Kommentare zu: „Zero Sign-On“ mit OpenID und SSL

Von: 5 Gründe warum OpenID falsch verstanden wird

5 Gründe warum OpenID falsch verstanden wird — Fri, 29 Feb 2008 16:45:39 +0000

[…] Web Ausweis wenn es mit anderen -spannenden Identity 2.0- Ideen verknüpft wird. Z.B. CardSpace, Zertifikate oder eben […]

Von: Carsten Pötter

Carsten Pötter — Mon, 25 Feb 2008 19:00:32 +0000

@Matthias: Nein, ich bin zertifizierter OpenID Provider Tester. Mein Job, meine Lebensaufgabe. 😉

@Sascha: VeriSign PIP finde ich persönlich ziemlich gut. Ich könnte jetzt meine Top 5 Liste der Provider hier posten, aber das würde dann doch dem Ansatz widersprechen, den wir mit Spread OpenID verfolgen. Soll sich jeder sein eigenes Bild machen und den Provider wählen, der seinen Bedürfnissen am ehesten entspricht (Sicherheit, Features, Kompatibilität,…).

Ach ja, https://web.archive.org/web/20080730205943/http://spreadopenid.org/ 🙂

Von: Matthias Pfefferle

Matthias Pfefferle — Mon, 25 Feb 2008 15:28:06 +0000

@Sascha: Du hattest recht, danke nochmal für den Tip und deine eMail.

Von: Matthias Pfefferle

Matthias Pfefferle — Mon, 25 Feb 2008 14:31:59 +0000

Schau nochmal nach, bei mir stimmt alles und der W3C Validator gibt auch keinen Fehler...

Von: Sascha Konietzke

Sascha Konietzke — Mon, 25 Feb 2008 14:17:55 +0000

Nur scheint das auf deinem Blog nicht richtig zu funktionieren. Das rel Attribut wird irgendwie falsch im Theme eingefügt?

Name

Irgendwie ist da zwei mal ein ‚ statt “ reingerutscht.

Zur Delegation: Hat super geklappt, nur wird die Authentifizierung irgendwie immer langsamer da noch ein Server mit dabei ist.

Von: Matthias Pfefferle

Matthias Pfefferle — Mon, 25 Feb 2008 14:09:16 +0000

…und außerdem wird bei deinem Kommentar jetzt deine Blog URL anstatt deiner OpenID URL angezeigt 🙂 auch ein netter Nebeneffekt.

Von: Sascha Konietzke

Sascha Konietzke — Mon, 25 Feb 2008 13:52:45 +0000

Danke für die schnelle Antwort. Von Delegation habe ich bisher noch nichts gewusst, habe es mir gerade angeschaut. Danke für den Hinweis, sehr interessant. Dadurch gehört meine OpenID wenigstens mir, was ein klarer Vorteil für die Zukunft ist (Ähnlich zu einem eigenen Blog auf eigener Domain und keinem gehosteten direkt bei WordPress, Blogger etc.).

Das Kommentar hier ist mein erster Delegationtest. Habe WP-Yadis auf meinem Blog installiert. Na hoffentlich funktioniert’s 🙂

Von: Matthias Pfefferle

Matthias Pfefferle — Mon, 25 Feb 2008 13:26:49 +0000

@Sascha: Das mit dem Vertrauen ist so ein generelles Problem, ich denke da kann man jetzt noch zu wenig sagen, weil bei keinem der genannten Provider ein "bekannter" Missbrauch vorliegt. Ich denke die beste Lösung bei Unsicherheit ist, entweder einen eigenen Provider aufzusetzen mit z.B. phpMyId oder mit Delegation zu arbeiten. Der Vorteil bei der Nutzung einer eigenen OpenID URL (mit openid.delegation) ist, dass man den OpenID Provider auch recht schnell ändern kann ohne seine OpenID ändern zu müssen.

Von: Sascha Konietzke

Sascha Konietzke — Mon, 25 Feb 2008 10:13:14 +0000

Probiere gerade viel mit OpenID herum und bin noch auf der Suche nach einem guten Provider. Der Tipp war hier hilfreich.

Hat jemand Erfahrung mit Verisign OpenID https://web.archive.org/web/20160912134134/https://pip.verisignlabs.com/ gemacht? Geschäftlich nutzen wir Zertifikate von Verisign für den Zugang von Agenturen zu unserem internen Netzwerk. Funktioniert super und VeriSign würde ich als sicher einstufen.

Aber wem traue ich meine Onlineidentität hier zu? Claimid, MyOpenID, Verisign oder ist es doch am besten das ganze auf einem eigenen Server laufen zu lassen?

Von: A.C.

A.C. — Mon, 25 Feb 2008 09:32:01 +0000

Zero Sign-In für ALLE Webapps fehlt mir jetzt noch. Mach dir dazu mal Gedanken und dann rein damit in Communipedia 😉

Von: Matthias Pfefferle

Matthias Pfefferle — Sat, 23 Feb 2008 22:48:27 +0000

Wenn ich eure Kommentare so lese kommt mir ganz leise der Verdacht dass ich beim Thema „OpenID“ noch ein wenig hinterher trotte 🙂

@Fabian: Also ich werde den klassischen Login auch nicht deaktivieren, dazu fehlt mir definitiv das Vertrauen in meine Backup-Strategie 🙂

@Stefan: Danke für den Tip!

@Carsten: Gibt es eigentlich irgend einen Provider den du noch nicht ausprobiert hast 😉

Von: Carsten Pötter

Carsten Pötter — Sat, 23 Feb 2008 21:22:05 +0000

Es gibt auch Provider, bei denen das ausschließlich über Zertifikate läuft, certifi.ca z.B.

Von: Stefan

Stefan — Sat, 23 Feb 2008 19:52:24 +0000

Im Firefox bitte unbedingt dazu unter Preferences -> Advanced ->Encryption „Ask me everytime“ auswählen! Ansonsten kann jede Domain das Zertifikat anfordern, was damit zum Super-Cookie wird. Mit der neuen Einstellung darf man dann zwar immer auf OK klicken, ist aber wesentlich sicherer.

Von: Fabian Neumann

Fabian Neumann — Sat, 23 Feb 2008 19:48:48 +0000

Benutze ich schon eine ganze Weile aber paradoxerweise vertraue ich meinem Gehirn (Passwort merken) mehr als meiner Festplatte (Zertifikat sicher aufbewahren). Das mit dem Zertifikatsbackup ist ne sinnvolle Notiz — wenn man sich merkt, wo das Backup liegt…

Bei mir ist also der Passwortzugang zu MyOpenID weiterhin aktiviert. Obowohl ihn abzustellen, was in den Authentication Settings auch geht, die sicherste Methode wäre.