SlideShare ist ein Scribd-Unternehmen logo
OpenID für Anfänger heißt:
keine Vorkenntnisse notwendig!
Aber: Ihr seid doch ein
technisch versiertes Publikum?
Lukas Leander Rosenstock, B.Sc.
    Orwell'scher-Jahrgang ;-)
Student, Informatik, TU Darmstadt
Offizieller Vertreter der
 OpenID Foundation
     in Deutschland
Aber ich ...

    ... werde nicht bezahlt!
... will euch nichts verkaufen!
     ... suche konstruktive,
kritische Auseinandersetzung
        mit der Thematik!
Was ist OpenID?
Vorführeffekt ...
Scheinbar noch Probleme.

    Warum sollten wir uns
trotzdem damit beschäftigen?
Weil es die auch tun?!
Unabhängig vom Browser/PC:
    Überall benutzbar.
„Facebook, MySpace, AOL, Yahoo, Twitter, Googlemail. Jeden Tag
loggen wir uns auf irgendwelchen Internetseiten ein, müssen jedes
   Mal unseren Benutzernamen und unser Kennwort eintippen.
 OpenID soll das jetzt ändern: Mit einem Passwort für alle Seiten.“
               Netzstrom, Bayerischer Rundfunk, 01.08.2008
OpenID ist kein Passwortmanager!
URL-basierte Identität:

Ich bin lukas.myopenid.com!
Kann ich das beweisen?
points to       Identity Provider
 Identity-URL
                                            (IdP)




        owns                           confirms identity




                  wants to identify    Relying Party
End User/Client   himself                  (RP)
points to              Identity Provider
 Identity-URL
                                                           (IdP)

                  X-XRDS-Location: http://lukas.myopenid.com/lukas

                  ...
        owns                                           confirms identity
                  <?xml version="1.0" encoding="UTF-8"?>
                  <xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid=
                  "http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)">
                  <XRD>
                     <Service priority="0">
                           wants to identify            Relying Party
                      <Type>http://specs.openid.net/auth/2.0/signon</Type>
End User/Client            himself
                       <Type>http://openid.net/sreg/1.0</Type> (RP)
                       <Type>http://openid.net/extensions/sreg/1.1</Type>
                       <Type>http://openid.net/srv/ax/1.0</Type>
                       <URI>http://www.myopenid.com/server</URI>
                      <LocalID>http://lukas.myopenid.com/</LocalID>
                     </Service>
                     </Service>
                   </XRD>
                  </xrds:XRDS>
Identity Provider
 Identity-URL
                                                    (IdP)




                  (1) asks             (2) gets a
                  for IdP              handle
                  (discovery)          issued
                                       (association)
                                       [if not yet done]]




                                                 Relying Party
End User/Client
                                                     (RP)
                         (3) sends
                         redirection
                         to IdP
Identity Provider
                                                  (IdP)


         (1) session, cookie,
         password, client
         certificate, trust
         setting (either
         automatically of
         interactive)
                    (2) sends
                    redirection
                    to the RP
                    with signature
                    (SHA1-HMAC)

                                            (4) signature validation

                                             Relying Party
End User/Client
                                                 (RP)

                          (3) redirection
OpenID ist dezentral.
Jeder kann Provider
oder Relying Party werden.
“Nobody should own this. Nobody’s planning on making any
money from this. The goal is to release every part of this under
  the most liberal licenses possible, so there’s no money or
   licensing or registering required to play. It benefits the
community as a whole if something like this exists, and we’re
                 all a part of the community.”
             Brad Fitzpatrick (Founder of LiveJournal weblog
                    community and father of OpenID)
„OpenID is not a trust system!“
Jeder Provider entscheidet selbst,
ob und wie er die Identität seiner
        Nutzer überprüft.
Jede Relying Party entscheidet selbst,
   welchen Providern sie vertraut.

       Eigentlich sollte sie das
      dem Nutzer überlassen ...
Jeder Nutzer entscheidet selbst,
bei welchem Provider er eine OpenID
 registriert, wie viele er verwendet
    und wofür er sie verwendet.
Ein OpenID-Provider ist
     wie eine Bank
  für unsere Identität
      im Internet.
Ist OpenID sicher?
Privatsphäre:

Mein OpenID-Provider weiß genau, auf
welchen Seiten ich mich wann einlogge.
Gegenargument:

  Mein ISP, E-Mail-Provider etc.
      können das auch ...

Kein OpenID-spezifisches Problem.

