibt es dort ein Unmenge an Gruppen zu den unterschiedlichsten Themen; das macht es besonders einfach, lesenswerte Artikel zu finden. Um auf dem laufenden zu bleiben, kann man natürlich den Feed der Gruppe abonnieren. Total liebenswert ist Give Thanks. Einfach anderen danken, dass sie bereits eine gute Seite gefunden und sich die Mühe gemacht haben, diese zu beschreiben und mit Tags zu versehen. Ich stehe auf so kleine, fast unscheinbare Features.
  2. Zooomr: Digitalkameras, Handys mit Kamerafunktion,… immer mehr Leute schießen schon fast minütlich Fotos und die Bilder müssen irgendwohin; Flickr fällt wahrscheinlich jedem sofort ein. Zooomr ist ein ähnlicher Dienst, der für sein neues Release, Mark III, mit einer ganzen Reihe neuer Features aufwartet; naja, besser aufwarten wird. Momentan haben die Jungs eine Pechsträhne mit der Hardware. Läuft aber hoffentlich bald wieder.
  3. Pibb: Pibb ist ein kleines Kommunikationswerkzeug von JanRain, den Leuten hinter myOpenID.com. Pibb funktioniert sowohl als Instant Messenger als auch als eine Art IRC Ersatz. Es gibt verschiedene Kanäle mit einzelnen Threads; Unterhaltungen können sowohl öffentlich als auch privat geführt werden.
  4. Social Networks: Natürlich gibt es Social Networks mit OpenID Anmeldung. Jyte ist ein weiteres Produkt von JanRain, was einfach ziemlich viel Spaß macht. Man stellt eine Behauptung auf, die entweder ganz allgemein gehalten sein kann, aber auch über andere Jyte Mitglieder oder über sich selbst. Jedes Mitglied kann nun seine Meinung und Zustimmung (oder Ablehnung) dazu abgeben; User können auch getaggt werden. Hört sich vielleicht nicht spannend an, ist aber ganz lustig.
    Ex.plode.us ist ein britischer Dienst,den man vielleicht am ehesten mit MyBlogLog vergleichen kann; vergleichbare Widgets gibt es auch. Zudem durchsuct Ex.plode.us eine ganze Reihe von Social Networks (Flickr, Twitter, Vox, Tribe,…) nach Freunden und Bekannten. Gefällt mir insgesamt zimelich gut.
  5. Buxfer: Mit Buxfer kann man seine Finanzen in den Griff bekommen. Na gut, es ersetzt wahrscheinlich nicht StarMoney oder Quicken, aber dafür kann man wunderbar sehen, wem man noch Geld schuldet bzw. wer einem selbst noch den ein oder anderen Schein bislang schuldig geblieben ist. Buxfer sollte man sich mal näher ansehen, wenn man z.B. in einer WG lebt.
  6. Wikitravel: Wie der Name schon vermuten lässt handelt es sich hier um eine Wiki basierte Seite für Reiseempfehlungen. Ganz brauchbar, wenn man sich schnell über ein Reiseziel informieren möchte, ohne gleich einen Reiseführer zu kaufen.
  7. Netscape: Zu Netscape muss ich wahrscheinlich nicht mehr viel schreiben. Es ist eine wirklich gut gemachte Social News Seite, die ihren Platz irgendwo zwischen Digg und Reddit gefunden hat.

Es gibt natürlich noch weit mehr Seiten, die OpenID unterstützen, aber diese hier sollen erst einmal als kleine Auswahl reichen. Einfach mal anschauen. :)

Übersicht: Rund um OpenID

Wie den Älteren unter Euch bekannt sein dürfte, schreibt Carsten Pötter seit Anfang April diesen Jahres auf neunetz.com regelmäßig über Themen rund um OpenID.

Zeit für eine erste, kleine Übersicht:

 

Ich denke, das ergibt schon mal eine nette Anlaufstelle, um sich über OpenID zu informieren. An dieser Stelle noch einmal Danke an Carsten! Freu mich schon auf weitere Artikel über dieses Themengebiet.

