In den letzten Wochen bin ich über ein paar tolle Artikel über das Bloggen und über RSS gestolpert… Vielleicht kommt bloggen ja doch wieder in Mode und dann kann ich endlich auch mal sagen: Ich hab schon gebloggt bevor es hip war! Ich habe schon gebloggt, als es vor Jahren mal hip war, dann wieder nicht und jetzt wieder!

René Walter hat es auf seinem Blog wunderschön auf den Punkt gebracht:

Das Problem waren schon immer und sind immer noch überfüllte Plattformen, auf denen sich die Menschen zu dicht gedrängelt um Aufmerksamkeit streiten. Lieber wieder Piratenschiffe bauen, eine Trillionbillion davon, alle anders, alle gleich.

Der andere Blogpost, den ich empfehlen möchte, ist von Brent Simmons (der übrigens auch (mal wieder) an einem großartigen Feed-Reader für den Mac arbeitet).

[…] if you think of the years 1995-2005, you remember when the web was our social network: blogs, comments on blogs, feed readers, and services such as Flickr, Technorati, and BlogBridge to glue things together. Those were great years […]

Herrlich nostalgisch 🙂

Irgendwann letzte oder vorletzte Woche ist die Überschrift "OpenID Connect Federation 1.0 – draft XX" in meinem Feed-Reeder aufgetaucht und auf Buzz-Words wie Federation o. Ä. springe ich natürlich immer noch sofort auf!

Spezifikationen lesen, macht ja generell nicht viel Spaß, aber bei der OpenID Connect Federation 1.0 kam ich nicht mal bis zur Hälfte. Bevor man wirklich versteht was das Protokoll eigentlich macht (für mich hört es sich ähnlich an wie OpenID Connect Dynamic Client Registration), geht es um Metadaten, JSON Web Signature (JWS), JSON Web Tokens (JWT) und JSON Web Keys (JWK).

Eigentlich dachte ich, dass OpenID Connect durch OAuth 2 super simpel sein soll… Immerhin basiert ja OAuth 2 auf SSL/TLS und nicht wie OAuth 1 auf komplizierte Signaturen.

The majority of failed OAuth 1.0 implementation attempts are caused by the complexity of the cryptographic requirements of the specification. The fact that the original specification was poorly written didn’t help, but even with the newly published RFC 5849, OAuth 1.0 is still not trivial to use on the client side. The convenient and ease offered by simply using passwords is sorely missing in OAuth.

Eran Hammer

Die OpenID Foundation scheint ihre Meinung geändert zu haben… SSL scheint wohl doch nicht auszureichen.

Another problem that has been raised is the dependency on TLS as the sole protection against attacks on the transferred information. These last couple of years a number of problems with OpenSSL, which is probably the most widely used TLS library, have been discovered that put reasonable doubt into this dependency.

OpenID Connect Dynamic Client Registration

Schade, schade…

Wer eine wirkliche Alternative zu OpenID Connect sucht, der soll sich mal IndieAuth anschauen. IndieAuth kommt der ursprünglichen Idee von OpenID Connect sehr nahe und ist relativ einfach zu verstehen und auch zu implementieren!