Ich kann selbst Provider werden.
Single Point Of Failure:

 Fällt mein OpenID-Provider aus,
kann ich mich nirgends einloggen.
Gegenargument:

Fallback-Lösung mit zweitem Provider :-(

   (2 OpenIDs immer noch besser als
         20 andere Accounts.)

             OpenID 3.0 ...
Single Point Of Failure II:

Hat jemand Zugang zu meiner
    OpenID, hat er überall
       bei mir Zugang.
Gegenargument:

      OpenID-Provider sind Banken:
  Sicherere Methoden als Passwörter!
(Client-Zertifikate, USB-Sticks, Biometrie)
Phishing:

 Böswillige Relying Party schickt
  mich zu „Fake“-Provider und
erfährt meinen Provider-Zugang.
Gegenargument:

            Nochmal:
Sicherere Methoden als Passwörter!

Spezieller Phishing-Schutz im Browser
Angriffe auf DNS/OpenID URL:

 OpenID-URL wird manipuliert,
so dass sie auf falschen Provider
              zeigt.
Gegenargument:

Server schützen!
      SSL
   DNSSEC ?!
Gibt es Alternativen?
Client-basierte Lösungen:
      SSL-Client-Zertifikate
Infocard (Microsoft Cardspace)
„Do something with OpenID
you can only do with OpenID!“
Jede OpenID ist eine Website:
Profil des Nutzers, Homepage etc.
Dezentrale Zugangskontrolle:

    Datenfreigabe für OpenIDs
 Kein eigenes Nutzermanagement
Kein manueller Schlüsselaustausch
Dezentrale soziale Netzwerke:

Geschützte Bereiche auf meiner Homepage
 Austausch von Profildaten über OpenID
  Erweiterung mit anderen Protokollen
              Microformats
         „Netz von Webseiten“
          FOAF/Semantic Web
Darüber reden wir morgen!!!
Vielen Dank für
eure Aufmerksamkeit!

Weitere ähnliche Inhalte

Andere mochten auch

Ponencia Jornada técnica “Proyectos europeos en eficiencia energética en edif...
Ponencia Jornada técnica “Proyectos europeos en eficiencia energética en edif...Ponencia Jornada técnica “Proyectos europeos en eficiencia energética en edif...
Ponencia Jornada técnica “Proyectos europeos en eficiencia energética en edif...FAEN
 
Los tiburones blancos 2
Los tiburones blancos 2Los tiburones blancos 2
Los tiburones blancos 2LOSMAGH
 
Normas apa ricardo mejia
Normas apa ricardo mejiaNormas apa ricardo mejia
Normas apa ricardo mejiaoncecsch
 
Redes sociales. sara orue 4ºa
Redes sociales. sara orue 4ºaRedes sociales. sara orue 4ºa
Redes sociales. sara orue 4ºaSaraOrue
 
Transistores
TransistoresTransistores
Transistores
Walter Siguas
 
Erstellung Freier Dokumente
Erstellung Freier DokumenteErstellung Freier Dokumente
Erstellung Freier Dokumente
FunThomas424242
 
IHAI Creative Consulting
IHAI Creative ConsultingIHAI Creative Consulting
IHAI Creative Consulting
IHAI Creative Consulting
 
Parcial 2 000335606_000336345
Parcial 2  000335606_000336345Parcial 2  000335606_000336345
Parcial 2 000335606_000336345
katerine9125
 
Tema III. Desarrollo Sostenible
Tema III. Desarrollo SostenibleTema III. Desarrollo Sostenible
Tema III. Desarrollo SostenibleHarimarbeni
 
Imaginando el futuro.
Imaginando el futuro.Imaginando el futuro.
Imaginando el futuro.Rositaf21
 
Taller sistemas tecnológicos
Taller sistemas tecnológicosTaller sistemas tecnológicos
Taller sistemas tecnológicospiperoserotorres
 
Modulo ii
Modulo iiModulo ii
Modulo ii
Raquel Mercado
 
Smbsc book roland fiege mgmt summary
Smbsc book roland fiege   mgmt summarySmbsc book roland fiege   mgmt summary
Smbsc book roland fiege mgmt summary
DIE DIGITALE GmbH
 
El equilibrio de lo imposible
El equilibrio de lo imposibleEl equilibrio de lo imposible
El equilibrio de lo imposible
proyecto_comenius
 

Andere mochten auch (20)

Kingbird praesentation
Kingbird praesentationKingbird praesentation
Kingbird praesentation
 
Ponencia Jornada técnica “Proyectos europeos en eficiencia energética en edif...
Ponencia Jornada técnica “Proyectos europeos en eficiencia energética en edif...Ponencia Jornada técnica “Proyectos europeos en eficiencia energética en edif...
Ponencia Jornada técnica “Proyectos europeos en eficiencia energética en edif...
 