Sun, MyBlogLog und die deutsche Presse

Nachdem Euch Marcel letzte Woche erklärt hat, wie man einen eigenen OpenID installiert, fasse ich diese Woche mal die Nachrichten der vergangenen zwei Wochen zusammen; ob das chronologisch wird, mal sehen. ;)

Sun mit eigenem OpenID Server

IT Riese Sun Microsystems hat für seine 34.000 Beschäftigten einen eigenen OpenID Server eingerichtet.

Damit wird zum ersten Mal OpenID in einer unternehmensweiten Arbeitsumgebung eingesetzt; aufgrund der großen Anzahl von Mitarbeitern bei Sun kann somit getestet weden, ob sich OpenID in einer solchen Umgebung bewähren wird, wie es genutzt wird und welche Risiken für ein Unternhemen evtl. entstehen könnten. Sollte dieses Experiment erfolgreich verlaufen, dürften sicherlich andere (große) Unternehmen zumindestens darüber nachdenken, ob OpenID zu ihnen passt und ob sie davon profitieren können.

Mit einer OpenID von Sun kann sich jeder als Sun Mitarbeiter zu erkennen geben und evtl. auch auf spezielle Angebote anderer Anbieter, die ausschließlich für Sun Mitarbeiter gedacht sind, zurück greifen. Aus der Pressemitteilung:

People using Sun based OpenID identifiers at an OpenID-accepting website can convey in this simple and secure manner that they are indeed Sun employees, a piece of information that can enable access to employee discounts and unlock other special services all across the web. Sun will work with partners to
extend special services on this basis.

OpenID in der deutschen Presse

In der Frankfurter Rundschau ist am Freitag ein Artikel zu OpenID erschienen, der meiner Meinung nach recht objektiv ist.

Bereits am 25. April hatte Janko Röttgers im Focus bereits einen Artikel mit ähnlichem Grundtenor veröffentlicht. Die Kommentare gehen aber eindeutig in eine negative Richtung; Aufklärung und Diskussion ist mal wieder angesagt.

MyBlogLog wird OpenID unterstützen

Und diese Geschichte ist mal wieder etwas seltsam. MyBlogLog möchte zukünftig OpenID unterstützen. Hört sich doch gut an, warum also seltsam?

MyBlogLog gehört zu Yahoo, ebenso wie Flickr und Upcoming. Nun hat Yahoo schon eine Weile ein eigenes Single Sign-On System mit der Yahoo ID, welches man kürzlich sowohl den Flickr als auch den Upcoming Usern aufs Auge gedrückt hat. Die waren nicht sonderlich begeistert und Yahoo hat dafür eine Menge Prügel einstecken müssen.

Warum will MyBlogLog jetzt ausgerechnet OpenID einsetzten? Haben die das mit irgendjemanden bei Yahoo abgesprochen? Nein, dann haben sie ein Problem. Ja, was auch wahrscheinlicher ist, dann verstehe ich Yahoo nicht mehr. Mal abwarten, was da passiert.

Eigener OpenIDserver in 2 Minuten

Ralf Bendrath, der sich auch hier in den Kommentaren schon einmal kritisch zu OpenID geäußert hat, spricht beim Elektrischen Reporter (<- sehenswert!) unter Anderem über die datenschutztechnischen Gefahren von OpenID und versucht, das Argument ‘halt eigenen OpenID Server anlegen’ mit der Aussage zu entkräften, dass ja auch niemand sich seinen eigenen Emailserver anlegt. Stimmt, ich hab mir bis dato keinen eigenen Emailserver angelegt und plane das auch nicht. Vor wenigen Minuten habe ich mir aber meinen eigenen OpenID-Server installiert.

Ben Dodson hat ein Skript online gestellt, mit dem man kinderleicht innerhalb von 2 Minuten seinen eigenen OpenID-Server installieren kann. Hier geht’s zu phpmyopenid. Es handelt sich dabei um eine mit einem einfachen Installer versehene Version von phpMyID.

Ich hab es installiert und es war in der Tat sehr einfach. (In fact: ich habe spasseshalber mit der Uhr mitgestoppt und habe knapp 7 Minuten gebraucht, aber nur weil ich auf meiner Festplatte meine index.php erst suchen musste.)

