neunetz.com

Tja, der Monat Juli neigt sich unerbittlich seinem regnerischen Ende und ich habe es nicht fertig gebracht hier etwas über OpenID zu schreiben; ist mir etwas peinlich. Also dann mal direkt rein ins Geschehen und wenigstens die letzten zwei Wochen Revue passieren lassen, was sich so in der OpenID Community getan hat.

OpenID Bounty

Mit der I Want My OpenID Bounty wurde vor einem Jahr von Sponsoren wie Sxip, VeriSign, JanRain, NetMesh, Six Apart,… eine Aktion gestartet, die Open Source Projekte prämieren möchte, die OpenID entweder als Relying Party (RP) oder als Identity Provider (IdP) integrieren. Insgesamt können zehn Projekte eine Prämie in Höhe von je $5000 bekommen. Auf der diesjährigen O’Reilly Open Source Konferenz wurden die ersten drei Projekte prämiert: Drupal, Plone und DotNetNuke.

Wo ich gerade bei dieser Konferenz bin: David Recordon, Mitarbeiter bei VeriSign und Vize der OpenID Foundation wurde als Best Strategist für seine Arbeit an OpenID ausgezeichnet. Glückwunsch, nicht schlecht für einen Zwanzigjährigen.

Stromausfall in San Francisco

Teile San Franciscos waren am 24. Juli von einem Stromausfall betroffen; darunter befand sich auch ein großes Datacenter, wo u.a. Sites wie Six Apart, Craigslist und Technorati ihre Server haben. Mal davon abgesehen, dass dort so etwas wie Notstromaggregate eigentlich ihren Dienst verrichten sollten, hat dieser Stromausfall auch eine kleine Schwachstelle von OpenID aufgezeigt. Ein IdP wie LiveJournal (gehört bekanntlich zu Six Apart) war plötzlich nicht mehr erreichbar und Benutzer konnten somit keine Webseiten mit OpenID mehr benutzen. Dumm gelaufen.

RP’s haben allerdings die Möglichkeit mehrere OpenID’s für einen Account zuzulassen; leider machen davon die wenigsten Gebrauch. Vielleicht wachen jetzt ein paar von denen auf und ermöglichen ihren Nutzern das.

OpenID Non-Assertion Covenants

Bislang haben drei der führenden Unternehmen der OpenID Community sogenannte Non-Assertion Covenants veröffentlicht: JanRain, Sun und VeriSign. Damit versprechen diese Unternehmen, dass sie keine Forderungen irgendwelcher Art (Lizenzen, Gebühren,…) gegenüber Entwicklern geltend machen, die OpenID einsetzen möchten und dabei Patente dieser Unternehmen nutzen. Nicht ganz unwichtige Entscheidungen, wenn sich OpenID weiter verbreiten und entwickeln soll. Sxip hingegen haben eine solche Erklärung bislang noch nicht abgegeben, beteuern aber ihre Patente nur defensiv einzusetzen. Dafür müssen sie allerdings auch Kritik einstecken; sie halten sich hoffentlich an die Aussage.

OpenID Directory listet mehr als 300 Seiten

Das OpenID Directory führt mittlerweile mehr als 300 RP’s auf. Das sind selbstverständlich nicht alle Seiten mit OpenID Unterstützung, aber trotzdem nicht schlecht; 300 Seiten schön übersichtlich geordnet.

Ein paar neue Vertreter: Online Adressbuch Plaxo, Wikihoster Wikispaces und Taskmanager Toodledo. Meiner Meinung nach drei richtig gute Seiten.

Es gibt so Tage, da denke ich mir, dass OpenID nicht so richtig vom Fleck kommt. Diese Vorstellung prägt sich größtenteils durch das Lesen der OpenID Mailingliste. Versteht mich nicht falsch: die Diskussionen dort sind wichtig, aber hin und wieder kommt der Gedanke auf, dass man das doch schon alles mal vor Wochen geklärt haben konnte. Naja, wird wohl bei vielen anderen Projekten ähnlich sein.

Anderen Leuten widerum schreitet die Entwicklung viel zu schnell voran, und sie sehen schon überall im Netz das OpenID Logo blinken; gezwungen OpenID zu nutzen, sofern sie sich überhaupt noch im Netz bewegen möchten. Soweit sind wir aber noch lange nicht. Da fehlen einfach noch ein paar tausend wichtige Seiten, die dann stolz OpenID enabled auf der Registrierungseite verkünden können.