Examen III
Examen IIIExamen III
Examen III
 
Los tiburones blancos 2
Los tiburones blancos 2Los tiburones blancos 2
Los tiburones blancos 2
 
Normas apa ricardo mejia
Normas apa ricardo mejiaNormas apa ricardo mejia
Normas apa ricardo mejia
 
Redes sociales. sara orue 4ºa
Redes sociales. sara orue 4ºaRedes sociales. sara orue 4ºa
Redes sociales. sara orue 4ºa
 
Transistores
TransistoresTransistores
Transistores
 
Tra
TraTra
Tra
 
Erstellung Freier Dokumente
Erstellung Freier DokumenteErstellung Freier Dokumente
Erstellung Freier Dokumente
 
IHAI Creative Consulting
IHAI Creative ConsultingIHAI Creative Consulting
IHAI Creative Consulting
 
Derechos de autor
Derechos de autorDerechos de autor
Derechos de autor
 
Parcial 2 000335606_000336345
Parcial 2  000335606_000336345Parcial 2  000335606_000336345
Parcial 2 000335606_000336345
 
Tema III. Desarrollo Sostenible
Tema III. Desarrollo SostenibleTema III. Desarrollo Sostenible
Tema III. Desarrollo Sostenible
 
Imaginando el futuro.
Imaginando el futuro.Imaginando el futuro.
Imaginando el futuro.
 
Taller sistemas tecnológicos
Taller sistemas tecnológicosTaller sistemas tecnológicos
Taller sistemas tecnológicos
 
Modulo ii
Modulo iiModulo ii
Modulo ii
 
Smbsc book roland fiege mgmt summary
Smbsc book roland fiege   mgmt summarySmbsc book roland fiege   mgmt summary
Smbsc book roland fiege mgmt summary
 
Diseño de cv
Diseño de cvDiseño de cv
Diseño de cv
 
Los valores
Los valoresLos valores
Los valores
 
El equilibrio de lo imposible
El equilibrio de lo imposibleEl equilibrio de lo imposible
El equilibrio de lo imposible
 

Ähnlich wie OpenID für Anfänger - MRMCD

Top 10 Internet Trends 2007
Top 10 Internet Trends 2007Top 10 Internet Trends 2007
Top 10 Internet Trends 2007
Jürg Stuker
 
OpenID
OpenIDOpenID
Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID ...
Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID ...Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID ...
Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID ...
Univention GmbH
 
OpenSocial und Apache Shindig
OpenSocial und Apache ShindigOpenSocial und Apache Shindig
OpenSocial und Apache Shindig
Mayflower GmbH
 
Trend Micro Forschungsbericht Juli 2014 (Anhang)
Trend Micro Forschungsbericht Juli 2014 (Anhang)Trend Micro Forschungsbericht Juli 2014 (Anhang)
Trend Micro Forschungsbericht Juli 2014 (Anhang)Michael Kurzidim
 
Elektronischer Personalausweis
Elektronischer PersonalausweisElektronischer Personalausweis
Elektronischer Personalausweis
bofh42
 
Api Platform: the ultimate API Platform
Api Platform: the ultimate API PlatformApi Platform: the ultimate API Platform
Api Platform: the ultimate API Platform
Stefan Adolf
 

Ähnlich wie OpenID für Anfänger - MRMCD (8)

Top 10 Internet Trends 2007
Top 10 Internet Trends 2007Top 10 Internet Trends 2007
Top 10 Internet Trends 2007
 
OpenID
OpenIDOpenID
OpenID
 
Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID ...
Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID ...Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID ...
Login mit Facebook? Login mit Google? Oder Login mit "meine firma"?!? OpenID ...
 
OpenSocial und Apache Shindig
OpenSocial und Apache ShindigOpenSocial und Apache Shindig
OpenSocial und Apache Shindig
 
Trend Micro Forschungsbericht Juli 2014 (Anhang)
Trend Micro Forschungsbericht Juli 2014 (Anhang)Trend Micro Forschungsbericht Juli 2014 (Anhang)
Trend Micro Forschungsbericht Juli 2014 (Anhang)
 
Elektronischer Personalausweis
Elektronischer PersonalausweisElektronischer Personalausweis
Elektronischer Personalausweis
 
Api Platform: the ultimate API Platform
Api Platform: the ultimate API PlatformApi Platform: the ultimate API Platform
Api Platform: the ultimate API Platform
 