Wer Webspace mit php sein Eigen nennt, weiß wie man Nutzungsberechtigungen von Dateien mit seinem FTP-Programm einstellt und weiß wie man die index.php oder index.html der eigenen Seite verändert, der besitzt die Fähigkeiten, seinen eigenen OpenID-Server zu installieren.

Um es kurz zu machen: Wer erfolgreich wordpress installieren kann, kann auch erfolgreich seinen eigenen OpenID-Server installieren. Mit dem gleichen zeitlichen Aufwand.

Die Installation in 7 kurzen Schritten:

  • phpmyopenid hier runterladen
  • entpacken
  • den entpackten Ordner in Rootordner des webspace hochladen
  • Zugriffsberechtigungen des phpmyopenid-Ordner mit ftp-Programm zu CHMOD 777 ändern
  • http://www.eigeneseite.com/phpmyopenid/install.php aufrufen, Nutzernamen und Passwort eingeben und abspeichern
  • anschließend angegebene Metatags in den <head> Bereich von index.html der eigenen Seite eintragen
  • install.php löschen und die Zugriffsberechtigungen des Ordners auf CHMOD 755 ändern (damit niemand die OpenID ändern kann)
  • Fertig!

 

Inwiefern solche selbst aufgesetzten OpenIDs aufgrund ihrer Spamanfälligkeit in ein paar Jahren noch von anderen Seiten neu akzeptiert werden, steht allerdings auf einem anderen Blatt. Schließlich können auch Spammer sich so schnell ihre eigenen OpenIDs einrichten. Da wird es noch eine Lösung für brauchen.

 

Was meint denn unser hiesige OpenID-Experte zum eigenen OpenIDserver? Ich weiß ja, dass Sie sich das auch schon mal angeschaut haben. Herr Pötter, übernehmen Sie.

Tags:[tag]OpenID[/tag]

OpenID Provider und Datenschutz: Teil 2

Nachdem wir uns letzte Woche die beiden deutschen OpenID Provider Xlogon und Meinguter.name in Bezug auf Datenschutz etwas näher angesehen haben, sind heute die beiden US Provider myOpenID und claimID an der Reihe.

Achtung! Wer den Artikel von letzter Woche nur in seinem Feed Reader gelesen hat, sollte noch einmal einen Blick darauf werfen. Mir ist da ein peinlicher Fehler unterlaufen und ich habe den Artikel deshalb noch einmal ergänzt bzw. zusammen gestrichen. Ich hoffe mal, dass ich diesen Artikel heute ohne Fehler schaffen werde.

myOpenID

Die Nutzungsbedingungen von myOpenID entsprechen in vielen Punkten denen von Xlogon. Das betrifft sowohl die Änderung der Nutzungsbedingungen (inkl. Benachrichtigung der Nutzer bei erheblichen Änderungen) als auch der Sorgfaltspflicht der Nutzer (unter Nutzernamen und OpenID verbreitete Inhalte gehen zu Lasten der Nutzer). myOpenID weist zwar darauf hin, welche Inhalte man nicht haben möchte, stellt aber klar, dass diese selbst nicht kontrolliert werden und man evtl. auch auf anstößige Inhalte stoßen kann.

Die Weitergabe von Namen und Kontaktinformationen an Dritte wird ausgeschlossen. Es erfolgt ebenso keine Überwachung und Weitergabe von Inhalten (Ausnahme wie eigentlich überall: Strafverfolgungsbehörden).

Bei Xlogon bin ich ja bereits auf die Beendigung des Nutzungsverhältnisses eingegangen. Bei myOpenID werden ebenfalls die Inhalte gelöscht; der Nutzername bleibt jedoch bestehen. Die Begründung ist auch sehr einleuchtend: Man will vermeiden, dass jemand anderes den gleichen Nutzernamen verwenden kann, den ich bei meinem alten myOpenID Account benutzt habe. Für andere Personen ist nämlich nicht erkennbar, dass ich selbst nicht mehr hinter dieser OpenID stehe, was unter Umständen zu bösen Überraschungen führen könnte.

