Upload
lukas-rosenstock
View
1.203
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
OpenID für Anfänger heißt:keine Vorkenntnisse notwendig!
Aber: Ihr seid doch eintechnisch versiertes Publikum?
Lukas Leander Rosenstock, B.Sc.Orwell'scher-Jahrgang ;-)
Student, Informatik, TU Darmstadt
Offizieller Vertreter derOpenID Foundation
in Deutschland
Aber ich ...
... werde nicht bezahlt!... will euch nichts verkaufen!
... suche konstruktive,kritische Auseinandersetzung
mit der Thematik!
Was ist OpenID?
Vorführeffekt ...
Scheinbar noch Probleme.
Warum sollten wir unstrotzdem damit beschäftigen?
Weil es die auch tun?!
Unabhängig vom Browser/PC:Überall benutzbar.
„Facebook, MySpace, AOL, Yahoo, Twitter, Googlemail. Jeden Tag loggen wir uns auf irgendwelchen Internetseiten ein, müssen jedes
Mal unseren Benutzernamen und unser Kennwort eintippen. OpenID soll das jetzt ändern: Mit einem Passwort für alle Seiten.“
Netzstrom, Bayerischer Rundfunk, 01.08.2008
OpenID ist kein Passwortmanager!
URL-basierte Identität:
Ich bin lukas.myopenid.com!
Kann ich das beweisen?
End User/Client
Identity-URL Identity Provider(IdP)
Relying Party(RP)
wants to identifyhimself
owns
points to
confirms identity
End User/Client
Identity-URL Identity Provider(IdP)
Relying Party(RP)
wants to identifyhimself
owns
points to
confirms identity
X-XRDS-Location: http://lukas.myopenid.com/lukas
...
<?xml version="1.0" encoding="UTF-8"?><xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid= "http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service priority="0"> <Type>http://specs.openid.net/auth/2.0/signon</Type> <Type>http://openid.net/sreg/1.0</Type> <Type>http://openid.net/extensions/sreg/1.1</Type> <Type>http://openid.net/srv/ax/1.0</Type> <URI>http://www.myopenid.com/server</URI> <LocalID>http://lukas.myopenid.com/</LocalID> </Service> </Service> </XRD></xrds:XRDS>
End User/Client
Identity-URL Identity Provider(IdP)
Relying Party(RP)
(1) asks for IdP(discovery)
(3) sendsredirectionto IdP
(2) gets ahandleissued(association)[if not yet done]]
End User/Client
Identity Provider(IdP)
Relying Party(RP)
(1) session, cookie, password, clientcertificate, trustsetting (eitherautomatically ofinteractive)
(3) redirection
(2) sendsredirectionto the RPwith signature(SHA1-HMAC)
(4) signature validation
OpenID ist dezentral.
Jeder kann Provideroder Relying Party werden.
“Nobody should own this. Nobody’s planning on making any money from this. The goal is to release every part of this under
the most liberal licenses possible, so there’s no money or licensing or registering required to play. It benefits the
community as a whole if something like this exists, and we’re all a part of the community.”
Brad Fitzpatrick (Founder of LiveJournal weblogcommunity and father of OpenID)
„OpenID is not a trust system!“
Jeder Provider entscheidet selbst,ob und wie er die Identität seiner
Nutzer überprüft.
Jede Relying Party entscheidet selbst,welchen Providern sie vertraut.
Eigentlich sollte sie dasdem Nutzer überlassen ...
Jeder Nutzer entscheidet selbst,bei welchem Provider er eine OpenID
registriert, wie viele er verwendetund wofür er sie verwendet.
Ein OpenID-Provider istwie eine Bank
für unsere Identitätim Internet.
Ist OpenID sicher?
Privatsphäre:
Mein OpenID-Provider weiß genau, aufwelchen Seiten ich mich wann einlogge.
Gegenargument:
Mein ISP, E-Mail-Provider etc.können das auch ...
Kein OpenID-spezifisches Problem.
Ich kann selbst Provider werden.
Single Point Of Failure:
Fällt mein OpenID-Provider aus,kann ich mich nirgends einloggen.
Gegenargument:
Fallback-Lösung mit zweitem Provider :-(
(2 OpenIDs immer noch besser als20 andere Accounts.)
OpenID 3.0 ...
Single Point Of Failure II:
Hat jemand Zugang zu meinerOpenID, hat er überall
bei mir Zugang.
Gegenargument:
OpenID-Provider sind Banken:Sicherere Methoden als Passwörter!
(Client-Zertifikate, USB-Sticks, Biometrie)
Phishing:
Böswillige Relying Party schicktmich zu „Fake“-Provider und
erfährt meinen Provider-Zugang.
Gegenargument:
Nochmal:Sicherere Methoden als Passwörter!
Spezieller Phishing-Schutz im Browser
Angriffe auf DNS/OpenID URL:
OpenID-URL wird manipuliert,so dass sie auf falschen Provider
zeigt.
Gegenargument:
Server schützen!SSL
DNSSEC ?!
Gibt es Alternativen?
Client-basierte Lösungen:SSL-Client-Zertifikate
Infocard (Microsoft Cardspace)
„Do something with OpenIDyou can only do with OpenID!“
Jede OpenID ist eine Website:Profil des Nutzers, Homepage etc.
Dezentrale Zugangskontrolle:
Datenfreigabe für OpenIDsKein eigenes Nutzermanagement
Kein manueller Schlüsselaustausch
Dezentrale soziale Netzwerke:
Geschützte Bereiche auf meiner HomepageAustausch von Profildaten über OpenID
Erweiterung mit anderen ProtokollenMicroformats
„Netz von Webseiten“FOAF/Semantic Web
Darüber reden wir morgen!!!
Vielen Dank füreure Aufmerksamkeit!