Das ganz normale Chaos, täglich frisch auf den Tisch. Direkt aus der hintersten Provinz in die Metropolen von Groß-Blogistan.


microid

Sun, 15 May 2011 11:38:08 +0200

OpenID ist eine Methode zum Authentifizieren. Der Haken daran: Es wird ein Provider benötigt. Schon wieder eine zentrale Instanz, die geheimste userdaten verwaltet. Natürlich bombensicher. So wie bei Sony.

Also, mir wäre was Dezentrales lieber. Und da bin ich schon vor längerer zeit über microID gestolpert. Eine interessante Idee, die zumindest einen Teil des Authentifizierungsproblems lösen würde. Leider ist dieses Projekt tot. Schade eigentlich.

Die Idee hinter microID ist, eine Prüfsumme anzulegen über gewisse Dinge, die man üblicherweise bei z.B. Kommentaren in Blogs angibt. Da wären die besten Kandidaten die e-mail Adresse und die Webadresse (URL). Dabei gehen die folgenden Überlegungen davon aus, dass der Kommentator Besitzer eben dieser Webadresse ist, und dort eine von ihm erstellte Webseite zu finden ist. Das heisst natürlich, dass dieses verfahren nicht für Alle geeignet ist. Trotzdem, für die Meisten wäre das interessant.

Die Prüfsumme wird nun z.B. über folgende Befehle erzeugt:

#!/bin/bash u1="mailto:mustermann@example.org" u2="http://www.example.org" pw="geheim" s1=`echo -n $u1 | sha1sum | cut -d' ' -f1` s2=`echo -n $u2 | sha1sum | cut -d' ' -f1` s3=`echo -n $pw | sha1sum | cut -d' ' -f1` s=`echo -n "$s1$s2$s3$" | sha1sum | cut -d' ' -f1` echo meta name="myID:MaxMustermann" content="mailto+http+password:sha1:$s

Das kann dann in eben die Webresource eingetragen werden, die beim Kommentieren als Webadresse angegeben wurde. Der Blogserver kann nun die Webresource laden. Dort findet er (hoffentlich) eine Webseite, die eine solche Metaangabe enthält. Er sucht sich nun Diejenige heraus, die den vom Kommentierer angegebenen Usernamen im Namen enthält. Dort findet er im content die Rechenvorschrift (z.B. "mailto+http+password"), kann nach eben dieser Vorschrift die vom User gemachten Angaben zu einer Prüfsumme verrechnen, und kann diese Prüfsumme dann mit der gefundenen vergleichen.

Wenn man hier "password" weglässt, ergibt sich der alte microid Algoritmus. damit kann man aber nicht viel prüfen. Erst mit dem Hinzufügen des Passworts kann geprüft werden, ob der Kommentierer tatsächlich der ist, der er zu sein vorgibt. Das Schöne daran: Das Passwort muss der Blogserver nicht speichern. Ob dieses Passwort irgenwo anders gespeichert wird als im Kopf des Kommentierers liegt ganz allein in der Verantwortung des Kommentierers. Damit können auf dem Blogserver keine Datenlecks entstehen.

Das Hinzufügen eines Usernamens erlaubt zusätzlich die Verwendung beliebig vieler Username/Passwort Kombinationen.

Zusätzlich ist es denkbar, aus der Webresource weitere Informationen über den Kommentierer zu extrahieren, wie z.B. ein Logo, eine vCard Adresse oder ein Photo oder was auch immer. Es ist allerdings empfehlenswert, ausser Photo und/oder Logo keine Daten zu verwenden. Diese Informationen könnten entweder direkt auf der angegebenen Webseite zu finden sein, oder aber über dort vorhandene Links mit z.B. rel="author", rel="dc:creator" oder Dergleichen.


0 Kommentare