Diese Woche hat OpenID von deutscher Seite etwas Gegenwind bekommen. Ralf Bendrath, Politikwissenschaftler und Aktivist im Arbeitskreis Vorratsspeicherung, hat sich OpenID angesehen und kommt zu dem Schluss, dass es schlicht nichts taugt. Ein weiterer Blogger hat sogar eine Kampagne gegen OpenID gestartet - OpenID, Nein Danke.
Profiling
Beide sehen das größte Problem von OpenID darin, dass die Provider ohne Probleme Nutzerprofile anlegen könnten. Jede Website, die ich mit OpenID nutzen möchte, muss bei meinem OpenID Provider anklopfen, damit dieser mich authentifiziert. Somit kennt mein Provider jedes Blog und jedes Social Network, das ich mit meiner OpenID nutze. Im Zweifelsfall kennt er mein Surfverhalten besser als ich selbst.
Ich gebe zu, dass das ein Problem darstellt und mir ist nicht bekannt, dass es hier eine zufriedenstellende Lösung gäbe. Momentan kann man sich als User nur auf die Datenschutzbestimmungen des Providers und die des Landes, in dem dieser seinen Sitz hat, verlassen. In der Regel ist man bei einem europäischen Provider in dieser Beziehung besser dran als bei einem in den USA ansässigen. Halt, es gibt doch noch eine weitere Möglichkeit: Man wird selbst OpenID Provider und nutzt dazu das eigene Blog oder die eigene Website.
Wird ein OpenID Provider aber überhaupt zu solchen Mitteln greifen? OpenID Provider dürften sicherlich die längste Zeit User gehabt haben, wenn bekannt werden sollte, dass mit den persönlichen Daten der User nicht sorgfältig umgegangen wird oder diese gar weiter gegeben werden. Die Reputation eines Providers wird auch im Hinblick auf die Gefahren durch Phishing sehr davon abhängen wie er es mit Datensicherheit und Datenschutz hält. Dieser Punkt dürfte bei weiterer Verbreitung von OpenID zu einem wesentlichen Kriterium der Wahl des Providers werden. Die Provider sollten also aus gewissem Eigeninteresse heraus eben nicht fröhlich Profile anlegen. Wunschdenken? Ok, kann auch sein.
Delegation
Was soll ich als User aber unternehmen, wenn ich meinem Provider nicht mehr traue? Eventuell habe ich mich bereits bei mehreren Sites mit einer OpenID von nichtvertrauenswuerdig.com angemeldet. Zwar kann ich zu einem anderen Provider wechseln, aber ich verliere dann z.B. meine Einstellungen und Freunde bei Social Networks. Die Lösung heißt Delegation.
Delegation bedeutet, dass ich z.B. die URI meines Blogs als OpenID nutze (in meinem Fall notsorelevant.com) und mich mit dieser bei OpenID unterstützenden Sites einlogge. Dazu muss ich aber nicht selbst OpenID Provider sein. In den Kopfbereich (Head) meines Blogs füge ich lediglich zwei bzw. drei Zeilen Code ein, der der anfragenden Site mitteilt, wer mein Provider ist und sie an diesen weiter leitet. Konkret? Ok, bei myopenid.com sieht das dann z.B. wie folgt aus:
<link rel="openid.server" href="http://www.myopenid.com/server" /><link rel="openid.delegate" href="http://username.myopenid.com/" /><meta http-equiv="X-XRDS-Location" content="http://username.myopenid.com/xrds" />
Da ich nichtvertrauenswuerdig.com kein Vertrauen mehr entgegen bringe, ersetze ich den Code dieses Providers z.B. durch den von myopenid.com. Fertig. Für mich ändert sich dadurch gar nichts; ich kann weiterhin notsorelevant.com als OpenID nutzen. Ganz einfach.
Schlussbemerkung
Wer OpenID nutzen möchte sollte sich informieren wie das funktioniert und welche Gefahren evtl. bestehen. Das gilt aber nicht nur für OpenID, sondern grundsätzlich immer, wenn ich mich im Netz bewegen möchte. Ich vertraue dem Admin meines Mailproviders, dass er meine Mails nicht liest, meinem ISP, den Betreibern der zahlreichen Social Networks, und, und, und. Ohne ein gewisses Maß an Vertrauen kann ich mich nicht im Netz bewegen.
Man mag jetzt einwenden, dass ich mit OpenID nicht unnötig noch einem weiteren Anbieter vertrauen muss. Aber ist die Alternative wirklich besser? Soll ich mich im Zweifelsfall bei hunderten von Sites mit meiner E-Mail Adresse und Passwort anmelden? Hunderte von Möglichkeiten, dass meine E-Mail Adresse an Spammer weiter gegeben wird.
Mein OpenID Provider kennt die Social Networks und Blogs, die ich besuche und bei denen ich Kommentare hinterlasse. Aber wer Profile zu welchem Zweck auch immer anlegen will, kann das bereits ohne Probleme tun. Google kennt die Daten auch alle (und noch ein paar mehr).
Also informieren, Chancen/Risiken abwägen, entscheiden.
Risiken OpenID:
OpenID Security Considerations
OpenID Phishing Brainstorm
Sicherheitsprobleme bei OpenID
