• Skip to primary navigation
  • Skip to content
  • Skip to primary sidebar
  • Über
  • Was Mitglieder erhalten
  • Produkte
  • Abo
  • Datenschutzerklärung
  • Impressum

neunetz.com

Wirtschaft im digitalen Zeitalter.

  • Analysen der digitalen Wirtschaft
  • Umbruch der Automobilbranche
  • Amazon analysiert
  • Big Tech

OpenID und der gläserne Surfer

8. April 2007 by Carsten Pötter 12 Comments

Diese Woche hat OpenID von deutscher Seite etwas Gegenwind bekommen. Ralf Bendrath, Politikwissenschaftler und Aktivist im Arbeitskreis Vorratsspeicherung, hat sich OpenID angesehen und kommt zu dem Schluss, dass es schlicht nichts taugt. Ein weiterer Blogger hat sogar eine Kampagne gegen OpenID gestartet – OpenID, Nein Danke.

Profiling

Beide sehen das größte Problem von OpenID darin, dass die Provider ohne Probleme Nutzerprofile anlegen könnten. Jede Website, die ich mit OpenID nutzen möchte, muss bei meinem OpenID Provider anklopfen, damit dieser mich authentifiziert. Somit kennt mein Provider jedes Blog und jedes Social Network, das ich mit meiner OpenID nutze. Im Zweifelsfall kennt er mein Surfverhalten besser als ich selbst.

Ich gebe zu, dass das ein Problem darstellt und mir ist nicht bekannt, dass es hier eine zufriedenstellende Lösung gäbe. Momentan kann man sich als User nur auf die Datenschutzbestimmungen des Providers und die des Landes, in dem dieser seinen Sitz hat, verlassen. In der Regel ist man bei einem europäischen Provider in dieser Beziehung besser dran als bei einem in den USA ansässigen. Halt, es gibt doch noch eine weitere Möglichkeit: Man wird selbst OpenID Provider und nutzt dazu das eigene Blog oder die eigene Website.

Wird ein OpenID Provider aber überhaupt zu solchen Mitteln greifen? OpenID Provider dürften sicherlich die längste Zeit User gehabt haben, wenn bekannt werden sollte, dass mit den persönlichen Daten der User nicht sorgfältig umgegangen wird oder diese gar weiter gegeben werden. Die Reputation eines Providers wird auch im Hinblick auf die Gefahren durch Phishing sehr davon abhängen wie er es mit Datensicherheit und Datenschutz hält. Dieser Punkt dürfte bei weiterer Verbreitung von OpenID zu einem wesentlichen Kriterium der Wahl des Providers werden. Die Provider sollten also aus gewissem Eigeninteresse heraus eben nicht fröhlich Profile anlegen. Wunschdenken? Ok, kann auch sein.

Delegation

Was soll ich als User aber unternehmen, wenn ich meinem Provider nicht mehr traue? Eventuell habe ich mich bereits bei mehreren Sites mit einer OpenID von nichtvertrauenswuerdig.com angemeldet. Zwar kann ich zu einem anderen Provider wechseln, aber ich verliere dann z.B. meine Einstellungen und Freunde bei Social Networks. Die Lösung heißt Delegation.

Delegation bedeutet, dass ich z.B. die URI meines Blogs als OpenID nutze (in meinem Fall notsorelevant.com) und mich mit dieser bei OpenID unterstützenden Sites einlogge. Dazu muss ich aber nicht selbst OpenID Provider sein. In den Kopfbereich (Head) meines Blogs füge ich lediglich zwei bzw. drei Zeilen Code ein, der der anfragenden Site mitteilt, wer mein Provider ist und sie an diesen weiter leitet. Konkret? Ok, bei myopenid.com sieht das dann z.B. wie folgt aus:

<link rel="openid.server" href="http://www.myopenid.com/server" />
<link rel="openid.delegate" href="http://username.myopenid.com/" />
<meta http-equiv="X-XRDS-Location" content="http://username.myopenid.com/xrds" />

Da ich nichtvertrauenswuerdig.com kein Vertrauen mehr entgegen bringe, ersetze ich den Code dieses Providers z.B. durch den von myopenid.com. Fertig. Für mich ändert sich dadurch gar nichts; ich kann weiterhin notsorelevant.com als OpenID nutzen. Ganz einfach.