claimID

claimID verfährt bei Änderung der Nutzungsbedingungen genauso wie Xlogon und myOpenID. Im Gegensatz zu allen anderen bislang genannten Providern darf claimID nur privat genutzt werden. Nutzer dürfen keine Services an Dritte aufgrund von mit claimID erstellter Daten verkaufen; Spam wird ausdrücklich verboten.

claimID verkauft oder verleiht keine persönlichen Daten der Nutzer an Dritte. Ausnahmen werden bei einer Übernahme der Firma und bei Strafverfolgungsbehörden gemacht. Desweiteren behält man sich vor, im Rahmen von Studien bei claimID selbst (die Betreiber haben Informationswissenschaften studiert) anonymisierte Daten von Nutzern zu verwenden. Alle von Nutzern eingestellte Daten unterliegen einer Creative Commons Attribution Share-Alike Lizenz.

Bei Beendigung des Nutzungsverhältnisses werden die Accounts gelöscht.

Fazit

Anhand der Nutzungsbedingungen lassen sich keine wirklich gravierenden Unterschiede zwischen deutschen und amerikanischen Providern festmachen. Meinguter.name fällt da sogar etwas aus dem Rahmen. Eins sollte auch klar sein: Strafverfolgungsbehörden haben in beiden Ländern Zugriff auf die Daten.

Ein wesentlicher Unterschied zwischen den USA und Deutschland besteht darin, dass es in den USA kein bundesweites Datenschutzgesetz gibt. Es gibt in den einzelnen Bundesstaaten aber wohl verschiedene Ansätze in dieser Richtung. Interessant scheint mir auch, dass es ausgerechnet aus der Wirtschaft Bestrebungen gibt, einen einheitlichen Datenschutz zu schaffen. Microsoft ist hier sogar Vorreiter. Auch haben sich viele US Firmen verpflichtet, die strengeren Datenschutzbestimmungen der EU zu beachten; solche Firmen sind in der Safe Harbor List des US Handelsministeriums aufgeführt.

Ruft man sich jetzt Stichworte wie Vorratsdatenspeicherung und Bundestrojaner ins Gedächtnis zurück, bin ich mir nicht sicher, ob es noch wesentliche Unterschiede zwischen beiden Ländern gibt. Also immer schön die Nutzungsbedingungen lesen.

OpenID Provider und Datenschutz: Teil 1

OpenID und Datenschutz, ein Thema, das scheinbar irgendwie zusammen gehört. Ansonsten lässt sich kaum erklären, warum wir in den vergangenen Beiträgen doch auch immer mal wieder auf das Thema zu sprechen gekommen sind; und sei es auch nur in den Kommentaren. Marcel fand meine Aussage, dass man hinsichtlich des Datenschutzes mit einem europäischen bzw. deutschen Provider in der Regel besser fahren würde als mit einem US Provider, zu allgemein. Tja, irgendwie liegt er damit auch nicht wirklich falsch.

Ich habe mir deshalb mal die Nutzungsbedingungen und, sofern vorhanden, die Datenschutzerklärungen von vier OpenID Providern angesehen: Xlogon (DE), Meinguter.name (DE), myOpenID (US) und claimID (US). Auf Provider wie AOL, WordPress.com, etc. werde ich nicht eingehen, weil 1) es sonst einfach zu viele würden, 2) ich sowieso kein Jurist bin und 3) diese nicht reine OpenID Provider sind. Heute werden wir uns erst einmal die beiden deutschen Provider ansehen und wahrscheinlich nächste Woche die beiden amerikanischen.

Xlogon

Update 25.04.2007: Da ich diesen Artikel und den am Sonntag folgenden über mehrere Tage hinweg geschrieben habe, habe ich wohl die Nutzungsbedingungen für den IdP und die für das Blog von Xlogon teilweise gemixt. So etwas darf nicht vorkommen. Ich möchte mich ausdrücklich für den Hinweis von Boris Erdmann (Xlogon) bedanken und gleichzeitig um Entschuldigung bitten.

