DISCUSSIE: OpenID

[Radiance]

OpenID is één van de, en naar mijn gevoel de beste, manieren om een registratieformulier op elke website de wereld uit te helpen.

Om een stukje van http://www.openid.net te quoten :

OpenID starts with the concept that anyone can identify themselves on the Internet the same way websites do-with a URI (also called a URL or web address). Since URIs are at the very core of Web architecture, they provide a solid foundation for user-centric identity.

The first piece of the OpenID framework is authentication -- how you prove ownership of a URI. Today, websites require usernames and passwords to login, which means that many people use the same password everywhere. With OpenID Authentication (see specs), your username is your URI, and your password (or other credentials) stays safely stored on your OpenID Provider (which you can run yourself, or use a third-party identity provider).

To login to an OpenID-enabled website (even one you've never been to before), just type your OpenID URI. The website will then redirect you to your OpenID Provider to login using whatever credentials it requires. Once authenticated, your OpenID provider will send you back to the website with the necessary credentials to log you in. By using Strong Authentication where needed, the OpenID Framework can be used for all types of transactions, both extending the use of pure single-sign-on as well as the sensitivity of data shared.

Om te zien hoe een gebruiker van uw website zijn OpenID gebruikt kan je best deze video eens bekijken :
http://screencastsonline.com/sco/Sho...07-openid.html
Iets meer technische achtergrond en wat (cynische, doch oprechte) vragen vind je in deze presentatie :
http://www.slideshare.net/simon/the-...ions-of-openid

Eén van de problemen die ik alvast zie is de betrouwbaarheid van de authentication providers, aangezien dat iedereen kan zijn. Wat garandeert mij dat een provider niet gewoon iedereen gaat authenticeren die passeert, zonder registratie of controle van e-mail.
Enerzijds kan je als developer waarschijnlijk wel zorgen dat enkel door jouw gekende authentication providers vertrouwd worden, but that kinda defeats the point.
Anderzijds is http://botbouncer.com/ een service die een captcha voorziet, maar imho een zeer vreemde, een associatieprincipe, niet bruikbaar voor mensen die geen Engels spreken.

Al bij al vind ik het een heel interessant principe. Nu wat denken jullie van OpenID ? Overweeg je het te implementeren in huidige of toekomstige projecten ? Is het systeem betrouwbaar en gebruiksvriendelijk, zowel voor bezoekers als ontwikkelaars / beheerders ?

[Dx-Solutions]

Ik zou het op heden, in deze vorm, zeker nog niet implementeren.
Het principe erachter is wel heel handig, was eigenlijk ook al met zoiets in m'n hoofd aan het spelen ...
Moesten ze daar nu nog eens het vernieuwde digitaal paspoort aan koppelen, dan zijn we qua security al een stukje verder.

Wat voor mij ideaal zou zijn:

1) Je start uw pc op, met digipass vorm je uw paswoord om in te loggen.
2) Je maakt connectie met internet (certificaat om echtheid te controleren) en je kan op het net surfen.
3) Wens je iets te kopen, informatie ... dan kunnen ze uw gegevens opvragen (de keuze of je deze wilt geven heb je zelf) ...

Dit zou idd een grote verbetering zijn, ze zijn goed op weg laat ons zeggen

Nog ff geduld en gedaan met die vervelende inlog, registratie formulieren en vooral die vele paswoorden ...

[Xavez]

De eID daaraan koppelen? Je bent gek man. Heel die eID luchtbel op zich is al om de kriebels van te krijgen. Privacy nul. Neen, dan liever een aparte virtuele identiteit (openID) en real-world identiteit (good old plastic passport). De twee linken, daar gaan m'n haren van omhoog staan.

