Revisited: Anonyme Authentifizierung
Vor etwas über einem Jahr hab ich mal den Wunsch nach einfacher, verteilter anonymer Authentifizierung in die Runde geworfen. Su-Shee hat das kurz kommentiert, das wars dann aber auch schon an Echo.
In der Zwischenzeit hab ich dann tatsächlich mal etwas über OpenID gehört, und fand den Ansatz dann auch ganz interessant. Da s9y das leider noch nicht unterstützt, und meine top10 Webdienste auch nicht, hab ich mir das nie so genau angesehen. Es blieb aber im Speicher meiner Mustererkennung, und wann immer ich heute die Zeichenkette „OpenID“ sehe, schau ich genauer hin.
Um jetzt zu lernen wie doof, unsicher und datenschmutzig das ist. Es gibt sogar eine Initiative dagegen!
Nachdem ich die vorgebrachten Argumente durchgesehen habe, muss ich zugeben: Die haben Recht. OpenID ist zwar einfach, und mit eigenem Server auch halbwegs Privacy-konform, aber das wars auch. Ich kann nicht einfach mehrere Identitäten unter einem Login verwalten und soo sicher ist’s auch nicht.
Also liebe Programmier-Kollektive, das war nix, zurück an die Arbeit **Peitschenknall** :)
PS: Was wäre besser? Vielleicht das: Die Seite an der ich mich anmelden will, gibt mir einen SessionKey. Den paste ich bei meinem ID-Provider (bei dem ich mich natürlich ganz normal einlogge) ein, der jetzt erkennt, dass ich noch nie auf der Seite war. Also fragt er mich, wie ich auf der Seite heissen will, welche Daten die Seite will, welche sie bekommt, etc. Am Ende gibt es einen Sessionpass zurück, mit dessen Hilfe die Seite vom ID-Provider alle notwendigen Daten über ssh/https/pgp/whatever abfragen kann. Jetzt bin ich angemeldet.
Später überspringt der ID-Provider diese Fragerei und gibt direkt den Sessionpass. Wenn ich jetzt noch den ID-Provider in ein Tor-ähnliches Peer2Peer-Netz packe sollte doch eigentlich alles tuffig sein, oder?
Schreibe einen Kommentar