Die Nutzungsbedingungen von Xlogon sind sehr umfangreich und detailiert. Sie können jedoch, von erheblichen Änderungen abgesehen, geändert oder ergänzt werden, ohne dass die Nutzer darüber informiert werden müssen. Das ist eine Klausel, die man bei den unterschiedlichsten Firmen und Dienstleistungen finden kann und auch nicht wirklich zu beanstanden ist. Ich stelle mir nur immer die Frage, wann eine Änderung erheblich ist. Ich denke mal, dass man das im Zweifelsfall von einem Gericht klären lassen kann.

Angaben des Nutzers erfolgen auf rein freiwilliger Basis und die Nutzerdaten dienen nur zur Bereitstellung des Angebots. Prinzipiell muss ich nicht eine einzige private Angabe machen, um Xlogon nutzen zu können. Eigentlich ganz praktisch. Sollte die Firma jedoch auf die Idee kommen, die Daten in anderer Form nutzen zu wollen, erfordert das die vorherige Zustimmung der Nutzer. Xlogon wird bei Beendigung des Nutzerverhältnisses alle personenbezogenen Daten löschen, was eigentlich sehr zu begrüßen ist. Es stellt sich mir jedoch die Frage, ob auch der Nutzername der OpenID gelöscht wird. Warum das interessant sein könnte, erfahrt Ihr, wenn wir uns myOpenID anschauen. Update: s. Kommentar von Boris Erdmann

Cookies werden nur während einer kontinuierlichen Anmeldung bei Xlogon pseudonymisiert gespeichert; loggt man sich aus, werden diese gelöscht. Finde ich sehr gut. Ansonsten gibt es die üblichen Klauseln, dass Nutzernamen, Nutzerbild und Inhalte (= Fotos, Videos, Texte,…) nicht gegen geltendes Recht, Rechte Dritter, gute Sitten, usw verstoßen dürfen. In diesem Zusammenhang ist vielleicht ganz interessant zu wissen, dass auch Codes – also Abkürzungen und Begriffe -, an denen sich Mitglieder extremistischer Szenen erkennen, ebenfalls verboten sind. Das habe ich in der Form noch nirgendwo sonst gelesen.
Standard ist die Klausel, dass alle unter dem Nutzernamen und der OpenID verbreiteten Inhalte zu Lasten des Nutzers gehen.

Inhalte selbst werden Xlogon zeitlich und räumlich unbeschränkt, jedoch nicht exklusiv, zur Verfügung gestellt und können auch öffentlich zugänglich und auf Abruf bereit gestellt werden. Das gilt auch für Strafverfolgungsbehörden.
Update: Daten werden ausdrücklich nicht an Dritte weiter gegeben; eine Ausnhame besteht nur bei Strafverfolgungsbehörden (s. § 14 Telemediengesetz) und um Schaden vom Betreiber selbst abzuwenden.

Meinguter.name

Die Nutzungsbedingungen bei Meinguter.name fallen dagegen recht übersichtlich aus. Zudem sind sie im Wesentlichen von E-Recht 24 übernommen worden.

Es wird die Haftung von Inhalten und Links geklärt und auf das Urheberrecht eingegangen; interessant ist lediglich der Absatz zum Datenschutz. Personenbezogene Daten werden (soweit möglich) nur auf freiwilliger Basis erhoben und der Dienst selbst soll auch möglichst ohne diese Daten erfolgen können. Diese Daten werden von Meinguter.name nicht an Dritte weiter gegeben. Wer seine E-Mail Adresse angibt, willigt allerdings ein, dass er E-Mails sowohl von Meinguter.name erhält als auch von anderen Diensten des gleichen Betreibers, also Solution Media.

Insgesamt würde ich mir hier durchaus weitere und vor allem genauere Angaben wünschen. Meinguter.name hängt meiner Meinung nach doch zu sehr an der Mustervorlage von E-Recht 24.

Beim nächsten Mal sind dann die Amis an der Reihe.

Zwei deutsche OpenID Provider

Nachdem wir in den vergangenen zwei Wochen geklärt haben, was OpenID Provider sind, wie Delegation funktioniert und dass es evtl. datenschutzrechtliche Probleme geben könnte, beschäftigen wir uns heute mal etwas näher mit zwei deutschen Providern. Beide sind erst in den letzten paar Wochen an den Start gegangen und bieten den Usern doch sehr differenzierte Konzepte an. Es gibt noch einen dritten deutschen OpenID Provider – Regged von Sebastian Egbers -, der jedoch eher privater Natur ist.

