OpenId ist eine neue Technik zur Verwaltung von Online Identitäten. Dieser Artikel beleuchtet die Sache ein bißchen. Man muß sich beim Besuch anmeldepflichtiger Webseiten nicht mehr zig Id's und Passwörter merken, eine Anmeldung reicht. Diese muß man auch nicht bei Microsoft hinterlegen (weshalb deren letzter Versuch "Passport" wohl auch scheiterte), sondern kann sich dafür einen beliebigen Server aussuchen. Das dementsprechend dezentrale System soll helfen, daß jeder einen für seine Bedürfnisse passenden Service findet.
In den sog. online communities sorgt oft ein ausgeprägtes Karma-System dafür, den Troll-Faktor der Teilnehmer realistisch zu bewerten. Das Karma wird durch die Bewertung der Beiträge eines Mitglieds durch andere Mitglieder berechnet. Mitglieder mit viel Karma dürfen z.B. unmoderiert kommentieren oder erhalten lustige bunte Sterne (ebay).
Die Idee von OpenId ist es nun, nicht nur Id's und Passwörter zu vereinfachen, sondern auch Karma zentral zu speichern und damit anderen Sites zugänglich zu machen. Bei mir geht hier aber die Big Brother Lampe an. Ist ein Benutzer vertrauenswürdig, wenn er auf Site X 100 Punkte hat? Wenn es möglich ist, aus der OpenId direkt auf eine reale Person zu schließen, muß diese nun fürchten, daß zukünftige Arbeitgeber ihre Punktzahl als Indikator für soziale Verträglichkeit heranzuziehen? Wie geht das System mit Mißbrauch um? Kann ich einen OpenId Server faken oder andersherum ausgedrückt: Wie kann ein Anbieter einen OpenId Server verifizieren? Ein Hack einer OpenId oder schlimmer noch, eines Servers hat nun nicht mehr örtlich begrenzte Konsequenzen. Schneier würde sagen, das System wird dadurch brittle (spröde/brüchig). Ein Hack birgt die Gefahr eines class breaks, nicht nur die Kompromittierung einer Site. Ich denke man merkt es: Ich halte das Ganze für riskant und nicht zu Ende gedacht.
2 thoughts on “OpenId”
Leave a Reply
You must be logged in to post a comment.
With my poor German and the help of BabelFish, I think you may have misunderstood my article. What I was suggesting was a layer, built on top of OpenID that provides evidence of a reputation. OpenID currently doesn’t have any support for this at all, indeed the spec specifically rules it out. Clearly allowing anyone to establish a reputation service is a bad idea – but if there was a common protocol that respected organisations could publish their karma point for a given OpenID then we might get somewhere.
The crucial thing is that the consuming service would need to decide who to trust. Someone like Verisign, or Google, or Yahoo! could set up reputation servers and the consumer could decide which one to use. The reputation would contain a list of sites and the reputation on each – and the consumer could decide which ones to give weight to.
I haven’t thought it through completely – but I certainly think that something along these lines is possible.
Please forgive me if I have misunderstood the thrust of your post.
Higgis, indeed you are right, I have misread your post. Or rather, got caught up in my own thoughts. I feel very sensitive about centralized storage of personal data. Here in Germany they are about to pass a law that will allow the police to lookup all your private digital communication and store that information in a government database. Let’s not think about what will happen if that data leaks out. Another example of what we got over here is called the “Schufa“. It’s a private institute that tracks financial records, credit liabilities and so on. Banks, credit card companies, car rentals can inquire with Schufa if you have a clean record of paying your bills. If you don’t, you’ll have a really hard time getting a mobile phone contract, insurance and what else. Once this happens it is really hard to correct the records (even if they are wrong).
So, on the background of all this I read your article and thought – whoa – there goes another one :-)
You are right – it all comes down to trust. I think the trust we have towards Verisign for example is not the issue, it’s rather the sites that “feed” these services with data. A reputation server is just the hub in a network of sites that establish trust. So, if Verisign would stand up to provide such a service it would probably require some sort of responsibility by the sites that deliver the reputation data.
Anyway, thanks for stopping by to comment, I will certainly follow this idea
:-)