Was haltet ihr vom Mozillas neues Projekt "BrowserID":
https://browserid.org
http://www.golem.de/1107/84969.html
siehe auch:
https://github.com/toolness/django-browserid-auth
https://github.com/mozilla/browserid/
Mit Python gibt's aber ein Problem: Es gibt wohl keinen einfachen Weg um bei einer HTTPS Verbindung die Server Zertifikate zu überprüfen, siehe: https://github.com/mozilla/browserid/issues/40
Ich überlege ob BrowserID eine Ergänzung zu meinem SHA-JS-Login sein kann oder er gar komplett ersetzten kann...
BrowserID als login interessant?
-
BlackJack
@jens: Das ”Werbevideo” vermittelt den Eindruck, als ob das was ganz Tolles und Neues ist. Man braucht endlich nur noch ein Passwort für alle Sites (die BrowserID unterstützen (werden)) und nicht mehr eine pro Site. Kein Wort über OpenID — mit dem das heute schon funktioniert — und welchen Mehrwert BrowserID demgegenüber bietet.
Meine Bedenken sind genau die selben wie bei OpenID — man gibt einem Anbieter die Schlüssel zu vielen Sites, beziehungsweise die Information wo man überall Benutzerkonten hat. Das setzt einiges an Vertrauen in den Anbieter, die Sicherheit seiner Infrastruktur, und sein Verhalten wenn Behörden oder andere Organisationen aus allen möglichen Ländern gerne Daten über einen haben möchten.
Meine Bedenken sind genau die selben wie bei OpenID — man gibt einem Anbieter die Schlüssel zu vielen Sites, beziehungsweise die Information wo man überall Benutzerkonten hat. Das setzt einiges an Vertrauen in den Anbieter, die Sicherheit seiner Infrastruktur, und sein Verhalten wenn Behörden oder andere Organisationen aus allen möglichen Ländern gerne Daten über einen haben möchten.
-
jens
- Python-Forum Veteran
- Beiträge: 8502
- Registriert: Dienstag 10. August 2004, 09:40
- Wohnort: duisburg
- Kontaktdaten:
Wenn ich das richtig verstanden habe, kann man bei BrowserID seinen Mail-Provider nutzten, wenn er es unterstützt... Also anders als bei OpenID.
Ob man allerdings die Daten seinem Mail-Provider kundtun will, ist die andere Frage.
Allerdings kann man doch bei beiden Diensten auch seinen eigene Server nutzten, oder nicht?
Ich frage mich allerdings, ob man nicht auch auf dem Server direkt beides machen könnte. Also den Login und die Verifikation.
Ob man allerdings die Daten seinem Mail-Provider kundtun will, ist die andere Frage.
Allerdings kann man doch bei beiden Diensten auch seinen eigene Server nutzten, oder nicht?
Ich frage mich allerdings, ob man nicht auch auf dem Server direkt beides machen könnte. Also den Login und die Verifikation.
-
Leonidas
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Also nicht anders sondern gleich wie bei OpenID, denn sofern dein Mail-Provider Google ist, dann bieten sie auch OpenID anjens hat geschrieben:Wenn ich das richtig verstanden habe, kann man bei BrowserID seinen Mail-Provider nutzten, wenn er es unterstützt... Also anders als bei OpenID.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
Wobei man hier argumentieren kann, dass in der Praxis häufig auch nur 2-3 verschiedene Kennwörter (oder zum Teil nur ein einziges) für diverse Zugänge genutzt werden. Kennste eins und hast fleißig Infos über den User gesammelt, dann kannste theoretisch auch Zugang zu den anderen Konten des Benutzers erlangen. Wobei das bei OpenID sicherlich nochmal leichter wäre, weil man keinen Benutzernamen benötigt.BlackJack hat geschrieben:Meine Bedenken sind genau die selben wie bei OpenID — man gibt einem Anbieter die Schlüssel zu vielen Sites, beziehungsweise die Information wo man überall Benutzerkonten hat. Das setzt einiges an Vertrauen in den Anbieter, die Sicherheit seiner Infrastruktur, und sein Verhalten wenn Behörden oder andere Organisationen aus allen möglichen Ländern gerne Daten über einen haben möchten.
-
lunar
@snafu: Der Punkt ist aber, dass man verschiedene Passwörter für verschiedene Dienste nutzen kann, während es bei OpenID immer einen einzigen Angriffspunkt, nämlich eben das OpenID-Konto, gibt, mit dem man im schlimmsten Fall Zugriff auf alle daran hängenden Dienste erhält.
Klar, das ist der Punkt von OpenID, und das zu kritisieren ist eher sinnlos, aber man kann sich eben aufgrund dieser Tatsache bewusst gegen OpenID entscheiden.
Klar, das ist der Punkt von OpenID, und das zu kritisieren ist eher sinnlos, aber man kann sich eben aufgrund dieser Tatsache bewusst gegen OpenID entscheiden.
Deswegen benutze ich mittlerweile Keepass zur Passwortverwaltung. Und mittels Dropbox ist meine DB auch überall aktuell verfügbar. Ich hatte nämlich auch immer nur ein und das selbe Passwort für die unterschiedlichsten Seitensnafu hat geschrieben:Wobei man hier argumentieren kann, dass in der Praxis häufig auch nur 2-3 verschiedene Kennwörter (oder zum Teil nur ein einziges) für diverse Zugänge genutzt werden.
-
Leonidas
- Python-Forum Veteran
- Beiträge: 16025
- Registriert: Freitag 20. Juni 2003, 16:30
- Kontaktdaten:
Man kann auch sein eigener OpenID-Provider sein, von daher ist das nicht unbedingt ein Ausschlusskriterium. Außer man traut sich nicht zu, das sicher zu halten und will Angreifern keine weitere Angriffsfläche bieten.lunar hat geschrieben:Klar, das ist der Punkt von OpenID, und das zu kritisieren ist eher sinnlos, aber man kann sich eben aufgrund dieser Tatsache bewusst gegen OpenID entscheiden.
Aber um ehrlich zu sein finde ich das schwächste Glied ist eh DNS.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
-
lunar
@frabron: dito.
@Leonidas: Der durchschnittliche Nutzer, und dazu zähle ich mich auch, kann das nicht, zumindest nicht mal ebenso, während jeder Narr mit einer Passwortverwaltung wie keepass zufällige Passwörter für verschiedene Zeiten erzeugen kann. Klar, so hat man auch einen einzigen Angriffspunkt, nur hat man den eben unter Kontrolle, indem man seine Passwortdatenbank nicht überall herum liegen lässt, nicht auf dubiosen Systemen öffnet, usw.
@Leonidas: Der durchschnittliche Nutzer, und dazu zähle ich mich auch, kann das nicht, zumindest nicht mal ebenso, während jeder Narr mit einer Passwortverwaltung wie keepass zufällige Passwörter für verschiedene Zeiten erzeugen kann. Klar, so hat man auch einen einzigen Angriffspunkt, nur hat man den eben unter Kontrolle, indem man seine Passwortdatenbank nicht überall herum liegen lässt, nicht auf dubiosen Systemen öffnet, usw.