Meinguter.name

Meinguter.name ist ein OpenID Provider, der von der Firma Solution Media aus Kaiserslautern bereit gestellt wird. Solution Media beschäftigt sich mit verschiedenen Projekten aus den Bereichen Web 2.0 und Semantic Web. Die Firma steht auch hinter dem OpenID Directory und dem OpenID Blog Deutschland. OpenID kennen sie also. Die OpenID’s sind wie folgt aufgebaut:username.meinguter.name.

Zusätzlich bietet Meinguter.name auch einen interessanten Ansatz in Richtung Onlineidentität. Es wird regelmäßig das Netz nach dem eigenen Namen durchsucht und man braucht dann nur noch zu entscheiden, ob ein Beitrag einen selbst betrifft oder eben einen Namensvetter. Keine Vorstellung wie das aussehen soll? Mein Profil findet sich hier.
Datenschützer werden vermutlich Amok laufen, aber für den ein oder anderen kann es durchaus sinnvoll sein, das eigene Profil öffentlich zugänglich zu machen: zukünftige Arbeitgeber können sich schnell einen Überblick verschaffen, Bekannte finden einen wieder, Selbstdarstellung, Profilneurose. Alles ist möglich; entscheiden muss wieder mal jeder für sich selbst.

Xlogon

Xlogon wurde von der Firma 4commerce Technologies aus Hamburg gegründet, die sich auf Softwarelösungen im Bereich CRM und Informationsprozesse konzentriert.

Das Konzept ist hier ein anderes als bei Meinguter.name. Xlogon bietet seinen Nutzern die Möglichkeit, verschiedene Profile, sogenannte Personas, anzulegen. Dahinter steckt die Idee, dass ich nicht allen Webseiten, bei denen ich mich mit meiner OpenID anmelde, die gleichen Nutzerdaten übermitteln möchte. Beispielsweise kann es sinnvoll sein, für nicht regelmäßig genutzte Seiten und Dienste eine Persona anzulegen, die nur das nötigste enthält: einen Nutzernamen. Für Business Netzwerke hingegen können es dann schon mehr und detailiertere Angaben sein. So kann ich bei Xlogon also von Fall zu Fall entscheiden, welche Daten eine Seite zu sehen bekommt. Die OpenID ist in der Form xlogon.net/username aufgebaut.

Zu Xlogon siehe auch den Kommentar von Boris Erdmann zu dem Artikel von letzter Woche und den Artikel zu Personas im Xlogon Blog.

Schluss

Wie Ihr seht, verfolgen beide Provider doch sehr unterschiedliche Konzepte. Welches Konzept einem selbst am ehesten zusagt ist Geschmackssache. Zudem glaube ich nicht, dass die beiden die einzigen professionellen Provider in Deutschland bleiben werden, so dass die Auswahlmöglichkeiten in absehbarer Zeit weiter zunehmen dürften. Einfach mal die Augen offen halten und dann entscheiden.

OpenID und der gläserne Surfer

Diese Woche hat OpenID von deutscher Seite etwas Gegenwind bekommen. Ralf Bendrath, Politikwissenschaftler und Aktivist im Arbeitskreis Vorratsspeicherung, hat sich OpenID angesehen und kommt zu dem Schluss, dass es schlicht nichts taugt. Ein weiterer Blogger hat sogar eine Kampagne gegen OpenID gestartet – OpenID, Nein Danke.

Profiling

Beide sehen das größte Problem von OpenID darin, dass die Provider ohne Probleme Nutzerprofile anlegen könnten. Jede Website, die ich mit OpenID nutzen möchte, muss bei meinem OpenID Provider anklopfen, damit dieser mich authentifiziert. Somit kennt mein Provider jedes Blog und jedes Social Network, das ich mit meiner OpenID nutze. Im Zweifelsfall kennt er mein Surfverhalten besser als ich selbst.

