Yahoo tilmelder sig verdens største login-standard

Søgemaskinen Yahoo vil jodle igen ved at tilbyde dens kvarte milliarder brugere open source produktet OpenID, som via ét password automatisk logger brugerne ind på flere websites.

Af Send e-mail
Publiceret d. 18. januar 2008 kl. 12.59 | Antal kommentarer (10)
Send Tip en ven Print Udskriv


Annonce:
 
ANNONCE:
 
Verdens andenstørste søgemaskineselskab, Yahoo, har givet grønt lys til at benytte web-standarden OpenID, som skal sikre netsurfere kun at logge ind én gang på diverse web-tjenester.

Forslaget, om at Yahoo skal benytte OpenID, kommer på initiativ fra de normalt glødende konkurrenter Microsoft og Google.

Open source produktet OpenID betyder, at en Yahoo-bruger kan benytte sit Yahoo-login på alle de websites, der benytter OpenID-standarden.

Dermed får standarden med Yahoo's 248 millioner registrerede brugere et kraftigt rygstød, så der på verdensplan i alt er 368 millioner OpenID-brugere.

Det skriver Financial Times.

Yahoo skal jodle igen
Yahoo-stifter og nuværende direktør, Jerry Yang, ser store muligheder i OpenID, og håber login-løsningen vil få Yahoo til at jodle igen.

Google har sin egen single-sign-on-løsning, der giver adgang til myriader af selskabets online-produkter. Microsoft har sit Microsoft Live ID, der dog ikke har trukket det store læs for OpenID uden for Microsofts egne websites.

Men Microsoft-stifter, Bill Gates, annoncerede i mandags, at selskabets identitets-produkt CardSpace som følger med Windows Vista, snart vil smelte sammen med OpenID.

Open source firmaet Mozilla har ligeledes annonceret, at OpenID har høj prioritet i browseren Firefox 3.0, der forventes frigivet senere på året.

Ingen ejer OpenID
OpenID blev frembragt af blog-udvikleren Brad Fitzgerald, men er siden blevet videreudviklet af utallige firmaer og privatpersoner.

Og siden har OpenID-organisationen set dagens lys. Det er en non-profit organisation, der har til hensigt at beskytte standarden.

"Ingen skal eje OpenID og ingen skal tjene penge på den. Målet er at lancere hver eneste del af standarden under de mest liberale licenser," siger Brad Fitzgerald til Financial Times.

Kritik af sikkerhed
OpenID er dog blevet kritiseret fra flere sider, fordi fleksibiliteten i login-løsningen kan give phishere og andre datakriminelle adgang til passwords fra intetanende netbrugere.

Et voldsomt scenario kunne være et website tilmeldt OpenID, der omdirigerer til et snyde-site. Når brugeren indtaster sit password, vil den datakriminelle kunne få adgang til og benytte netbrugerens password på alle hjemmesider, som vedkommende er tilmeldt via OpenID.

Endnu har OpenID-organisationen ikke opfundet den skudsikre løsning, selvom den arbejder hårdt på at få sikkerhedsproblematikken løst.








Kommentarer - Debatoversigt


Sikkerhed
10 indlæg

Jeg kan ikke forstå den problematik?

Når man logger ind på OpenID - som selvfølgelig har et andet password end alle dine andre sites (for du har jo forskelligt password til hvert site...) - så kan man jo der administrere hvilke sites der må bruges via OpenID.

I den tænkte situation, kan snyde sitet altså kun få adgang til sit eget site, næppe en sikkerheds problematik!

I øvrigt skal man i OpenID løsningen ikke indtaste noget password på snydesitet, men derimod på openid serveren. Man kan ydermere have identifikationen liggende på sit site, så man bare angiver ens domæne. f.eks:
<link rel="openid.server" href="http://www.myopenid.com/ (...)
<link rel="openid.delegate" href="http://matzon.myopenid.com/ (...)

18. januar 2008 kl. 13.25
Anmeld Besvar
Uffe Seerup
Brian Matzon skrev:
Når man logger ind på OpenID - som selvfølgelig har et andet password end alle dine andre sites (for du har jo forskelligt password til hvert site...) - så kan man jo der administrere hvilke sites der må bruges via OpenID.


Problemet er at man skal indtaste et password overhovedet. Det scenarie der blev beskrevet var at et ondt site redirigerede til et spoofing site - altså et site der bare "ser ud" som OpenID - og dermed lokker brugere til at afsløre deres password til OpenID. Herefter kan bagmændene selv logge på OpenID og få adgang til ALLE de sites du har givet adgang til.