Aber was tun, wenn es doch geschieht? Was sollen dann die Trolle der Netzwelt, die Spammer dieser Erde, die Anonymen Kommentierer und weiteres Gesindel tun, um den Rest der Welt zu belästigen? Ist eine OpenID nicht so etwas wie ein Ausweis? Lässt sich dann nicht jeder Kommentar einer bestimmten Person zuordnen? Aus und vorbei mit dem Trollen? Wird das Netz sauber und gut? Leute, keine Panik! Alles bleibt wie es ist.

Wir bleiben anonym

Erst einmal ist eine OpenID natürlich kein Ausweis. OpenID verifiziert von Hause aus nicht, ob mein Name nun Carsten Pötter oder doch eher Marcel Weiß ist. Grundsätzlich kann man nur davon ausgehen, dass hinter einer OpenID - einer URI, also eindeutig - immer die gleiche Person steht. Sieht man also auf Blog ABC einen Kommentar von def.openidprovider.com und bei dem Social Netwerk Tolle Freunde einen Nutzer mit eben jener OpenID, sollte dahinter jeweils die gleiche Person stehen.
Möchte ich jetzt nun weiterhin durch das Netz trollen, kann ich mir natürlich einfach OpenID’s bei unterschiedlichen Providern besorgen; bei Provider A bin ich der seriöse Carsten Pötter (OK, kleiner Scherz am Rande) und die OpenID von Provider B nutze ich zum Trollen. Ist das jetzt anonym? Vielleicht noch nicht so richtig.

Gehen wir also einen Schritt weiter. Weiter oben habe ich die Wörter grundsätzlich und sollte benutzt, was durchaus seinen Grund hat. Es gibt nämlich einen komplett anonymen OpenID Server: www.jkg.in/openid.
Bereits beim Aufruf der Seite wird einem eine automatisch generierte OpenID angeboten; gefällt die einem nicht, kann man auch seine Wunsch OpenID nehmen, jkg.in/openid/tollerhecht oder so etwas. Loggt man sich damit bei einer Seite mit OpenID Unterstützung ein, erfolgt keine Weiterleitung zurück an den Server, um dort ein Passwort einzugeben, ein Browserzertifikat abzufragen oder sonstige Authentifizierungsmaßnahmen, die bekannte OpenID Provider nutzen. Man ist eingeloggt, einfach so. Und weil mich niemand authentifiziert, kann diese OpenID auch jeder andere nutzen. Hinter jkg.in/openid/tollerhecht verbirgt sich vielleicht einmal Marcel und einmal ich. Ich hoffe mal, dass das anonym genug ist. Wie gesagt, alles bleibt wie es ist und grundsätzlich sollte man mal von gar nichts ausgehen.

Fazit

Wie man an dem Beispiel sieht, kann man einer OpenID ohne weitere Verifizierung nicht trauen. Es stellt sich natürlich auch die Frage, ob ein solcher OpenID Server überhaupt lange genug bestehen bleiben wird bzw. ob alle OpenID Consumer ein Login von diesem Server akzeptieren werden. Die Möglichkeiten des Missbrauchs sind doch als weitaus größer einzuschätzen als evtl. Nutzen, denke ich mal. Aber Ihr seht, dass OpenID auch völlig anonym funktionieren kann. Gut? Schlecht? Egal?

Im ersten Artikel zu der kleinen OpenID Serie hier auf Neunetz wurde ja bereits das Thema OpenID Provider und auch OpenID Consumer angesprochen. Ich habe dabei zwar ein paar Beispiele für Consumer gegeben und auch auf das OpenID Directory zur weiteren Recherche verwiesen, aber ich wurde gerade letztens wieder von einem Arbeitskollegen gefragt, wo man denn nun eine OpenID einsetzen kann. Also hier mal eine kleine Auswahl an Diensten, die man (fast) täglich gebrauchen könnte.