Ich gebe zu, dass das ein Problem darstellt und mir ist nicht bekannt, dass es hier eine zufriedenstellende Lösung gäbe. Momentan kann man sich als User nur auf die Datenschutzbestimmungen des Providers und die des Landes, in dem dieser seinen Sitz hat, verlassen. In der Regel ist man bei einem europäischen Provider in dieser Beziehung besser dran als bei einem in den USA ansässigen. Halt, es gibt doch noch eine weitere Möglichkeit: Man wird selbst OpenID Provider und nutzt dazu das eigene Blog oder die eigene Website.

Wird ein OpenID Provider aber überhaupt zu solchen Mitteln greifen? OpenID Provider dürften sicherlich die längste Zeit User gehabt haben, wenn bekannt werden sollte, dass mit den persönlichen Daten der User nicht sorgfältig umgegangen wird oder diese gar weiter gegeben werden. Die Reputation eines Providers wird auch im Hinblick auf die Gefahren durch Phishing sehr davon abhängen wie er es mit Datensicherheit und Datenschutz hält. Dieser Punkt dürfte bei weiterer Verbreitung von OpenID zu einem wesentlichen Kriterium der Wahl des Providers werden. Die Provider sollten also aus gewissem Eigeninteresse heraus eben nicht fröhlich Profile anlegen. Wunschdenken? Ok, kann auch sein.

Delegation

Was soll ich als User aber unternehmen, wenn ich meinem Provider nicht mehr traue? Eventuell habe ich mich bereits bei mehreren Sites mit einer OpenID von nichtvertrauenswuerdig.com angemeldet. Zwar kann ich zu einem anderen Provider wechseln, aber ich verliere dann z.B. meine Einstellungen und Freunde bei Social Networks. Die Lösung heißt Delegation.

Delegation bedeutet, dass ich z.B. die URI meines Blogs als OpenID nutze (in meinem Fall notsorelevant.com) und mich mit dieser bei OpenID unterstützenden Sites einlogge. Dazu muss ich aber nicht selbst OpenID Provider sein. In den Kopfbereich (Head) meines Blogs füge ich lediglich zwei bzw. drei Zeilen Code ein, der der anfragenden Site mitteilt, wer mein Provider ist und sie an diesen weiter leitet. Konkret? Ok, bei myopenid.com sieht das dann z.B. wie folgt aus:

<link rel="openid.server" href="http://www.myopenid.com/server" />
<link rel="openid.delegate" href="http://username.myopenid.com/" />
<meta http-equiv="X-XRDS-Location" content="http://username.myopenid.com/xrds" />

Da ich nichtvertrauenswuerdig.com kein Vertrauen mehr entgegen bringe, ersetze ich den Code dieses Providers z.B. durch den von myopenid.com. Fertig. Für mich ändert sich dadurch gar nichts; ich kann weiterhin notsorelevant.com als OpenID nutzen. Ganz einfach.

Schlussbemerkung

Wer OpenID nutzen möchte sollte sich informieren wie das funktioniert und welche Gefahren evtl. bestehen. Das gilt aber nicht nur für OpenID, sondern grundsätzlich immer, wenn ich mich im Netz bewegen möchte. Ich vertraue dem Admin meines Mailproviders, dass er meine Mails nicht liest, meinem ISP, den Betreibern der zahlreichen Social Networks, und, und, und. Ohne ein gewisses Maß an Vertrauen kann ich mich nicht im Netz bewegen.

Man mag jetzt einwenden, dass ich mit OpenID nicht unnötig noch einem weiteren Anbieter vertrauen muss. Aber ist die Alternative wirklich besser? Soll ich mich im Zweifelsfall bei hunderten von Sites mit meiner E-Mail Adresse und Passwort anmelden? Hunderte von Möglichkeiten, dass meine E-Mail Adresse an Spammer weiter gegeben wird.

Mein OpenID Provider kennt die Social Networks und Blogs, die ich besuche und bei denen ich Kommentare hinterlasse. Aber wer Profile zu welchem Zweck auch immer anlegen will, kann das bereits ohne Probleme tun. Google kennt die Daten auch alle (und noch ein paar mehr).

Also informieren, Chancen/Risiken abwägen, entscheiden.

