infostudium.de

[TBAA]

Hallo,

aufgrund der zunehmenden Popularität von OpenID würde ich gerne einen OpenID Provider der Hochschule haben. Das Projekt sollte sich ähnlich wie das inzwischen etablierte Jabberprojekt ausrichten und nur für Studenten / Mitarbeiter der Hochschule zur Verfügung stehen.

Was haltet ihr davon und wer hätte Interesse dabei mitzuarbeiten?

[Daniel]

also im moment sehe ich den Sinn nicht.

Anstatt einem Username/Passwort brauche ich dann eine online idendität.
Der Provider kann ein komplettes Profil von dir erstellen, wann du wie wo surfst, wie lange, was du runterlädst usw.

[cracki]

zum thema kann ich den IDF vortrag vom 10.4. empfehlen.

Datenschutz und Online-Identität (IDF, Video AG)

[mirko]

mal ne blöde frage: werden die eigentlichen benutzerdaten dann bei dem provider auf dem server gespeichert, oder wie?

[TBAA]

also im moment sehe ich den Sinn nicht.

Anstatt einem Username/Passwort brauche ich dann eine online idendität.
Der Provider kann ein komplettes Profil von dir erstellen, wann du wie wo surfst, wie lange, was du runterlädst usw.

Der Provider speichert auf welchen Seiten du deine Daten benutzt. Ja. Aber das hat auch Vorteile. So kannst du selbst bestimmen wielange du Seiten erlauben möchtest deine Daten zu benutzen.

Z.b. hast du vielleicht eine personalisierte Startseite bei netvibes. Dort kannst du deine Emailfächer abrufen oder deinen ebayaccount beobachten. Dafür braucht die Seite deine Zugangsdaten für Ebay. Mit OpenID unterstützung gibst du keinen benutzernamen und passwort auf netvibes für ebay an, weil du garkein passwort mehr für ebay hast. Du gibst deine OpenID an und dein Provider fragt dich, ob er Netvibes die erlaubnis geben soll auf ebay zuzugreifen. Genauso kannst du das selbstverständlich zu jedem Zeitpunkt auch wieder unterbinden.

Grundsätzlich sieht es im Moment so aus, dass viele Unternehmen (AOL, Yahoo und andere) OpenID unterstützen. Es gibt viele Provider die OpenIDs anbieten. Diesen müssen wir dann, sollte wir das System nutzen wollen, vertrauen. Und genau da soll dieses Projekt ansetzen. Ich würde einem Hochschulprojekt mehr vertrauen als einem Provider, vom den ich nicht weiß wie vertrauenswürdig er ist.

[mirko]

und wenn der server des openid-providers gehackt wird? dann kann der angreifer nicht nur meine emails lesen, sondern gleich online-banking und ebay für mich übernehmen?

ich weiß nicht, das kann mich nicht so recht überzeugen...

[TBAA]

Onlinebanking wird sicher nicht dafür angeboten.

Hauptsächlich geht es darum, dass ich lieber der Uni und dem Rechenzentrum vertraue als einer Firma.

Niemand zwingt dich dort deine Ebaydaten einzutragen oder das System für andere wichtige sachen zu nutzen, aber trotzdem gibt es hundert Seiten, auf denen jeder hier angemeldet ist, die weniger wichtig sind Onlinebanking. Ich denke da an verschiede Blogs bei denen man sich fürs Kommentieren registrieren muss, der Wikipediaanmeldung.

Sicher kann der Server gehackt werden, aber das können die ganzen anderen Seiten oder andere Provider auch.

Mir geht es wiegesagt um eine alternative zu den kommerziellen Projekten. Jabber gibt es auch kommerziell, trotzdem nutzen viele den Uniserver.

[Commo]

Firefox ist kostenlos, Open Source und Pipapo und kann deinen Usernamen und dein Passwort auch automatisch auf deinem eigenen Computer speichern! Traust du der Uni mehr als dir selbst?

[Daniel]

also im moment sehe ich den Sinn nicht.

Anstatt einem Username/Passwort brauche ich dann eine online idendität.
Der Provider kann ein komplettes Profil von dir erstellen, wann du wie wo surfst, wie lange, was du runterlädst usw.

Der Provider speichert auf welchen Seiten du deine Daten benutzt. Ja. Aber das hat auch Vorteile. So kannst du selbst bestimmen wielange du Seiten erlauben möchtest deine Daten zu benutzen.

