Orkpiraten

Vor etwas über einem Jahr hab ich mal den Wunsch nach einfacher, verteilter anonymer Authentifizierung in die Runde gewor­fen. Su-Shee hat das kurz kom­men­tiert, das wars dann aber auch schon an Echo.

In der Zwi­schen­zeit hab ich dann tat­säch­lich mal etwas über OpenID gehört, und fand den Ansatz dann auch ganz inter­es­sant. Da s9y das lei­der noch nicht unter­stützt, und meine top10 Web­dienste auch nicht, hab ich mir das nie so genau ange­se­hen. Es blieb aber im Spei­cher mei­ner Mus­ter­er­ken­nung, und wann immer ich heute die Zei­chen­kette „OpenID“ sehe, schau ich genauer hin.

Um jetzt zu ler­nen wie doof, unsicher und daten­schmut­zig das ist. Es gibt sogar eine Initiative dagegen!

Nach­dem ich die vor­ge­brach­ten Argu­mente durch­ge­se­hen habe, muss ich zuge­ben: Die haben Recht. OpenID ist zwar ein­fach, und mit eige­nem Ser­ver auch halb­wegs Privacy-konform, aber das wars auch. Ich kann nicht ein­fach meh­rere Iden­ti­tä­ten unter einem Login ver­wal­ten und soo sicher ist’s auch nicht.

Also liebe Programmier-Kollektive, das war nix, zurück an die Arbeit **Peitschenknall** :)

PS: Was wäre bes­ser? Viel­leicht das: Die Seite an der ich mich anmel­den will, gibt mir einen Ses­si­on­Key. Den paste ich bei mei­nem ID-Provider (bei dem ich mich natür­lich ganz nor­mal ein­logge) ein, der jetzt erkennt, dass ich noch nie auf der Seite war. Also fragt er mich, wie ich auf der Seite heis­sen will, wel­che Daten die Seite will, wel­che sie bekommt, etc. Am Ende gibt es einen Ses­si­on­pass zurück, mit des­sen Hilfe die Seite vom ID-Provider alle not­wen­di­gen Daten über ssh/https/pgp/whatever abfra­gen kann. Jetzt bin ich angemeldet.

Spä­ter über­springt der ID-Provider diese Fra­ge­rei und gibt direkt den Ses­si­on­pass. Wenn ich jetzt noch den ID-Provider in ein Tor-ähnliches Peer2Peer-Netz packe sollte doch eigent­lich alles tuf­fig sein, oder?