Es gibt so Tage, da denke ich mir, dass OpenID nicht so richtig vom Fleck kommt. Diese Vorstellung prägt sich größtenteils durch das Lesen der OpenID Mailingliste. Versteht mich nicht falsch: die Diskussionen dort sind wichtig, aber hin und wieder kommt der Gedanke auf, dass man das doch schon alles mal vor Wochen geklärt haben konnte. Naja, wird wohl bei vielen anderen Projekten ähnlich sein.
Anderen Leuten widerum schreitet die Entwicklung viel zu schnell voran, und sie sehen schon überall im Netz das OpenID Logo blinken; gezwungen OpenID zu nutzen, sofern sie sich überhaupt noch im Netz bewegen möchten. Soweit sind wir aber noch lange nicht. Da fehlen einfach noch ein paar tausend wichtige Seiten, die dann stolz OpenID enabled auf der Registrierungseite verkünden können.
Aber was tun, wenn es doch geschieht? Was sollen dann die Trolle der Netzwelt, die Spammer dieser Erde, die Anonymen Kommentierer und weiteres Gesindel tun, um den Rest der Welt zu belästigen? Ist eine OpenID nicht so etwas wie ein Ausweis? Lässt sich dann nicht jeder Kommentar einer bestimmten Person zuordnen? Aus und vorbei mit dem Trollen? Wird das Netz sauber und gut? Leute, keine Panik! Alles bleibt wie es ist.
Wir bleiben anonym
Erst einmal ist eine OpenID natürlich kein Ausweis. OpenID verifiziert von Hause aus nicht, ob mein Name nun Carsten Pötter oder doch eher Marcel Weiß ist. Grundsätzlich kann man nur davon ausgehen, dass hinter einer OpenID - einer URI, also eindeutig - immer die gleiche Person steht. Sieht man also auf Blog ABC einen Kommentar von def.openidprovider.com und bei dem Social Netwerk Tolle Freunde einen Nutzer mit eben jener OpenID, sollte dahinter jeweils die gleiche Person stehen.
Möchte ich jetzt nun weiterhin durch das Netz trollen, kann ich mir natürlich einfach OpenID's bei unterschiedlichen Providern besorgen; bei Provider A bin ich der seriöse Carsten Pötter (OK, kleiner Scherz am Rande) und die OpenID von Provider B nutze ich zum Trollen. Ist das jetzt anonym? Vielleicht noch nicht so richtig.
Gehen wir also einen Schritt weiter. Weiter oben habe ich die Wörter grundsätzlich und sollte benutzt, was durchaus seinen Grund hat. Es gibt nämlich einen komplett anonymen OpenID Server: www.jkg.in/openid.
Bereits beim Aufruf der Seite wird einem eine automatisch generierte OpenID angeboten; gefällt die einem nicht, kann man auch seine Wunsch OpenID nehmen, jkg.in/openid/tollerhecht oder so etwas. Loggt man sich damit bei einer Seite mit OpenID Unterstützung ein, erfolgt keine Weiterleitung zurück an den Server, um dort ein Passwort einzugeben, ein Browserzertifikat abzufragen oder sonstige Authentifizierungsmaßnahmen, die bekannte OpenID Provider nutzen. Man ist eingeloggt, einfach so. Und weil mich niemand authentifiziert, kann diese OpenID auch jeder andere nutzen. Hinter jkg.in/openid/tollerhecht verbirgt sich vielleicht einmal Marcel und einmal ich. Ich hoffe mal, dass das anonym genug ist. Wie gesagt, alles bleibt wie es ist und grundsätzlich sollte man mal von gar nichts ausgehen. ;)
Fazit
Wie man an dem Beispiel sieht, kann man einer OpenID ohne weitere Verifizierung nicht trauen. Es stellt sich natürlich auch die Frage, ob ein solcher OpenID Server überhaupt lange genug bestehen bleiben wird bzw. ob alle OpenID Consumer ein Login von diesem Server akzeptieren werden. Die Möglichkeiten des Missbrauchs sind doch als weitaus größer einzuschätzen als evtl. Nutzen, denke ich mal. Aber Ihr seht, dass OpenID auch völlig anonym funktionieren kann. Gut? Schlecht? Egal?