Schlussbemerkung

Wer OpenID nutzen möchte sollte sich informieren wie das funktioniert und welche Gefahren evtl. bestehen. Das gilt aber nicht nur für OpenID, sondern grundsätzlich immer, wenn ich mich im Netz bewegen möchte. Ich vertraue dem Admin meines Mailproviders, dass er meine Mails nicht liest, meinem ISP, den Betreibern der zahlreichen Social Networks, und, und, und. Ohne ein gewisses Maß an Vertrauen kann ich mich nicht im Netz bewegen.

Man mag jetzt einwenden, dass ich mit OpenID nicht unnötig noch einem weiteren Anbieter vertrauen muss. Aber ist die Alternative wirklich besser? Soll ich mich im Zweifelsfall bei hunderten von Sites mit meiner E-Mail Adresse und Passwort anmelden? Hunderte von Möglichkeiten, dass meine E-Mail Adresse an Spammer weiter gegeben wird.

Mein OpenID Provider kennt die Social Networks und Blogs, die ich besuche und bei denen ich Kommentare hinterlasse. Aber wer Profile zu welchem Zweck auch immer anlegen will, kann das bereits ohne Probleme tun. Google kennt die Daten auch alle (und noch ein paar mehr).

Also informieren, Chancen/Risiken abwägen, entscheiden.

Risiken OpenID:

OpenID Security Considerations
OpenID Phishing Brainstorm
Sicherheitsprobleme bei OpenID

Teilen mit:

  • E-Mail
  • WhatsApp
  • Telegram
  • Facebook
  • Twitter
  • LinkedIn
  • Pocket

Filed Under: Onlineidentität Tagged With: Datenschutz, Delegation, Openid

neunetz.com Nexus

neunetz.com wird unterstützt von Mitgliedern. Mitglieder von neunetz.com Nexus erhalten exklusiv einen wöchentlichen Newsletter, eine monatliche tiefgehende Analyse und Zugang zu einem Fachforum, um die Strategien der digitalen Wirtschaft besser zu verstehen. Mehr Informationen zu Nexus hier.

Reader Interactions

Was Nexus-Mitglieder dazu sagen

  1. Marcel Weiß says

    9. April 2007 at 23:36

    Das größte Risiko bei OpenID sehe ich eher darin, dass, ERfolg vorausgesetzt, OpenID irgendwann zum heiligen Gral der Hacker wird. Cracker, die sich Zugang zu einem OpenID-Provider verschaffen der die Onlineidentität von Millionen Usern verwaltet. Let’s talk about Supergau.

    Da finde ich die Privacybedenken dagegen ziemlich nebensächlich. Man kann davon ausgehen, dass ein OpenID-Provider besonders auf Datenschutz achtet. Immerhin will so ein Unternehmen sein Geld damit verdienen, zuverlässlich seinen Usern eine Onlineidentität zu bieten. Wer das nicht tut, wer sich da ein Patzer erlaubt, der ist weg vom Fenster, so einfach ist das. Und ich denke, dass besonders OpenID-Provider zu den Unternehmen im Netz gehören werden die Geld verdienen werden. Nutzern wird ein sicherer Provider, der entsprechend Zuverlässigkeit bietet, etwas wert sein. Und mit deiner vorgestellten Lösung -Delegation- ist das Wechseln ja dann auch kein Problem. Aber: das wird bei etablierten Providern wie myopenid oder claimid nicht passieren. Wie Du schon sagst, ein solches Misstrauen ist bei Google mindestens ebenso gut aufgehoben. Wenn nicht sogar besser.