1. Ma.gnolia: Ma.gnolia ist ein Social Bookmarking Dienst, der meines Erachtens ein paar sehr schöne Features aufweist, die ihn von anderen unterscheiden. Zum einen gibt es dort ein Unmenge an Gruppen zu den unterschiedlichsten Themen; das macht es besonders einfach, lesenswerte Artikel zu finden. Um auf dem laufenden zu bleiben, kann man natürlich den Feed der Gruppe abonnieren. Total liebenswert ist Give Thanks. Einfach anderen danken, dass sie bereits eine gute Seite gefunden und sich die Mühe gemacht haben, diese zu beschreiben und mit Tags zu versehen. Ich stehe auf so kleine, fast unscheinbare Features.
2. Zooomr: Digitalkameras, Handys mit Kamerafunktion,… immer mehr Leute schießen schon fast minütlich Fotos und die Bilder müssen irgendwohin; Flickr fällt wahrscheinlich jedem sofort ein. Zooomr ist ein ähnlicher Dienst, der für sein neues Release, Mark III, mit einer ganzen Reihe neuer Features aufwartet; naja, besser aufwarten wird. Momentan haben die Jungs eine Pechsträhne mit der Hardware. Läuft aber hoffentlich bald wieder.
3. Pibb: Pibb ist ein kleines Kommunikationswerkzeug von JanRain, den Leuten hinter myOpenID.com. Pibb funktioniert sowohl als Instant Messenger als auch als eine Art IRC Ersatz. Es gibt verschiedene Kanäle mit einzelnen Threads; Unterhaltungen können sowohl öffentlich als auch privat geführt werden.
4. Social Networks: Natürlich gibt es Social Networks mit OpenID Anmeldung. Jyte ist ein weiteres Produkt von JanRain, was einfach ziemlich viel Spaß macht. Man stellt eine Behauptung auf, die entweder ganz allgemein gehalten sein kann, aber auch über andere Jyte Mitglieder oder über sich selbst. Jedes Mitglied kann nun seine Meinung und Zustimmung (oder Ablehnung) dazu abgeben; User können auch getaggt werden. Hört sich vielleicht nicht spannend an, ist aber ganz lustig.
   Ex.plode.us ist ein britischer Dienst,den man vielleicht am ehesten mit MyBlogLog vergleichen kann; vergleichbare Widgets gibt es auch. Zudem durchsuct Ex.plode.us eine ganze Reihe von Social Networks (Flickr, Twitter, Vox, Tribe,…) nach Freunden und Bekannten. Gefällt mir insgesamt zimelich gut.
5. Buxfer: Mit Buxfer kann man seine Finanzen in den Griff bekommen. Na gut, es ersetzt wahrscheinlich nicht StarMoney oder Quicken, aber dafür kann man wunderbar sehen, wem man noch Geld schuldet bzw. wer einem selbst noch den ein oder anderen Schein bislang schuldig geblieben ist. Buxfer sollte man sich mal näher ansehen, wenn man z.B. in einer WG lebt.
6. Wikitravel: Wie der Name schon vermuten lässt handelt es sich hier um eine Wiki basierte Seite für Reiseempfehlungen. Ganz brauchbar, wenn man sich schnell über ein Reiseziel informieren möchte, ohne gleich einen Reiseführer zu kaufen.
7. Netscape: Zu Netscape muss ich wahrscheinlich nicht mehr viel schreiben. Es ist eine wirklich gut gemachte Social News Seite, die ihren Platz irgendwo zwischen Digg und Reddit gefunden hat.

Es gibt natürlich noch weit mehr Seiten, die OpenID unterstützen, aber diese hier sollen erst einmal als kleine Auswahl reichen. Einfach mal anschauen.

Nachdem Euch Marcel letzte Woche erklärt hat, wie man einen eigenen OpenID installiert, fasse ich diese Woche mal die Nachrichten der vergangenen zwei Wochen zusammen; ob das chronologisch wird, mal sehen.

Sun mit eigenem OpenID Server

IT Riese Sun Microsystems hat für seine 34.000 Beschäftigten einen eigenen OpenID Server eingerichtet.

Damit wird zum ersten Mal OpenID in einer unternehmensweiten Arbeitsumgebung eingesetzt; aufgrund der großen Anzahl von Mitarbeitern bei Sun kann somit getestet weden, ob sich OpenID in einer solchen Umgebung bewähren wird, wie es genutzt wird und welche Risiken für ein Unternhemen evtl. entstehen könnten. Sollte dieses Experiment erfolgreich verlaufen, dürften sicherlich andere (große) Unternehmen zumindestens darüber nachdenken, ob OpenID zu ihnen passt und ob sie davon profitieren können.

Mit einer OpenID von Sun kann sich jeder als Sun Mitarbeiter zu erkennen geben und evtl. auch auf spezielle Angebote anderer Anbieter, die ausschließlich für Sun Mitarbeiter gedacht sind, zurück greifen. Aus der Pressemitteilung:

People using Sun based OpenID identifiers at an OpenID-accepting website can convey in this simple and secure manner that they are indeed Sun employees, a piece of information that can enable access to employee discounts and unlock other special services all across the web. Sun will work with partners to
extend special services on this basis.

