Kurze Meldung am Rande:
Windows Live wird ein neuer OpenID Provider. Damit schließt sich auch Microsoft der Initiative an.
Bisher kann man sich nur im Integration-System von Microsoft registrieren. Das ganze hat auch bisher nur Community Technology Preview (CTP)-Status. Für Entwickler zum Testen der Kommektivität aber schon mal sehr praktisch.
Ich beobachte die OpenID-Thematik inzwischen seit einiger Zeit und beabsichtige auch, unsere zukünftigen Seiten mit OpenID-Unterstützung auszustatten – da ich für die Technik Potential sehe, das es sich zu unterstützen lohnt. Dummerweise krankt OpenID noch an einigen Problemen, weshalb es derzeit fatal wäre, OpenID als einzige Option sich einzuloggen anzubieten.
Die wichtigsten Probleme fassen Dare Obasanjo und jetzt auch Yahoo zusammen:
End-Nutzer kennen OpenID nicht
Wenn man die Möglichkeit anbietet, sich mit seiner OpenID einzuloggen, dann wissen die User oft nicht, was das überhaupt ist. Viele Leute haben bereits eine, weil sie bei Yahoo, Blogger oder einer anderen Webseite angemeldet sind – aber dass sie dadurch auch eine OpenID haben, das ist was ganz neues.
URL als Login-Name
Warum bitte eine URL? Wenn ich mich einlogge, dann bin ich https://me.yahoo.com/a/USERNAME? Das kann sich erstens niemand merken und zweitens ist es absolut ungewohnt. USERNAME@me.yahoo.com wäre doch viel einprägsamer. Mit E-Mail Adressen einloggen kennt jeder. Es muss ja noch nicht mal eine funktionierende Mail-Adresse sein – nur eine Pseudo-Adresse. Das würde schon reichen, um die Technik auch Laien etwas näher zu bringen. Was dann intern “unter der Haube” passiert, um den Login aufzurufen, das ist eine ganz andere Frage.
Zu offen?
Einer der großen Stärken von OpenID ist auch eine große Schwäche: Jeder kann OpenID Provider werden. Oder noch “schlimmer”: Jeder kann SEIN EIGENER OpenID Provider werden. Als Spammer würde ich mir gar nicht die Mühe machen, mich bei Yahoo zu registrieren, um mich dann bei Seiten mit OpenID-Login einloggen zu können. Ich würde einfach einen einfachen OpenID Autentifizierungs-Server irgendwo hin stellen, der alle Anfragen mit okay bestätigt. Und schon kommt man überall rein…
Alles in allem noch einige Hürden, die OpenID nehmen muss, bevor es den großen Durchbruch schaffen kann. Dennoch: Es wird kommen. Irgendwann wird es zu viel mit 1000 Logins und Passwörtern für ebensoviele Seiten und Communities…
Ich bin momentan dabei, mich in die OpenID Thematik einzuarbeiten. Die Idee dahinter ist so einfach wie genial: Nur noch ein einziger Login, also nur noch ein einziges Passwort, für alle Webseiten. Um sich bei beliebigen Webseiten einzuloggen wird man dazu zu einer persönlich ausgewählten Seite weitergeleitet, bei der man sich mit seinem Username und seinem Passwort einloggt. Diese kommuniziert dann im Hintergrund mit der Webseite, auf der man sich einloggen möchte, und schon kann man dort aktiv loslegen.
Die Vorteile sind eindeutig: Für die User bedeutet das nur noch ein einziges Passwort, das man sich merken muss. Für die Webseiten-Betreiber, auf deren Seite man sich einloggen muss (Relying Party), entfällt das Thema “Passwort-Sicherheit”, das momentan nur durch das teure Bezahlen eines SSL-Zertifikats für die Webseite sicherzustellen war. Die Verschlüsselung übernimmt die Webseite, die die Passwort-Prüfung übernimmt, der OpenID Provider.
Ich habe als meinen primären OpenID Provider Yahoo gewählt. Wer einen Yahoo-Account hat, der bekommt auf Wunsch automatisch eine OpenID.
Allerdings möchte ich mich nicht überall mit “https://me.yahoo.com/USERNAME” einloggen, sondern fände es schicker, statt dessen die Adresse einer meiner persönlichen Webseiten nutzen zu können. Gar kein Problem.
Alles, was man tun muss, um eine beliebige URL als OpenID-Kennung zu nutzen, ist in den Header der entsprechenden Seite folgende zwei Tags einzubauen:
1 2 | <link rel="openid2.provider openid.server" href="https://open.login.yahooapis.com/openid/op/auth" /> <link rel="openid2.local_id openid.delegate" href="https://me.yahoo.com/USERNAME" /> |
Die openid2.local_id ist die Kennung, die man vom OpenID Provider bekommen hat, also die ID, mit der man sich sonst einloggen würde.
Den openid2.provider findet man heraus, indem man diese URL im Browser aufruft und sich den Quelltext der Datei anschaut und dort den openid2.provider herausliest. Für Yahoo ist dies der eben genannte “https://open.login.yahooapis.com/openid/op/auth”.
Andere OpenID-Provider findet man auf der offiziellen Webseite oder auch bei Wikipedia aufgelistet: List of OpenID providers bzw. OpenID.