    Und was Bendrath angeht: „You have a unique identifyer (your OpenID uri) for all relying parties, so you can’t choose between different cards or identites for different sites.“

    Irgendwie habe ich die Regel übersehen, dass man nur eine OpenID besitzen darf..
    Ich würde sowieso dazu raten, mehr als eine zu verwenden. Z.B.: Eine für professionelles bzw. arbeitstechnisches, eine für privates und eine für pron2.0-Seiten ..oder was weiß ich :D

    guter Artikel! (hmm, ich muss aufhören meinen Gastautor zu loben..)

  2. Carsten Pötter says

    10. April 2007 at 00:06

    Danke für die Blumen. Thomas Huhn has sich mit dem Thema heute auch sehr ausführlich auseinandergesetzt; ist sehr lesenswert:
    http://openidgermany.de/2007/04/09/openid-nein-danke/

    Natürlich kann man auch mehrere Provider nutzen (Bendrath erwähnt das übrigens auch), aber vielleicht hilft es am Anfang z.B. Sxipper oder Xlogon als Provider zu nehmen. Beide erlauben es mehrere Personas zu haben, bei denen dann unterschiedliche Daten hinterlegt sind. Xlogon ist übrigens ein deutscher Provider.

  3. Ralf Bendrath says

    10. April 2007 at 03:31

    Freut mich, dass mein kleiner englischer Blog-Eintrag mittlerweile auch in Deutschland für ein wenig Diskussion sorgt. Kurze Antwort hier:

    Dass man natürlich mehrere IDs anlegen kann, hat ja Carsten schon erwähnt. Wie ich aber in meinem Post schrieb, geht damit der große Vorteil solcher Systeme – die Usability – den Bach runter.

    Das mit den verschiedenen Personas sehe ich nicht als Vorteil, denn sie basieren alle auf der selben URI. Tracking und Profiling ist also genauso möglich.

    Und zumm Thema „Man kann davon ausgehen, dass ein OpenID-Provider besonders auf Datenschutz achtet“ – hey Leute, das ist naiv. Irgendwann steht dann mal ein Staatsanwalt auf der Matte, das Zeug wird gecrackt oder die Firma braucht frisches Geld. Wo bleiben dann alle eure Daten? Mit dem Argument hätte man auch bei Hailstorm oder Passport bleiben können. Dass solche Argumente in nach-StudiVZ-Zeiten überhaupt noch kommen können, ts ts ts.

    Mehr live-Diskussion dazu (und zu anderen ID-Systemen) wird es am Mittwoch hier geben:
    Ich bin gepannt.

  4. Marcel Weiß says

    10. April 2007 at 12:24

    Ralf, die Anzeige hat nicht geklappt. Aber ich nehme mal an, Du meinst Re:publica.
    Dass eine Konzentration von Daten auch zu einer Vergrösserung der Datenschutzproblematik führt, ist logisch. Ich bin mir nur nicht sicher ob das wirklich so schwerwiegend ist, dass man OpenID als Ganzes ablehnen sollte. Das war vielleicht etwas ungünstig ausgedrückt von mir.
    Fakt ist, dass das Onlineleben mit Accounts auf dutzenden von Seiten verbunden ist und verbunden sein wird. Dazu wird sich irgendwann eine Lösung entwickeln. Was ich gut finde, den ich habe Accounts auf über 100 Seiten, gut das ist extrem und ich nutze nur einen Bruchteil, aber das Problem besteht und es wird eine Lösung dafür geben weil es ein wichtiges Problem im heutigen Netz ist. Den Usern muss mit den Vorteilen nur auch die Nachteile klar sein.

    Mit den verschiedenen Personas meinte ich eher Accounts bei verschiedenen Providern. Der große Vorteil von OpenID ist imo auch noch gegeben wenn man 3 oder 4 verschiedene Accounts hat. Das ist immernoch besser als das Zehn- oder 25fache. Ich könnte zB meinen Aktivitäten als Blogger für neunetz.com, als Hobbymusiker und als Privatmensch auf verschiedene Accounts bei verschiedenen Providern legen.

