2. OpenID für Anfänger heißt:
keine Vorkenntnisse notwendig!

3. Aber: Ihr seid doch ein
technisch versiertes Publikum?

4. Lukas Leander Rosenstock, B.Sc.
Orwell'scher-Jahrgang ;-)
Student, Informatik, TU Darmstadt

5. Offizieller Vertreter der
OpenID Foundation
in Deutschland

6. Aber ich ...
... werde nicht bezahlt!
... will euch nichts verkaufen!
... suche konstruktive,
kritische Auseinandersetzung
mit der Thematik!

7. Was ist OpenID?

13. Vorführeffekt ...

14. Scheinbar noch Probleme.
Warum sollten wir uns
trotzdem damit beschäftigen?

15. Weil es die auch tun?!

17. Unabhängig vom Browser/PC:
Überall benutzbar.

18. „Facebook, MySpace, AOL, Yahoo, Twitter, Googlemail. Jeden Tag
loggen wir uns auf irgendwelchen Internetseiten ein, müssen jedes
Mal unseren Benutzernamen und unser Kennwort eintippen.
OpenID soll das jetzt ändern: Mit einem Passwort für alle Seiten.“
Netzstrom, Bayerischer Rundfunk, 01.08.2008

19. OpenID ist kein Passwortmanager!

20. URL-basierte Identität:
Ich bin lukas.myopenid.com!

21. Kann ich das beweisen?

22. points to Identity Provider
Identity-URL
(IdP)
owns confirms identity
wants to identify Relying Party
End User/Client himself (RP)

23. points to Identity Provider
Identity-URL
(IdP)
X-XRDS-Location: http://lukas.myopenid.com/lukas
...
owns confirms identity
<?xml version="1.0" encoding="UTF-8"?>
<xrds:XRDS xmlns:xrds="xri://$xrds" xmlns:openid=
"http://openid.net/xmlns/1.0" xmlns="xri://$xrd*($v*2.0)">
<XRD>
<Service priority="0">
wants to identify Relying Party
<Type>http://specs.openid.net/auth/2.0/signon</Type>
End User/Client himself
<Type>http://openid.net/sreg/1.0</Type> (RP)
<Type>http://openid.net/extensions/sreg/1.1</Type>
<Type>http://openid.net/srv/ax/1.0</Type>
<URI>http://www.myopenid.com/server</URI>
<LocalID>http://lukas.myopenid.com/</LocalID>
</Service>
</Service>
</XRD>
</xrds:XRDS>

24. Identity Provider
Identity-URL
(IdP)
(1) asks (2) gets a
for IdP handle
(discovery) issued
(association)
[if not yet done]]
Relying Party
End User/Client
(RP)
(3) sends
redirection
to IdP

25. Identity Provider
(IdP)
(1) session, cookie,
password, client
certificate, trust
setting (either
automatically of
interactive)
(2) sends
redirection
to the RP
with signature
(SHA1-HMAC)
(4) signature validation
Relying Party
End User/Client
(RP)
(3) redirection

26. OpenID ist dezentral.

27. Jeder kann Provider
oder Relying Party werden.

28. “Nobody should own this. Nobody’s planning on making any
money from this. The goal is to release every part of this under
the most liberal licenses possible, so there’s no money or
licensing or registering required to play. It benefits the
community as a whole if something like this exists, and we’re
all a part of the community.”
Brad Fitzpatrick (Founder of LiveJournal weblog
community and father of OpenID)

30. „OpenID is not a trust system!“

31. Jeder Provider entscheidet selbst,
ob und wie er die Identität seiner
Nutzer überprüft.

32. Jede Relying Party entscheidet selbst,
welchen Providern sie vertraut.
Eigentlich sollte sie das
dem Nutzer überlassen ...

33. Jeder Nutzer entscheidet selbst,
bei welchem Provider er eine OpenID
registriert, wie viele er verwendet
und wofür er sie verwendet.

34. Ein OpenID-Provider ist
wie eine Bank
für unsere Identität
im Internet.

35. Ist OpenID sicher?

36. Privatsphäre:
Mein OpenID-Provider weiß genau, auf
welchen Seiten ich mich wann einlogge.

37. Gegenargument:
Mein ISP, E-Mail-Provider etc.
können das auch ...
Kein OpenID-spezifisches Problem.
Ich kann selbst Provider werden.

38. Single Point Of Failure:
Fällt mein OpenID-Provider aus,
kann ich mich nirgends einloggen.

39. Gegenargument:
Fallback-Lösung mit zweitem Provider :-(
(2 OpenIDs immer noch besser als
20 andere Accounts.)
OpenID 3.0 ...

40. Single Point Of Failure II:
Hat jemand Zugang zu meiner
OpenID, hat er überall
bei mir Zugang.

41. Gegenargument:
OpenID-Provider sind Banken:
Sicherere Methoden als Passwörter!
(Client-Zertifikate, USB-Sticks, Biometrie)

42. Phishing:
Böswillige Relying Party schickt
mich zu „Fake“-Provider und
erfährt meinen Provider-Zugang.

43. Gegenargument:
Nochmal:
Sicherere Methoden als Passwörter!
Spezieller Phishing-Schutz im Browser

44. Angriffe auf DNS/OpenID URL:
OpenID-URL wird manipuliert,
so dass sie auf falschen Provider
zeigt.

45. Gegenargument:
Server schützen!
SSL
DNSSEC ?!

46. Gibt es Alternativen?

47. Client-basierte Lösungen:
SSL-Client-Zertifikate
Infocard (Microsoft Cardspace)

48. „Do something with OpenID
you can only do with OpenID!“

49. Jede OpenID ist eine Website:
Profil des Nutzers, Homepage etc.

50. Dezentrale Zugangskontrolle:
Datenfreigabe für OpenIDs
Kein eigenes Nutzermanagement
Kein manueller Schlüsselaustausch

51. Dezentrale soziale Netzwerke:
Geschützte Bereiche auf meiner Homepage
Austausch von Profildaten über OpenID
Erweiterung mit anderen Protokollen
Microformats
„Netz von Webseiten“
FOAF/Semantic Web

52. Darüber reden wir morgen!!!

53. Vielen Dank für
eure Aufmerksamkeit!