Es gibt so Tage, da denke ich mir, dass OpenID nicht so richtig vom Fleck kommt. Diese Vorstellung prägt sich größtenteils durch das Lesen der OpenID Mailingliste. Versteht mich nicht falsch: die Diskussionen dort sind wichtig, aber hin und wieder kommt der Gedanke auf, dass man das doch schon alles mal vor Wochen geklärt haben konnte. Naja, wird wohl bei vielen anderen Projekten ähnlich sein.
Anderen Leuten widerum schreitet die Entwicklung viel zu schnell voran, und sie sehen schon überall im Netz das OpenID Logo blinken; gezwungen OpenID zu nutzen, sofern sie sich überhaupt noch im Netz bewegen möchten. Soweit sind wir aber noch lange nicht. Da fehlen einfach noch ein paar tausend wichtige Seiten, die dann stolz OpenID enabled auf der Registrierungseite verkünden können.
Aber was tun, wenn es doch geschieht? Was sollen dann die Trolle der Netzwelt, die Spammer dieser Erde, die Anonymen Kommentierer und weiteres Gesindel tun, um den Rest der Welt zu belästigen? Ist eine OpenID nicht so etwas wie ein Ausweis? Lässt sich dann nicht jeder Kommentar einer bestimmten Person zuordnen? Aus und vorbei mit dem Trollen? Wird das Netz sauber und gut? Leute, keine Panik! Alles bleibt wie es ist.
Wir bleiben anonym
Erst einmal ist eine OpenID natürlich kein Ausweis. OpenID verifiziert von Hause aus nicht, ob mein Name nun Carsten Pötter oder doch eher Marcel Weiß ist. Grundsätzlich kann man nur davon ausgehen, dass hinter einer OpenID – einer URI, also eindeutig – immer die gleiche Person steht. Sieht man also auf Blog ABC einen Kommentar von def.openidprovider.com und bei dem Social Netwerk Tolle Freunde einen Nutzer mit eben jener OpenID, sollte dahinter jeweils die gleiche Person stehen.
Möchte ich jetzt nun weiterhin durch das Netz trollen, kann ich mir natürlich einfach OpenID’s bei unterschiedlichen Providern besorgen; bei Provider A bin ich der seriöse Carsten Pötter (OK, kleiner Scherz am Rande) und die OpenID von Provider B nutze ich zum Trollen. Ist das jetzt anonym? Vielleicht noch nicht so richtig.
Gehen wir also einen Schritt weiter. Weiter oben habe ich die Wörter grundsätzlich und sollte benutzt, was durchaus seinen Grund hat. Es gibt nämlich einen komplett anonymen OpenID Server: www.jkg.in/openid.
Bereits beim Aufruf der Seite wird einem eine automatisch generierte OpenID angeboten; gefällt die einem nicht, kann man auch seine Wunsch OpenID nehmen, jkg.in/openid/tollerhecht oder so etwas. Loggt man sich damit bei einer Seite mit OpenID Unterstützung ein, erfolgt keine Weiterleitung zurück an den Server, um dort ein Passwort einzugeben, ein Browserzertifikat abzufragen oder sonstige Authentifizierungsmaßnahmen, die bekannte OpenID Provider nutzen. Man ist eingeloggt, einfach so. Und weil mich niemand authentifiziert, kann diese OpenID auch jeder andere nutzen. Hinter jkg.in/openid/tollerhecht verbirgt sich vielleicht einmal Marcel und einmal ich. Ich hoffe mal, dass das anonym genug ist. Wie gesagt, alles bleibt wie es ist und grundsätzlich sollte man mal von gar nichts ausgehen. ;)
Fazit
Wie man an dem Beispiel sieht, kann man einer OpenID ohne weitere Verifizierung nicht trauen. Es stellt sich natürlich auch die Frage, ob ein solcher OpenID Server überhaupt lange genug bestehen bleiben wird bzw. ob alle OpenID Consumer ein Login von diesem Server akzeptieren werden. Die Möglichkeiten des Missbrauchs sind doch als weitaus größer einzuschätzen als evtl. Nutzen, denke ich mal. Aber Ihr seht, dass OpenID auch völlig anonym funktionieren kann. Gut? Schlecht? Egal?
Marcel Weiß says
Eine OpenID ohne Authenitifikation ist doch so sinnvoll wie ein Safe, den man lieber offen lässt, für den Fall, dass man die Kombination vergisst. Will sagen, dann kann man sich den Aufwand auch gleich sparen.
Ich denke, dass Provider wie den, den Du beschreibst eben wegen der Missbrauchsmöglichkeiten bald auf einer Blacklist landen werden. Dass das überhaupt möglich ist, ist eher kontraproduktiv, oder ? Immerhin sind damit selbst gehostete OpenIDs ja auch immer erstmal misstrauisch zu betrachten, da sie auch so aufgebaut sein könnten. Wenn das zu Whitelists führt, wäre das eher ärgerlich.
Btw. Die Fotoseite Zooomr, einer der größten OpenID-Consumer der frühen Stunde, hat übrigens neben der OpenID auch normales Registrieren und Login eingeführt (mit Mark III glaub ich). Halte ich für den richtigen Weg. Man sollte den Usern die Wahl lassen.
Carsten Pötter says
Ja, Zooomr hat mit Mark III beide Registrierungsformen zugelassen; ist grundsätzlich auch nicht falsch.
Es liegt einfach am Consumer, ob er zur Nutzung seines Dienstes mit OpenID noch eine weitere Verifizierung eingebaut hat. Man kann jkg.in aber auch als die OpenID Variante von BugMeNot verwenden (Achtung: plumper Versuch, Leser auf mein Blog zu locken). Trotzdem sehe ich so einen Server früher oder später auch auf einer Blacklist landen.
tihopilik says
Hello
I can’t be bothered with anything these days, but shrug. I just don’t have anything to say recently.
Bye
Carsten Pötter says
Ja, Zooomr hat mit Mark III beide Registrierungsformen zugelassen; ist grundsätzlich auch nicht falsch.
Es liegt einfach am Consumer, ob er zur Nutzung seines Dienstes mit OpenID noch eine weitere Verifizierung eingebaut hat. Man kann jkg.in aber auch als die OpenID Variante von BugMeNot verwenden (Achtung: plumper Versuch, Leser auf mein Blog zu locken). Trotzdem sehe ich so einen Server früher oder später auch auf einer Blacklist landen.