Lang niet elke internetgebruiker is slim/kritisch genoeg om z'n eID op het net met mate te gebruiken. Begin al maar eens bij het aantal mensen dat spyware op zijn of haar computer heeft. Beeld je dan in dat er spyware geschreven wordt om bepaalde eID's "uit te lezen". Ik word gek als ik er nog maar aan denk (en het is technisch perfect mogelijk). Dan kan je wel argumenteren dat er softwarefixes voor zullen verschijnen. Maar als je kijkt naar het aantal gebruikers dat vandaag no XP zonder Service Pack 2 draait. Gruesome.

openID zelf dan: superleuk initiatief. Alleen moet er nog een soort van certificaat voor trusted providers komen. En tja. Dat zal je met OpenSource nooit voor elkaar krijgen, simpelweg omdat er een centrale authoriteit moet zijn die de certificaten uitdeelt (ah ja: hoe kan je anders zeker zijn?). Ideaal zou zijn als de overheid deze taak op zich zou nemen en een beveiligde openID server zou instellen voor alle Belgische gebruikers. Maar ja: dat is wishful thinking. De overheid en ICT, dat gaat echt niet samen (met uitzondering van Tax-On-Web dan).

Conclusie: fun to play with, maar voorlopig niets meer dan dat. Ikzelf heb enkele openID's. Gewoon, om eens mee te spelen best leuk dus .

[joyraider]

De eID daaraan koppelen? Je bent gek man. Heel die eID luchtbel op zich is al om de kriebels van te krijgen. Privacy nul. Neen, dan liever een aparte virtuele identiteit (openID) en real-world identiteit (good old plastic passport). De twee linken, daar gaan m'n haren van omhoog staan.

Lang niet elke internetgebruiker is slim/kritisch genoeg om z'n eID op het net met mate te gebruiken. Begin al maar eens bij het aantal mensen dat spyware op zijn of haar computer heeft. Beeld je dan in dat er spyware geschreven wordt om bepaalde eID's "uit te lezen". Ik word gek als ik er nog maar aan denk (en het is technisch perfect mogelijk). Dan kan je wel argumenteren dat er softwarefixes voor zullen verschijnen. Maar als je kijkt naar het aantal gebruikers dat vandaag no XP zonder Service Pack 2 draait. Gruesome.

openID zelf dan: superleuk initiatief. Alleen moet er nog een soort van certificaat voor trusted providers komen. En tja. Dat zal je met OpenSource nooit voor elkaar krijgen, simpelweg omdat er een centrale authoriteit moet zijn die de certificaten uitdeelt (ah ja: hoe kan je anders zeker zijn?). Ideaal zou zijn als de overheid deze taak op zich zou nemen en een beveiligde openID server zou instellen voor alle Belgische gebruikers. Maar ja: dat is wishful thinking. De overheid en ICT, dat gaat echt niet samen (met uitzondering van Tax-On-Web dan).

Conclusie: fun to play with, maar voorlopig niets meer dan dat. Ikzelf heb enkele openID's. Gewoon, om eens mee te spelen best leuk dus .

Waarom de overheid? Laat dit lekker aan de providers over! Ik word klant van Telenet, en krijg zo automatisch een eID, gekoppeld aan m'n mac-adres ofzo Kan mss zelfs hardwarematig, met USB-key of fingerprint-dinges...

[Xavez]

'tis misschien hypocriet (ik heb ook een google account) maar ik laat mn persoonlijke gegevens liever niet aan bedrijven over. Toch niet als het even anders kan . En dat kan in theorie perfect. Hoewel een provider misschien nog wel een goede middenweg is .

[Dx-Solutions]

goh, als daar een goeie studie rond gemaakt wordt, dan kan dit wel goed lukken denk ik ...

Natuurlijk niet op 1 of 2 jaar, zoals U zelf zegt "tax-on-web", daar zijn ook al ff aan bezig ...
Ik herinner me dat ze er al over bezig waren in het jaar 2000.

Als je dit aan de providers overlaat, dan versterkt hun monopolie nog meer, wie zal er overstappen als de prijs plots 5€ omhaag gaat, want ja, dan is je volledige history mogelijks foetsie, of zullen enkel de grote dit kunnen overnemen ...

Ik ben voor het principe van privacy, maar ...
Als je op straat zonder licht rijdt, dan hebben ze ook het recht uw paspoort te vragen.
Ok, nu kan dit ook dmv IP adres, maar ik heb er ervaring mee, had ik de persoon in kwestie niet zelf via het net getraceerd, dan kon ik lang wachten ...