OpenID in der deutschen Presse

In der Frankfurter Rundschau ist am Freitag ein Artikel zu OpenID erschienen, der meiner Meinung nach recht objektiv ist.

Bereits am 25. April hatte Janko Röttgers im Focus bereits einen Artikel mit ähnlichem Grundtenor veröffentlicht. Die Kommentare gehen aber eindeutig in eine negative Richtung; Aufklärung und Diskussion ist mal wieder angesagt.

MyBlogLog wird OpenID unterstützen

Und diese Geschichte ist mal wieder etwas seltsam. MyBlogLog möchte zukünftig OpenID unterstützen. Hört sich doch gut an, warum also seltsam?

MyBlogLog gehört zu Yahoo, ebenso wie Flickr und Upcoming. Nun hat Yahoo schon eine Weile ein eigenes Single Sign-On System mit der Yahoo ID, welches man kürzlich sowohl den Flickr als auch den Upcoming Usern aufs Auge gedrückt hat. Die waren nicht sonderlich begeistert und Yahoo hat dafür eine Menge Prügel einstecken müssen.

Warum will MyBlogLog jetzt ausgerechnet OpenID einsetzten? Haben die das mit irgendjemanden bei Yahoo abgesprochen? Nein, dann haben sie ein Problem. Ja, was auch wahrscheinlicher ist, dann verstehe ich Yahoo nicht mehr. Mal abwarten, was da passiert.

Ralf Bendrath, der sich auch hier in den Kommentaren schon einmal kritisch zu OpenID geäußert hat, spricht beim Elektrischen Reporter (<- sehenswert!) unter Anderem über die datenschutztechnischen Gefahren von OpenID und versucht, das Argument ‘halt eigenen OpenID Server anlegen’ mit der Aussage zu entkräften, dass ja auch niemand sich seinen eigenen Emailserver anlegt. Stimmt, ich hab mir bis dato keinen eigenen Emailserver angelegt und plane das auch nicht. Vor wenigen Minuten habe ich mir aber meinen eigenen OpenID-Server installiert.

Ben Dodson hat ein Skript online gestellt, mit dem man kinderleicht innerhalb von 2 Minuten seinen eigenen OpenID-Server installieren kann. Hier geht’s zu phpmyopenid. Es handelt sich dabei um eine mit einem einfachen Installer versehene Version von phpMyID.

Ich hab es installiert und es war in der Tat sehr einfach. (In fact: ich habe spasseshalber mit der Uhr mitgestoppt und habe knapp 7 Minuten gebraucht, aber nur weil ich auf meiner Festplatte meine index.php erst suchen musste.)

Wer Webspace mit php sein Eigen nennt, weiß wie man Nutzungsberechtigungen von Dateien mit seinem FTP-Programm einstellt und weiß wie man die index.php oder index.html der eigenen Seite verändert, der besitzt die Fähigkeiten, seinen eigenen OpenID-Server zu installieren.

Um es kurz zu machen: Wer erfolgreich wordpress installieren kann, kann auch erfolgreich seinen eigenen OpenID-Server installieren. Mit dem gleichen zeitlichen Aufwand.

Die Installation in 7 kurzen Schritten:

• phpmyopenid hier runterladen
• entpacken
• den entpackten Ordner in Rootordner des webspace hochladen
• Zugriffsberechtigungen des phpmyopenid-Ordner mit ftp-Programm zu CHMOD 777 ändern
• http://www.eigeneseite.com/phpmyopenid/install.php aufrufen, Nutzernamen und Passwort eingeben und abspeichern
• anschließend angegebene Metatags in den <head> Bereich von index.html der eigenen Seite eintragen
• install.php löschen und die Zugriffsberechtigungen des Ordners auf CHMOD 755 ändern (damit niemand die OpenID ändern kann)
• Fertig!

Inwiefern solche selbst aufgesetzten OpenIDs aufgrund ihrer Spamanfälligkeit in ein paar Jahren noch von anderen Seiten neu akzeptiert werden, steht allerdings auf einem anderen Blatt. Schließlich können auch Spammer sich so schnell ihre eigenen OpenIDs einrichten. Da wird es noch eine Lösung für brauchen.

Was meint denn unser hiesige OpenID-Experte zum eigenen OpenIDserver? Ich weiß ja, dass Sie sich das auch schon mal angeschaut haben. Herr Pötter, übernehmen Sie.

Tags:[tag]OpenID[/tag]