    Der Unterschied zu Passport ist ganz klar die Offenheit des Systems. Es gibt jetzt bereits etliche OpenID-Provider. Konkurrenz belebt das Geschäft und ist positiv für den User. Am leichtesten können sich Provider von ihren Konkurrenten abheben indem sie in Richtung Datenschutz Leistung anbieten.
    Du hast allerdings recht die Problematik bleibt bestehen. Und für jeden, der Daten will, ist OPenID ein gefundenes Fressen. Cracker sprach ich ja auch schon an.

    Hmm, gibt es denn einen besseren Ansatz für das Problem?

  5. Carsten Pötter says

    10. April 2007 at 20:34

    Ich glaube schon, dass das Thema Datenschutz und Datensicherheit zu einem Wettbewerb unter OpenID Providern führen wird. Die Geschichte mit dem Staatsanwalt wir man nicht umgehen können; das stimmt wohl.

    Es sollte auch klar sein, dass OpenID nicht für jeden Nutzer die ienzig wahre Lösung darstellt und es sollte auch weiterhin Alternativen der Registrierung geben, egal ob beim gleichen Dienst oder ob halt ein Dienst ohne OpenID das gleiche bietet wie einer mit.

  6. Boris Erdmann says

    14. April 2007 at 11:43

    Der Besuch der re:publica hat uns gezeigt, dass es hier noch einiges zu tun gibt. Für uns ist das vertraglich gegebene Versprechen natürlich bindend. Allerdings könnte man das Ganze auch technisch untermauern. Wir sind auf der re:publica in einem Brainstorming auf einige, denke ich, witzige Ideen gekommen, wie man die Ablage der Datenbank-Inhalte so gestalten kann, dass der Identity Provider die Bezüge nicht mehr kennt. Wenn es so läuft, wie wir uns das vorstellen, sollte hinterher niemand mehr nicht mal mit einem Datenbank-Abzug etwas anfangen können.

    Personas: Das mit den Personas ist ja gerade dann witzig, wenn man diese über verschiedene OpenIDs (bei uns z.Zt. auf Anfrage) in einem Account verteilen kann. Sonst hampelt man ja wieder mit n über k Passwörtern rum. Und genau hier entsteht natürlich das Aggregations-Potenzial. Aber dazu siehe oben.

  7. Marcel Weiß says

    15. April 2007 at 15:40

    „Wir sind auf der re:publica in einem Brainstorming auf einige, denke ich, witzige Ideen gekommen, wie man die Ablage der Datenbank-Inhalte so gestalten kann, dass der Identity Provider die Bezüge nicht mehr kennt. Wenn es so läuft, wie wir uns das vorstellen, sollte hinterher niemand mehr nicht mal mit einem Datenbank-Abzug etwas anfangen können.“

    Das klingt interessant. Bin gespannt auf die weitere Entwicklung diesbezüglich. Denn hier -Datenschutz- liegt in der Tat ein, wenn nicht der Knackpunkt von OpenID. Wenn das relativ zufriedenstellend gelöst wird, könnte OpenID das Internet sehr viel nutzbarer machen.

    Hat jemand ne Ahnung was mit dem Trackback da oben passiert ist? Meine Güte hat’s den vielleicht zerschossen.