Ik vind, maar das dan mss niet meer on topic, dat dit op het net ook moet kunnen.

Genoeg voorbeelden:

Persoon x biedt op m'n 2de hands laptop meer dan vraagprijs. (geld plots verdwenen, net als laptop) persoon x ook ...

Kortom, ik zou meer vertrouwen hebben in overheid, dan deze data over te laten aan providers of andere bedrijven.

Nu, mss ben ik iets ouderwets aan het worden :d

[dJeez]

Ik zit al een tijdje met het idee te spelen om het te implementeren.

BTW OpenMinds is/was de eerste Belgische OpenID provider bij mijn weten, wel nog steeds in beta...

[killgore]

Ik sta achter zoiets, hoewel veel wallets tegenwoordig ook het werk een pak simpeler kunnen maken.

En de eID had als doel zoiets ook, snelle & betrouwbare identificatie. En ik snap nie waar gij om zaagt xavez, de eid bevat evenveel info als uw vroegere pas hoor :/. Ze kunnen aan sommige gegevens gewoon sneller aan mits het marteriaal omdat ze niet meer met u uw hele dossier moeten gaan doorpluizen.

[Xavez]

killgore: leg mij eens uit hoe gij exact weet wat er op uw eID staat en wat niet? Ik wil niet paranoia doen, maar hoe eenvoudig is het om info erop te zetten die niet door "burgerkaartlezers" kan uitgelezen worden? Ik ben trouwens niet de enige die erover zaagt: het onderwerp is al door meerdere privacy-concerned non-gov organisaties aangekaart .

[killgore]

killgore: leg mij eens uit hoe gij exact weet wat er op uw eID staat en wat niet? Ik wil niet paranoia doen, maar hoe eenvoudig is het om info erop te zetten die niet door "burgerkaartlezers" kan uitgelezen worden? Ik ben trouwens niet de enige die erover zaagt: het onderwerp is al door meerdere privacy-concerned non-gov organisaties aangekaart .

Omdat een smartcard nog geen mb aan gegevens aankan. Uiteindelijk is dat niet zo gigantisch veel.
De meeste (privé) data zit ook niet in de smartcard zelf iirc maar in een gecentraliseerde database, maar could be wrong. Anders zou het inderdaad nogal vrij goed mogelijk zijn dat "burgerkaartlezers" essentiële data kunnen ophalen.
Ik vind het een vrij belangrijk punt dat er meer gecentraliseerd wordt. Natuurlijk vind ik de kritiek over privacy ook zeer belangrijk. Er moet zeker voor gezorgd worden dat de foute instanties niet zomaar aan uw gegevens kunnen. Een dokter moet bv. imho wel via die kaart aan uw medische fiche kunnen, maar uw supermarkt niet (om maar iets te zeggen). Ik sta er ook skeptisch tegenover natuurlijk, maar heb er vrij sterk vertrouwen in eigenlijk dat dit vrij goed geregeld is, vnl in een land als België.

edit: uiteindelijk konden mensen vroeger ook vrij eenvoudig aan data geraken. Ik weet nog goed genoeg hoe mijn pa tot over enkele jaren vrij makkelijk informatie kon opzoeken op basis van enkel de naam, gewoon omdat hij bij een deurwaarder werkt als 2e job & dus soms toegang had tot die pc's (is nu wel verstrengd iirc). Dus ik denk zeker niet dat het erger kan/zal worden.

[passero]

toen ik nog webmastering deed voor de overheid hebben we hier ook over gesproken. We waren daar nogal open source minded en een van de zaken waar we mee speelden was het gebruik van eID voor het registreren op overheidswebsite's. We wouden kijken of er een budget voorzien was om dan de opensource community te sponsoren om die zaken te ontwikkelen maar jammer genoeg ging het niet door...

[KoenDK]

geef mij toch ook maar de eID hoor

[Xavez]

Omdat een smartcard nog geen mb aan gegevens aankan. Uiteindelijk is dat niet zo gigantisch veel.