Risiken OpenID:

OpenID Security Considerations
OpenID Phishing Brainstorm
Sicherheitsprobleme bei OpenID

OpenID Provider und Consumer

Marcel hat ja bereits angekündigt, dass ich auf neunetz.com regelmäßig über OpenID schreiben werde. Wie das im Einzelnen aussehen wird, wird sich wohl von Woche zu Woche eher spontan ergeben. Ich finde das Thema OpenID und Single Sign-On sehr spannend, bin aber selbst nur Nutzer. Erwartet also bitte keine ausführlichen technischen Hintergründe; die können andere wesentlich besser erklären.

OpenID dürfte zumindestens für regelmäßige Leser von – hauptsächlich englischsprachigen – Blogs zu einem Begriff geworden sein, wenn auch eine Mehrheit es (noch) nicht nutzt. Ein paar interessierte Menschen werden aber sicherlich trotzdem darunter sein, die das Thema ebenfalls spannend finden und einfach einmal ausprobieren möchten wie das funktioniert.

OpenID Provider

Um OpenID nutzen zu können, benötigt man erst einmal einen Account bei einem OpenID Provider, der die User gegenüber einer OpenID unterstützenden Website authentifiziert. Was liegt also näher, als sich gleich mal bei myopenid.com, claimID oder einem anderen Provider eine OpenID zu besorgen? Nun vielleicht einfach mal schauen, ob man nicht bereits eine funktionierende OpenID hat. Das ist nicht immer für jeden so offensichtlich wie man vielleicht denken könnte, da eine immer größer werdende Anzahl von Diensten User Accounts in OpenID’s umwandelt. Nachfolgend mal eine kleine Auswahl:

  • AOL/AIM: openid.aol.com/username
  • WordPress.com: username.wordpress.com
  • Typekey: profile.typekey.com/username/
  • Ziki: my.ziki.com/username
  • Technorati: technorati.com/profile/username

Wie man sieht, sollte eigentlich fast jeder Blogger mittlerweile eine OpenID haben. Aber wohin jetzt mit der schönen ID? Wo kann man die nutzen und die blöden Username und Passwort Kombinationen hinter sich lassen?

OpenID Consumer

Websites, die ein Login mit OpenID akzeptieren nennt man OpenID Consumer. Jetzt könnte man ziemlich schnell auf die Idee kommen, einfach auf WordPress.com ein Blog mit Hilfe der AOL OpenID zu starten. Tja, die Geschichte mit Theorie und Praxis drängt sich wieder auf: leider ist nicht jeder OpenID Provider auch gleichzeitig OpenID Consumer. WordPress.com ist zumindestens momentan nur ein Provider. Das ist ganz klar ein Nachteil von OpenID.

Es bleibt abzuwarten, wie sich große Firmen verhalten werden, sollten sie eines Tages OpenID unterstützen. Eine OpenID ist ja rein äußerlich betrachtet nichts anderes als eine URI, die den Namen des Providers enthält und somit durchaus einen Werbeeffekt für diesen darstellt. Nehmen wir mal an Yahoo und Google unterstützten OpenID sowohl als Provider als auch als Consumer, wäre es auf den ersten Blick durchaus komisch, wenn z.B. neue User mit einer Yahoo URI bei Google einen Account erstellten. Es bleibt abzuwarten, ob und wie OpenID dort eingesetzt wird. Könnte jedenfalls spannend werden.

Es gibt aber auch positive Beispiele. So unterstützt Netscape, nun wirklich kein kleiner unbekannter Dienst, seit Montag dieser Woche OpenID als Consumer. Überhaupt scheint man bei AOL – Netscape gehört bekanntlich zu AOL – das Thema ernst zu nehmen. So hat man vor kurzen Ficlets gelauncht, ein Service mit dem man winzige Geschichten schreiben kann, die andere User weiter entwickeln können. Ficlets akzeptiert ebenfalls OpenID und das AOL Branding ist auch noch kaum sichtbar. Aber das nur am Rande.

Wer sich nun fragt, welche Dienste, Blogs,… eine OpenID akzeptieren, findet in Form des OpenID Directory einen guten Überblick. Die Dienste sind in verschiedene Kategorien eingeteilt, was einem die Orientierung sehr erleichtert. Einfach mal schauen. :)