My Cypher 1.1
My Cypher 1.1My Cypher 1.1
My Cypher 1.1
 

Mehr von Lukas Leander Rosenstock

Specification-driven API Design with OpenAPI
Specification-driven API Design with OpenAPISpecification-driven API Design with OpenAPI
Specification-driven API Design with OpenAPI
Lukas Leander Rosenstock
 
Specification-driven API Design vs Technical Writers
Specification-driven API Design vs Technical WritersSpecification-driven API Design vs Technical Writers
Specification-driven API Design vs Technical Writers
Lukas Leander Rosenstock
 
To SDK or not to SDK?
To SDK or not to SDK?To SDK or not to SDK?
To SDK or not to SDK?
Lukas Leander Rosenstock
 
Hybride Entwicklung mit Ionic
Hybride Entwicklung mit IonicHybride Entwicklung mit Ionic
Hybride Entwicklung mit Ionic
Lukas Leander Rosenstock
 
Das IndieWeb - mach mit!
Das IndieWeb - mach mit!Das IndieWeb - mach mit!
Das IndieWeb - mach mit!
Lukas Leander Rosenstock
 
PHP Frameworks, Libraries & Tools - BarCamp RheinMain 2013
PHP Frameworks, Libraries & Tools - BarCamp RheinMain 2013PHP Frameworks, Libraries & Tools - BarCamp RheinMain 2013
PHP Frameworks, Libraries & Tools - BarCamp RheinMain 2013Lukas Leander Rosenstock
 
OpenID for starters - Barcamp Berlin II
OpenID for starters - Barcamp Berlin IIOpenID for starters - Barcamp Berlin II
OpenID for starters - Barcamp Berlin II
Lukas Leander Rosenstock
 

Mehr von Lukas Leander Rosenstock (8)

Specification-driven API Design with OpenAPI
Specification-driven API Design with OpenAPISpecification-driven API Design with OpenAPI
Specification-driven API Design with OpenAPI
 
Specification-driven API Design vs Technical Writers
Specification-driven API Design vs Technical WritersSpecification-driven API Design vs Technical Writers
Specification-driven API Design vs Technical Writers
 
To SDK or not to SDK?
To SDK or not to SDK?To SDK or not to SDK?
To SDK or not to SDK?
 
Hybride Entwicklung mit Ionic
Hybride Entwicklung mit IonicHybride Entwicklung mit Ionic
Hybride Entwicklung mit Ionic
 
Das IndieWeb - mach mit!
Das IndieWeb - mach mit!Das IndieWeb - mach mit!
Das IndieWeb - mach mit!
 
App.net Introduction
App.net IntroductionApp.net Introduction
App.net Introduction
 
PHP Frameworks, Libraries & Tools - BarCamp RheinMain 2013
PHP Frameworks, Libraries & Tools - BarCamp RheinMain 2013PHP Frameworks, Libraries & Tools - BarCamp RheinMain 2013
PHP Frameworks, Libraries & Tools - BarCamp RheinMain 2013
 
OpenID for starters - Barcamp Berlin II
OpenID for starters - Barcamp Berlin IIOpenID for starters - Barcamp Berlin II
OpenID for starters - Barcamp Berlin II
 