Z.b. hast du vielleicht eine personalisierte Startseite bei netvibes. Dort kannst du deine Emailfächer abrufen oder deinen ebayaccount beobachten. Dafür braucht die Seite deine Zugangsdaten für Ebay. Mit OpenID unterstützung gibst du keinen benutzernamen und passwort auf netvibes für ebay an, weil du garkein passwort mehr für ebay hast. Du gibst deine OpenID an und dein Provider fragt dich, ob er Netvibes die erlaubnis geben soll auf ebay zuzugreifen. Genauso kannst du das selbstverständlich zu jedem Zeitpunkt auch wieder unterbinden.

Grundsätzlich sieht es im Moment so aus, dass viele Unternehmen (AOL, Yahoo und andere) OpenID unterstützen. Es gibt viele Provider die OpenIDs anbieten. Diesen müssen wir dann, sollte wir das System nutzen wollen, vertrauen. Und genau da soll dieses Projekt ansetzen. Ich würde einem Hochschulprojekt mehr vertrauen als einem Provider, vom den ich nicht weiß wie vertrauenswürdig er ist.

Naja, aber ich habe doch außer der Bequemlichkeit nur Nachteile dadurch...

[House]

Firefox ist kostenlos, Open Source und Pipapo und kann deinen Usernamen und dein Passwort auch automatisch auf deinem eigenen Computer speichern! Traust du der Uni mehr als dir selbst?

und dann musst du nur 30 sekunden deinen pc nicht beobachten, jemand steckt einen preparierten usb stick an und schon hat er deine daten und passwörter solange du windows nutzt

[fw]

und dann musst du nur 30 sekunden deinen pc nicht beobachten, jemand steckt einen preparierten usb stick an und schon hat er deine daten und passwörter solange du windows nutzt

Das ist mal wirklich ein sehr dämliches Argument. Ich soll meine komplette Zugangsdaten, Passwörter und alles drum und dran im Internet auf einem fragwürdigen Server (ja, Uni Server gehören dazu) lagern, weil ja jemand meinen lokalen PC knacken könnte? Wenn du Leuten, denen du nicht vertraust, Zugriff auf deinen PC gibst und die Leute es in 30 Sekunden hinkriegen, mit einem USB Stick deine Platte leer zu räumen, dann hast du schon ganz andere Sachen falsch gemacht...

[mirko]

ich fasse mal zusammen:

passwörter sind weder auf dem pc noch beim openid-provider sicher.
=> für unwichtige passwörter kann man openid nutzen, aber genausogut kann man sie im eigenen pc speichern;
wichtige passwörter sollte man nach wie vor ausschließlich in /dev/brain speichern und nirgendwo sonst...

[TBAA]

Hi,

also es werden in dem Sinne nicht deine Passwörter auf dem Server gespeichert, sondern die Erlaubnis für einzelne Seiten auf deine Daten zugreifen zu können.

Nehmen wir an, du speicherst deinen Nick und deine Emailaddy dort und willst nun dich auf einer Seite einloggen gibst du deine OpenID an und der Provider fragt dich (nach dem einloggen am Provider) ob du dieser Seite erlauben willst auf deine Daten (Email und Nick) zuzugreifen. (Erspart dir die Tipparbeit dafür und die Bestätigungsemail). Weiterhin ist denkbar für andere Seiten seine Adresse oder was halt sonst so bei Registrierungen immer und immerwieder abgefragt wird, zu hinterlegen, direkt für alle Seiten zu ändern oder einzelne Seiten die Erlaubnis für deinen Datensatz wieder zu entziehen.

Sicher kann man seine Passwörter auch im Firefox speichern und sich auf jeder Seite die es benötigt registrieren. Jedoch verpasst man dann die kleine Annehmlichkeiten. Mit einem einzigem (hinreichend gutem) Passwort hättest du sonst alle deine Seiten parat und verwaltet.

[mirko]

naja ok - das ändert aber nix dadran, dass ich, wenn der server gehackt wird, ein problem habe, oder?

[TBAA]

Ja, du hast recht. Bei einem gehacktem Server hast du ein Problem.

Du kannst das umgehen, indem du bei Seitenanmeldungen eine Url angibst die dir gehört und dort eine weiterleitung zu deinem provider reinstellst. du hast, im falle eines zwischenfalls, die möglichkeit die verlinkung zu einem 2. provider zu ändern.

Alternativ kannst du selbstverständlich auch einen eigenen OpenID Server für deine eigenen Daten aufsetzen.

Egal wie, eine Vertrauensbasis zum Provider ist erforderlich.

Jedoch gibt es auch den anderen Fall, dass normale Seiten gehackt werden (StudiVZ z.b.) und dort die Passwörter rauskopiert werden. Ich wette 90 % haben da das gleiche PW wie bei der gemeldeten EMail. Mit OpenID wäre nur der Link zu deinem Provider gespeichert, nicht jedoch dein Passwort, EMail oder ähnliches.