1mb aan textuele data? Dat is toch wel behoorlijk veel als je't mij vraagt . Als ik kijk dat de uncompressed cookies van m'n browser +/- 100kb zijn... . Het wordt perfect mogelijk om al je stappen na te gaan waar je de eID gebruikt hebt. Het wordt alleszins gemakkelijker. De overheid moet niet weten waar ik overal ga en sta. Niet dat ik iets te verbergen heb, maar het principe is gewoon helemaal fout. Ik overdrijf misschien, maar ogen sluiten en zeggen dat er niets aan de hand is is gevaarlijker dan enkele kritische noten .

De meeste (privé) data zit ook niet in de smartcard zelf iirc maar in een gecentraliseerde database, maar could be wrong. Anders zou het inderdaad nogal vrij goed mogelijk zijn dat "burgerkaartlezers" essentiële data kunnen ophalen.

Dat bedoel ik net: dat weet je niet en kan je misschien niet weten.

Ik vind het een vrij belangrijk punt dat er meer gecentraliseerd wordt. Natuurlijk vind ik de kritiek over privacy ook zeer belangrijk. Er moet zeker voor gezorgd worden dat de foute instanties niet zomaar aan uw gegevens kunnen. Een dokter moet bv. imho wel via die kaart aan uw medische fiche kunnen, maar uw supermarkt niet (om maar iets te zeggen).

Hoe meer er gecentraliseerd wordt, hoe gevaarlijker het geheel wordt en hoe beter beveiligd het geheel moet zijn. Ik hou van diversiteit en tevens van eenheid binnen de diversiteit. Zie het als het principe van bittorrent: vele kleine stukjes maken een mooi geheel en het ontbreken van één klein stukje destabiliseert nooit het volledige geheel. Bij volledige centralisatie is dat bijna altijd wél het geval. Beeld je een malafide figuur in die "de centrale database" zou binnendringen. Veel minder erg als de data gedecentraliseerd zijn: dan zal hij bijvoorbeeld hoogstens enkele Visanummers te pakken kunnen krijgen. Als nu echter je visa-, bank-, persoonlijke en medische gegevens allemaal op één plaats staan (waar ze overigens met de eID naar toe willen: bankkaart erop, siskaart erop, identiteit erop) wordt het allemaal veel gevaarlijker.

edit: uiteindelijk konden mensen vroeger ook vrij eenvoudig aan data geraken. Ik weet nog goed genoeg hoe mijn pa tot over enkele jaren vrij makkelijk informatie kon opzoeken op basis van enkel de naam, gewoon omdat hij bij een deurwaarder werkt als 2e job & dus soms toegang had tot die pc's (is nu wel verstrengd iirc). Dus ik denk zeker niet dat het erger kan/zal worden.

Akkoord. alleen is dit een heel nieuw systeem en staat het dus zeker in z'n beginfase sowieso nog vol securityproblemen. Dat is toch bijna een wetmatigheid in de wereld van software .

Wel niet van toepassing op onze paspoorten, maar om het principe even kracht bij te zetten: http://www.engadget.com/2007/08/01/h...elop-exploits/

[killgore]

1mb aan textuele data? Dat is toch wel behoorlijk veel als je't mij vraagt . Als ik kijk dat de uncompressed cookies van m'n browser +/- 100kb zijn... . Het wordt perfect mogelijk om al je stappen na te gaan waar je de eID gebruikt hebt. Het wordt alleszins gemakkelijker. De overheid moet niet weten waar ik overal ga en sta. Niet dat ik iets te verbergen heb, maar het principe is gewoon helemaal fout. Ik overdrijf misschien, maar ogen sluiten en zeggen dat er niets aan de hand is is gevaarlijker dan enkele kritische noten .

Dat bedoel ik net: dat weet je niet en kan je misschien niet weten.

