OpenID: Jemand Erfahrungen damit ?

[k00ni]

Ich habe gerade wieder was über http://de.wikipedia.org/wiki/Openid\" rel=\"external nofollow\">OpenID gelesen. Scheint ein richtig geiles System zu sein. Hat jemand hier praktische Erfahrung damit gemacht? Ist es schwierig bei der http://www.plaxo.com/api/openid_recipe\" rel=\"external nofollow\">Einbindung?

[k00ni]

Und hier noch eine Diplomarbeit zum Thema \"http://www.heinz-kagermann.de/documents/diplom.pdf\" rel=\"external nofollow\">OpenID in Unternehmensportalen\".

[Powie]

hört sich doch garnicht schwer an!

[phorkysxt]

Ich hab mal für jemanden ne OpenID v1 Unterstützung mit Hilfe von einer im Netz gefundenen Klasse eingebaut.

[k00ni]

Hmm.  Könntest du eventuelle Probleme aufzeigen oder Hinweise geben, wo man aufpassen muss? Denke dass diese Sache interessant werden könnte.

[Powie]

stellen wir mal eine \"Martforscher\" Frage.
Wer von euch hat eine OpenID ?  [/uploads/emoticons/icon_e_surprised.gif.a005678239f11b45b64b526b2c82e9a1.gif\" alt=\":o\" />]  [/uploads/emoticons/icon_e_surprised.gif.a005678239f11b45b64b526b2c82e9a1.gif\" alt=\":o\" />]  [/uploads/emoticons/icon_e_surprised.gif.a005678239f11b45b64b526b2c82e9a1.gif\" alt=\":o\" />]

[k00ni]

Ich nicht. Aber Google und Yahoo z.b. http://www.golem.de/showhigh2.php?file=/0802/57557\" rel=\"external nofollow\">unterstützen dies und somit sind ca. 350 Millionen potenzielle User bereits vorhanden, die OpenID nutzen.
 
Grüße

[Powie]

also funktioniert auch meine GoogleMail ID ?

[k00ni]

Keine Ahung. Aber wenn du einen Yahoo bzw. AIM-Account hast, dann ja. Oder du machst dir einen neuen Account.

[Powie]

Google, IBM, Microsoft, VeriSign und Yahoo haben sich als erste Unternehmen der Stiftung angeschlossen.[/quote]
... das heisst nur das sie das \"unterstützen\", das sie das technisch auch supporten und nutzen ist damit noch lange nicht gegeben.

[k00ni]

und seit alle Yahoo-Accounts OpenID unterstützen, gibt es weltweit rund 350 Millionen OpenID-fähige URLs bzw. Nutzer-Accounts[/quote]
Zum Teil schon  /uploads/emoticons/icon_e_biggrin.gif.1a84f5257b36e14b36d04985314f877f.gif\" alt=\":-D\" />

[phorkysxt]

Also ich hab eine OpenID und genieße die Vorteile auf OpenID fähigen Websites. Persönlich nutze ich den Service von VeriSign.
Wer ne Liste von OpenID Websites sehen will dem kann ich nur http://openiddirectory.com/\" rel=\"external nofollow\">http://openiddirectory.com/ empfehlen dort kann man sich als OpenID Website melden.
Zur Implementierung:
Die Implementierung mit der OpenID Class war kein Problem für mich.
Ich guck mal ob sie noch auf meiner Festplatte rumschwirrt.

[mahe]

Singlesignon ... ansich keine schlechte Sache ...
für Firmen im eigenen LAN!
Fürs Inet find ich das weniger bis garnicht optimal.
Schonmal überlegt was passiert wenn deinen Account einer knackt?
Zumal die sicher schön nachverfolgen können wo man sich so rumtreibt (trifft zwar nur auf Seiten zu die das unterstützen/verwenden, reicht aber schon wenn man sich die Liste ansieht. ...)

Da möchte ich mich voll und ganz anschließen. Das ist gerade so, als benutzt man ein Passwort für alles: E-Mail-Konto, Foren, Onlinebanking und und und.
Nein, danke.
Und schon gar nicht, wenn Microsoft, Google, Yahoo und Co. dann auch noch meine Daten haben.

