Kann man OpenID Providern vertrauen?

Nachfolgend ein kleiner Auszug aus einem Fragenkatalog eines Freundes, der mich heute erreichte (plus meine Antworten dazu aus den diversen eMails) – vielleicht ist das ein oder andere ja von öffentlichem Interesse:

und wieder mal eine kleine frageliste

– wer überprüft die “qualität, vertrauenswürdigkeit” eines IdP ?

Niemand. Es wird auf der amerikanischen Mailingliste aber diskutiert die Verwendung des offiziellen Logos nur zu erlauben, wenn gewisse (wohl eher technische, aber auch datenschutzrechtliche) Bedingungen eingehalten werden.

– wird es hier eine “unabhängige” zertifizierungsstelle geben ?

Aufgrund der dezentralen Struktur wohl eher nicht. Gegenfrage: Wer garantiert / zertifiziert Firefox-Plugins um zu vermeiden, daß diese Dein Nutzerverhalten ausspionieren? Man versucht sich bei OpenID stark am Handling anderer OpenSource Bewegungen zu orientieren. Die Community beobachtet als Ganzes die Entwicklungen und greift selbstregulierend ein.

– wem kann man derzeit vertrauen?

Ein Blick in das OpenID Directory zeigt, daß es bislang die meisten IdPs in USA gibt, ein paar wenige im Rest der Welt (Frankreich, Polen, China etc.) . Die Vertrauenswürdigkeit hängt von 2 Faktoren ab: 1. Nationale Gesetzgebung bezüglich des Datenschutzes und 2. individuelle Reputation des Unternehmens.
Man könnte nun sagen, daß Verisign aufgrund seines weltweit guten Namens sicherlich eine veritable Lösung bietet, liest man jedoch die “Terms of service” so wird man bei allen amerikanischen Providern einen Passus finden, der sich damit beschäftigt wie man bei Regierungsanfragen mit den Userdaten umgeht. Konform zum Gesetz wird man sich sicherlich kaum weigern einer CIA oder einem FBI den Zugriff zu verweigern, wenn es z.B. um die gern zitierte “nationale Sicherheit” geht.

Das Optimum sieht so aus, daß man seinen eigenen IdP installiert – auf diesem Wegen hat nur man selbst Zugriff auf seine Daten – diese Installation kann im Extremfall sogar auf dem lokalen Rechner laufen.

– wer überprüft welche “deals” der IdP mit den openID-enabled sites macht ?

Was meinst Du mit Deals? Die Daten die übertragen werden, werden ja alle transparent behandelt und der User kann frei über die weitergabe entscheiden. Alles andere ist wieder eine Sache des Vertrauens. Eine unbefugte Weitergabe wäre aber ein klarer Verstoß gegen den Datenschutz. Ich denke in fast jedem Land dieser Welt.

Hintergrund der Frage:

– ich habe diverse facetten in meiner openid
– z.b daten die amazon braucht um mir optimale buchbestellung zu
garantieren
– für mich ist das dann ok und ich “schalte frei = amazon.data für
amazon.service”
– dann läfut das alles transparent, d.h. die IdP schiebt die daten
rüber zu amazon
und ich lebe im gottvertrauen, dass für ebay diese facette nicht
rübergeht ? …und
wenn doch dann müssste ich irgendwann den nachweis führen und klgaen mit
internationalem gesetz im rücken … alles richtig soweit?!?

Das Szenario ist soweit denkbar. Allerdings würde es nur dann so aussehen, wenn OpenID überhaupt die Datensätze bereitstellen würde, die Amazon oder eBay für die Abwicklung ihrer Dienste bräuchten. Das scheint jedoch in weiter Ferne, da man sich mit sicherheitsrelevanten Daten wie Bankverbindung, Kreditkarte oder Paypal-Konto bei den OpenID Specs derzeit bewußt nicht beschäftigen will. Was von OpenID 1.1 an Daten bereitgestellt wird, reicht gerade um einen Blog zu kommentieren, aber nicht um eine komplette Adresse darzustellen. Bei OpenID 2.0 werden komplette Adressen möglich sein, aber weiterhin keine Zahlungsinformationen.

Comments are closed.