Minder, ik dacht dat de huidige cards een 512 KiB waren doorgaans. Dat is in unicode (wat zeer wrsch wel gebruikt wordt) gelijk aan "slechts" een goede 262000 tekens. Dit met inbreng van enige datastructuur, padding, andere velden zoals id's is zeer weinig. Zeker niet genoeg om over het algemeen pakweg je gehele rijksregister bestand, medische fiche & strafregister op te slaan. Ik zou dus met een vrij gigantische zekerheid zeggen dat de meeste data niet direct op de chip zal zitten. Volgens mij zit enkel de data die men direct nodig heeft (naam, adres, geboortedatum, burgerlijke stand, eventueel later iets als bloedsoort, ...) er direct in. Dit zijn zaken die men direct nodig heeft bij controles en ongevallen e.d. en men dus met een kaartlezer snel moet kunnen ophalen.

Over het punt "liever een kritische noot" geef ik je trouwens volledig gelijk.

Hoe meer er gecentraliseerd wordt, hoe gevaarlijker het geheel wordt en hoe beter beveiligd het geheel moet zijn. Ik hou van diversiteit en tevens van eenheid binnen de diversiteit. Zie het als het principe van bittorrent: vele kleine stukjes maken een mooi geheel en het ontbreken van één klein stukje destabiliseert nooit het volledige geheel. Bij volledige centralisatie is dat bijna altijd wél het geval. Beeld je een malafide figuur in die "de centrale database" zou binnendringen. Veel minder erg als de data gedecentraliseerd zijn: dan zal hij bijvoorbeeld hoogstens enkele Visanummers te pakken kunnen krijgen. Als nu echter je visa-, bank-, persoonlijke en medische gegevens allemaal op één plaats staan (waar ze overigens met de eID naar toe willen: bankkaart erop, siskaart erop, identiteit erop) wordt het allemaal veel gevaarlijker.

Het moet niet noodzakelijk in 1 centrale database zitten he. Je eid zou je moeten toegang geven tot je bankgegevens, maar die bankgegevens zullen nog steeds bij de bank worden bijgehouden & niet bij je normale datafiche.

En akkoord, beveiliging is iets zeer belangrijk in gevallen als deze. Echter zou ik me daar minder zorgen om maken. Ik heb daarstraks al aangehaald wat mijn pa al kon afhalen, zelfs al werkt die niet voor regering of zo. Voor de rest moet je eens lezen over id-thefth, een zeer populaire misdaad de laatste jaren & eigenlijk een zeer zwak punt van het oude systeem. Mensen vinden/stelen een identiteitskaart en gaan daarmee naar allerlei instanties. Ze plunderen bankrekeningen, openen kredietskaarten, ..., dit zelfs terwijl men vaak niet eens op de foto op de gestolen identiteitskaart lijkt.
Nu moet je mij eens uitleggen wat gevaarlijker is: dat uniform systeem (centralisatie is misschien niet echt het 100% correcte woord) waar men al een "goed opgeleid" crimineel moet voor zijn om in die databanken te geraken of het laatste waar elke pipo die je identiteitskaart vindt je bankrekening kan plunderen ... ?
Ik begrijp enig sceptisme tegenover deze nieuwe trand, maar ik vraag me sterk af of er echt zaken te vinden zijn die op misdaad-niveau nu kunnen gebeuren die vroeger niet gebeurden.
Alleszins, kritische noot moet er zijn en beveiliging moet perfect zijn, daar ga ik zeker akkoord.

Akkoord. alleen is dit een heel nieuw systeem en staat het dus zeker in z'n beginfase sowieso nog vol securityproblemen. Dat is toch bijna een wetmatigheid in de wereld van software .

vol securityproblemen zou ik niet zeggen. Zulke projecten zijn geen zaken zoals doorsnee software waar men de helft van de SE-stappen laat vallen om zo snel mogelijk een werkend product te leveren.
Maar er zullen securityproblemen zijn, sowieso. Er zijn zaken die je over het hoofd ziet, maar de kans dat het evidentheden of domme programmeerfouten zal betreffen is imho vrij klein. De regering mag op sommige e-zaken (om het kind een naam te geven) belachelijk zijn, ik denk nog maar aan hun portaalsite, maar bij zoiets zijn er nu eenmaal hoge eisen hoor .

Maar zoals gezegd, ik vind een kritische noot zeer zeker noodzakelijk.