Oh, ich habe Dich schon verstanden. Aber Dein flickr-Beispiel zeigt auch genau das Problem auf: Zwar kann der flickr-Server tatsächlich verifizieren, dass die angegebene e-mail Adresse _mir_ gehört. Aber er kann nicht verifizieren, dass auch tatsächlich _ich_ einen Beitrag schreibe.

Die Anzeige meiner URL in meinem Profil oder bei meinen Beiträgen, ja, die kann verifiziert werden. Es kann also verifiziert werden, ob ich (oder jemand Anders) die zu meinem Namen und meiner e-mail Adresse korrekte URL angegeben hat. Aber es kann nicht verifiziert werden, ob ich auch tatsächlich den Beitrag, bei dem mein Username, meine URL und meine e-mail Adresse steht, selber verfasst habe. Dies kann Irgendjemand getan haben.

Es ist eigentlich sogar noch schlimmer: Angenommen, irgendwo steht ein Beitrag, ein Kommentar zu einem Blogartikel. Username und HP-URL stimmen. Und auf der Seite (auf dem Blog) wird per microid geprüft, ob der User „Siegfried“ die angegebene URL auch tatsächlich besitzt. Dann wird zur Zeit angenommen, dass verifiziert sei, dass der User „Siegfried“ den Artikel auch tatsächlich verfasst hat. Und genau das ist falsch.

Um z.B. bei Robert Basic in Deinem Namen einen Kommentar abzugeben, sollte es reichen, einen echten Kommentar von Dir zu finden. Dann habe ich die URL. Dann suche ich Deine e-mail Adresse. Dein Username steht ebenfalls in dem Kommentar. Angenommen nun, Robert Basic lässt solche Kommentare per microid prüfen. Die Prüfung stellt nun fest, dass der User „Mathias Pfefferle“ tatsächlich die URL „http://www.claimid.org/pfefferle“ besitzt und verifiziert den Kommentar als von Dir. Und schon bist Du angeschissen, da die Meisten davon ausgehen, dass es durch microid-Prüfung erwiesen ist, dass _Du_ den Artikel verfasst hast.

Und jetzt musst Du Dir dann nur noch vorstellen, dass der Kommentar rechtlich relevante Statements enthält…