[k00ni]

Da möchte ich mich voll und ganz anschließen. Das ist gerade so, als benutzt man ein Passwort für alles: E-Mail-Konto, Foren, Onlinebanking und und und.[/quote]
Nur sieht die Realität jetzt schon so aus. Viele Leute haben überall die gleiche Kennung (Username, E-Mail). Nutzen das gleiche Passwort. Who cares? Man glaubt garnicht, wie sorglos die Leute im Netz herumreisen. Warum fallen auch nur so viele auf Pishingemails rein, obwohl die Banken warnen dass sie sowas nie machen? Weil man sturr ist und sich denkt, mir kann schon nichts passieren. Nicht alles sind so, aber hey, die Masse machts ja bekanntlich.
Hier setzt OpenID an. Man hat EINE Seite wo man sich \"anmeldet\". Hast du dich mal darüber etwas informiert? Da bekommt die Seite die die Abfrage der Daten macht nichts mit, schon garnicht das Passwort. Dies läuft über den jeweiligen Server, wo du dich \"registriert\" hast. Sie bekommt nur eine Kennung und fertig.

Und schon gar nicht, wenn Microsoft, Google, Yahoo und Co. dann auch noch meine Daten haben.[/quote]
Komm hier bitte nicht mit solchen Phrasen. Wenn dann mit Beispielen oder Belegen. Dazu habe ich das hier http://openid.net/what/\" rel=\"external nofollow\">gefunden.

As such, OpenID is not owned by anyone, nor should it be. Today, anyone can choose to be an OpenID user or an OpenID Provider for free without having to register or be approved by any organization. [/quote]
Das schöne daran ist, dass niemand ein Datenmonopol hat. Hast du eine ICQ-Kennung? Dann liegt alles auf dem ICQ-Server. Laufen deine E-Mails über Google, dann scannen die die und plazieren anhand von Schlüsselwörtern Werbung für dich. Dies geschieht hier nicht. Wenn du nicht möchtest, dass jemand deine Daten hat, dann mach dir einen Provider und tus selbst.

Schonmal überlegt was passiert wenn deinen Account einer knackt?[/quote]
Ja, ich gebe zu, dass dies ein Problem ist. Aber wie ich oben schon geschrieben habe, gibt es viele Leute, die ihre Daten überall verwenden. Ich http://de.wikipedia.org/wiki/Single_Sign-On#Vorteile\" rel=\"external nofollow\">zitiere mal kurz die deutsche Wikipedia zu den Vorteilen:

   * Zeitersparnis, da nur noch eine einzige Authentifizierung notwendig ist, um auf alle Systeme zugreifen zu können    * Sicherheitsgewinn, da das Passwort nur einmal übertragen werden muss
    * Sicherheitsgewinn, da beim Entfernen/Aktualisieren eines Nutzers lediglich ein Benutzerkonto betrachtet werden muss
    * Sicherheitsgewinn, da sich der Nutzer anstelle einer Vielzahl meist unsicherer Passwörter nur noch eines merken muss. Somit kann dieses eine Passwort dafür komplex und sicher gewählt werden
    * Phishing Attacken werden erschwert, da Benutzer UserID+Passwort nur an einer einzigen Stelle eingeben müssen und nicht mehr an zahlreichen, verstreuten Stellen. Diese eine Stelle kann leichter auf Korrektheit (URL, SSL-Serverzertifikat, etc.) überprüft werden.
    * Es wird Bewusstsein geschaffen, wo man guten Gewissens UserID+Passwort eingeben kann. Benutzer eines Single Sign-On werden schwerer dazu verleitet, fremden Seiten ihr (möglicherweise gemeinsam benutztes) Passwort anzuvertrauen.
[/quote]
Ich denke, dass das mit der zentralen Anmeldung schlüssig klingt. Wenn man nämlich nur noch einmal seinen Kram eingeben muss und überall hin kann, dann geht man auch kritischer mit eventuellen Aufforderungen um, seine Daten irgendwo eingeben zu müssen. Der Effekt wäre ein kritischer Umgang mit der Sicherheit bezogen auf die eignen Daten und dass man eben nicht jedem vertrauen kann.

Zumal die sicher schön nachverfolgen können wo man sich so rumtreibt[/quote]
Ich gebe mal mahe bei Google ein. Oder deinen Vor- und Nachnamen. Mal schauen was ich da alles an Seiten finde. Ich denke, dass dies auch jetzt schon möglich ist und somit kein direkter Nachteil ist.

Zum Thema ein Account, ein Passwort. Man kann ja auch mehrere Accounts anlegen. Einen für die wilden Dinge und einen für die seriösen. Somit umschifft man eventuelle Probleme wenigstens teilweise. Ich meine, wenn man so will, ist nüscht mehr sicher. Und ich habe in diesem Zusammenhang gelesen, dass viele Leute durch das ständige Eingeben ihrer Daten oft leichte Kombinationen aus Username und Passwort wählen, damit der Aufwand dafür gering bleibt. Hallo?! Dies wäre ein ebenso großer Angriffspunkt.