OpenID für Anfänger - MRMCD

  • 1.
  • 2. OpenID für Anfänger heißt: keine Vorkenntnisse notwendig!
  • 3. Aber: Ihr seid doch ein technisch versiertes Publikum?
  • 4. Lukas Leander Rosenstock, B.Sc. Orwell'scher-Jahrgang ;-) Student, Informatik, TU Darmstadt
  • 5. Offizieller Vertreter der OpenID Foundation in Deutschland
  • 6. Aber ich ... ... werde nicht bezahlt! ... will euch nichts verkaufen! ... suche konstruktive, kritische Auseinandersetzung mit der Thematik!
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 14. Scheinbar noch Probleme. Warum sollten wir uns trotzdem damit beschäftigen?
  • 15. Weil es die auch tun?!
  • 16.
  • 17. Unabhängig vom Browser/PC: Überall benutzbar.
  • 18. „Facebook, MySpace, AOL, Yahoo, Twitter, Googlemail. Jeden Tag loggen wir uns auf irgendwelchen Internetseiten ein, müssen jedes Mal unseren Benutzernamen und unser Kennwort eintippen. OpenID soll das jetzt ändern: Mit einem Passwort für alle Seiten.“ Netzstrom, Bayerischer Rundfunk, 01.08.2008
  • 19. OpenID ist kein Passwortmanager!
  • 20. URL-basierte Identität: Ich bin lukas.myopenid.com!
  • 21. Kann ich das beweisen?
  • 22. points to Identity Provider Identity-URL (IdP) owns confirms identity wants to identify Relying Party End User/Client himself (RP)
  • 23. points to Identity Provider Identity-URL (IdP) X-XRDS-Location: http://lukas.myopenid.com/lukas ... owns confirms identity <?xml version="1.0" encoding="UTF-8"?> <xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid= "http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service priority="0"> wants to identify Relying Party <Type>http://specs.openid.net/auth/2.0/signon</Type> End User/Client himself <Type>http://openid.net/sreg/1.0</Type> (RP) <Type>http://openid.net/extensions/sreg/1.1</Type> <Type>http://openid.net/srv/ax/1.0</Type> <URI>http://www.myopenid.com/server</URI> <LocalID>http://lukas.myopenid.com/</LocalID> </Service> </Service> </XRD> </xrds:XRDS>
  • 24. Identity Provider Identity-URL (IdP) (1) asks (2) gets a for IdP handle (discovery) issued (association) [if not yet done]] Relying Party End User/Client (RP) (3) sends redirection to IdP
  • 25. Identity Provider (IdP) (1) session, cookie, password, client certificate, trust setting (either automatically of interactive) (2) sends redirection to the RP with signature (SHA1-HMAC) (4) signature validation Relying Party End User/Client (RP) (3) redirection
  • 27. Jeder kann Provider oder Relying Party werden.
  • 28. “Nobody should own this. Nobody’s planning on making any money from this. The goal is to release every part of this under the most liberal licenses possible, so there’s no money or licensing or registering required to play. It benefits the community as a whole if something like this exists, and we’re all a part of the community.” Brad Fitzpatrick (Founder of LiveJournal weblog community and father of OpenID)
  • 29.
  • 30. „OpenID is not a trust system!“
  • 31. Jeder Provider entscheidet selbst, ob und wie er die Identität seiner Nutzer überprüft.
  • 32. Jede Relying Party entscheidet selbst, welchen Providern sie vertraut. Eigentlich sollte sie das dem Nutzer überlassen ...
  • 33. Jeder Nutzer entscheidet selbst, bei welchem Provider er eine OpenID registriert, wie viele er verwendet und wofür er sie verwendet.
  • 34. Ein OpenID-Provider ist wie eine Bank für unsere Identität im Internet.
  • 36. Privatsphäre: Mein OpenID-Provider weiß genau, auf welchen Seiten ich mich wann einlogge.
  • 37. Gegenargument: Mein ISP, E-Mail-Provider etc. können das auch ... Kein OpenID-spezifisches Problem. Ich kann selbst Provider werden.
  • 38. Single Point Of Failure: Fällt mein OpenID-Provider aus, kann ich mich nirgends einloggen.
  • 39. Gegenargument: Fallback-Lösung mit zweitem Provider :-( (2 OpenIDs immer noch besser als 20 andere Accounts.) OpenID 3.0 ...
  • 40. Single Point Of Failure II: Hat jemand Zugang zu meiner OpenID, hat er überall bei mir Zugang.
  • 41. Gegenargument: OpenID-Provider sind Banken: Sicherere Methoden als Passwörter! (Client-Zertifikate, USB-Sticks, Biometrie)
  • 42. Phishing: Böswillige Relying Party schickt mich zu „Fake“-Provider und erfährt meinen Provider-Zugang.
  • 43. Gegenargument: Nochmal: Sicherere Methoden als Passwörter! Spezieller Phishing-Schutz im Browser
  • 44. Angriffe auf DNS/OpenID URL: OpenID-URL wird manipuliert, so dass sie auf falschen Provider zeigt.
  • 47. Client-basierte Lösungen: SSL-Client-Zertifikate Infocard (Microsoft Cardspace)
  • 48. „Do something with OpenID you can only do with OpenID!“
  • 49. Jede OpenID ist eine Website: Profil des Nutzers, Homepage etc.
  • 50. Dezentrale Zugangskontrolle: Datenfreigabe für OpenIDs Kein eigenes Nutzermanagement Kein manueller Schlüsselaustausch
  • 51. Dezentrale soziale Netzwerke: Geschützte Bereiche auf meiner Homepage Austausch von Profildaten über OpenID Erweiterung mit anderen Protokollen Microformats „Netz von Webseiten“ FOAF/Semantic Web
  • 52. Darüber reden wir morgen!!!
  • 53. Vielen Dank für eure Aufmerksamkeit!