Trackbacks

  1. neunetz.com » Zwei deutsche OpenID Provider sagt:
    15. April 2007 um 14:39 Uhr

    […] Boris Erdmann: Der Besuch der re:publica hat…Carsten Pötter: Meine Bankverbindung hast Du? :D…Marcel Weiß: Carsten Pötter, inoffizieller Korrekturleser von…Carsten Pötter: Ja, sieht gut aus; gleich…tomblog » Blog Archive » Mediamaster – meine Musik überall: […] Ich für meinen Teil… […]

  2. Der Tautologe » OpenID - technischer Hintergrund sagt:
    20. April 2007 um 16:51 Uhr

    […] Über OpenID wird in letzter Zeit viel, teilweise auch kontrovers diskutiert, speziell was den Aspekt des Datenschutz betrifft. Viele befürchten, dass OpenID Provider ihre gesammelten Daten nutzen werden, um Profile zu erstellen. So bietet es sich aus vielerlei Gründen an, einen eigenen OpenID-Server zu betreiben, um Dritten nicht unnötig Informationen über das eigene Surfverhalten zu geben. Des Weiteren stellt sich für viele Anbieter die Frage, wie sie ihr Angebot OpenID-fähig machen können. Daher hier ein paar Informationen zu den technischen Details von OpenID (keine Garantie auf Korrektheit und Vollständigkeit). […]

  3. neunetz.com » OpenID Provider und Datenschutz: Teil 1 sagt:
    22. April 2007 um 00:17 Uhr

    […] Der Tautologe » OpenID – technischer Hintergrund: […] Über OpenID wird in…Handelskraft: Internet-TV: Revolution angekündigt… Über Joost, das…Carsten Pötter: OK, verstanden. Vielen Dank für…neunetz.com » Schnelldurchlauf: kurz vorgestellt (1): […] MOG jetzt mit Youtube…MediaMaster — Flickr für CDs – blog :: weinschenker.name: […] Noch mehr Info gibt’s… […]

  4. neunetz.com » Eigener OpenIDserver in 2 Minuten sagt:
    2. Mai 2007 um 13:02 Uhr

    […] Ralf Bendrath, der sich auch hier in den Kommentaren schon einmal kritisch zu OpenID geäußert hat, spricht beim Elektrischen Reporter (<- sehenswert!) unter Anderem über die datenschutztechnischen Gefahren von OpenID und versucht, das Argument ‘halt eigenen OpenID Server anlegen’ mit der Aussage zu entkräften, dass ja auch niemand sich seinen eigenen Emailserver anlegt. Stimmt, ich hab mir bis dato keinen eigenen Emailserver angelegt und plane das auch nicht. Vor wenigen Minuten habe ich mir aber meinen eigenen OpenID-Server installiert. […]

  5. EA PLAY » Playcast 37: OpenID - Passwort: Eisbär sagt:
    23. August 2007 um 15:45 Uhr

    […] Die Risiken von OpenID […]

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.

Primary Sidebar

neunetz.com Nexus

Bereits Mitglied? Bitte einloggen.
Mitglied werden? Hier erfährst Du alles über den Nexus, den Mitgliederbereich von neunetz.com.

Über neunetz.com

"Die Zukunft ist hier. Sie ist nur noch nicht gleichmäßig verteilt." - William Gibson
Die Infusion von Software verändert jede Branche und jeden gesellschaftlichen Bereich. Manche früher, andere später. Plattformdynamiken und Netzwerkeffekte machen die digitale Wirtschaft komplexer. Seit 2006 analysiert und ordnet neunetz.com diese Aspekte und die Auswirkungen der wachsenden digitalen Wirtschaft auf andere Branchen und die Gesellschaft als Ganzes ein. (Mehr hier.)

neunetz.com-Newsletter

Jetzt die öffentlichen Analysen von neunetz.com kostenfrei und bequem per Email erhalten!


Danke!

Bitte noch die Email bestätigen.


.

Produkte

neunetz.com-Briefings für Unternehmen Maßgeschneiderte interne Newsletter für Unternehmen.


Nexus: exklusive Analysen, Community und mehr für Mitglieder

neunetz.com durchsuchen

Podcasts in der Lieblingsapp abonnieren!

 

 

Archiv

Mit Marcel Weiß vernetzen: Mastodon | LinkedIn

Copyright © 2023 · News Pro on Genesis Framework · WordPress · Log in