OpenID løser heller ikke de mulige problemer med privatliv. Sites får din identifikation og kan samarbejde om og udveksle oplysninger om deres brugere. Du er ikke anonym.

Løsningen er kombinationen OpenID og CardSpace/Hypercard. Med CardSpace skal du ikke angive password, men blot "udlevere" et kort. Sites får kun det at vide som de har behov for, og bruger IDs på tværs af sites er ikke sammenlignelige. Kortene ligger på din computer og bliver brugt til at signere meddelelser. En ondt site vil altså ikke kunne komme til dine kort og kan ikke stjæle din identitet medmindre de får kompromiteret din computer.

18. januar 2008 kl. 14.15
Anmeld Besvar

Lars Bjerregaard
En ondt site vil altså ikke kunne komme til dine kort og kan ikke stjæle din identitet medmindre de får kompromiteret din computer.


Og det er jo sjældent i dag at folk får kompromiteret deres computer.... ;-^

18. januar 2008 kl. 16.50
Anmeld Besvar

Brian Matzon
Uffe Seerup skrev:
Problemet er at man skal indtaste et password overhovedet. Det scenarie der blev beskrevet var at et ondt site redirigerede til et spoofing site - altså et site der bare "ser ud" som OpenID - og dermed lokker brugere til at afsløre deres password til OpenID. Herefter kan bagmændene selv logge på OpenID og få adgang til ALLE de sites du har givet adgang til.


ahh - ok, standard phishing.

OpenID løser heller ikke de mulige problemer med privatliv. Sites får din identifikation og kan samarbejde om og udveksle oplysninger om deres brugere. Du er ikke anonym.

Løsningen er kombinationen OpenID og CardSpace/Hypercard. Med CardSpace skal du ikke angive password, men blot "udlevere" et kort. Sites får kun det at vide som de har behov for, og bruger IDs på tværs af sites er ikke sammenlignelige. Kortene ligger på din computer og bliver brugt til at signere meddelelser. En ondt site vil altså ikke kunne komme til dine kort og kan ikke stjæle din identitet medmindre de får kompromiteret din computer.


Hvad skulle forhindre en i af phishe det kort så? Altså et alm. man-in-the-middle angreb?

I øvrigt logger jeg selv på myopenid med certifikat - altså intet password.

18. januar 2008 kl. 19.55
Anmeld Besvar

Uffe Seerup
Brian Matzon skrev:
Hvad skulle forhindre en i af phishe det kort så? Altså et alm. man-in-the-middle angreb?


"udleveringen" af kortet går igennem en challenge protokol. Et succesfuldt login afslører derfor aldrig hemmeligheden.

18. januar 2008 kl. 20.05
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Uffe Seerup skrev:
Løsningen er kombinationen OpenID og CardSpace/Hypercard. Med CardSpace skal du ikke angive password, men blot "udlevere" et kort. Sites får kun det at vide som de har behov for, og bruger IDs på tværs af sites er ikke sammenlignelige.


Det er god markedsføring fra MS side, men indeholder ikke løsningen på en lang række forhold. Samtidig blokeres du for at løse dem selv, fordi du låses inde i devicen uden adgang til at sikre den underliggende kommunikation.

Selve Cardspacemodellen dikterer en identity-kontrollør altid er inde over transkationen, men sætter ikke identitet fri. Det er altså en slags "light"-feudal model i modsætning til f.eks. Digital Signatur fase 2, der er en "full" feudal model.

23. januar 2008 kl. 08.40
Anmeld Besvar

Uffe Seerup
Stephan Engberg skrev:
Selve Cardspacemodellen dikterer en identity-kontrollør altid er inde over transkationen, men sætter ikke identitet fri. Det er altså en slags "light"-feudal model i modsætning til f.eks. Digital Signatur fase 2, der er en "full" feudal model.


Prøv at læse om cardspace modellen. Den tillader nemlig "self-issued cards" altså "kort" som du selv udsteder uden en extern identity kontrollør. Med OpenID er du netop afhængig af en sådan 3. part.

Kun hvis det site du logger på har brug for at få verificeret din identitet af en 3. part som I begge stoler på skal du bede denne 3. part om at "signere" dit kort.

15. marts 2008 kl. 15.27
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
Uffe Seerup skrev:
Prøv at læse om cardspace modellen. Den tillader nemlig "self-issued cards" altså "kort" som du selv udsteder uden en extern identity kontrollør. Med OpenID er du netop afhængig af en sådan 3. part.


Nu er selfissued kort ikke nogen åbenbaring. Ikke særlig brugbar.

Men situationen har ændret sig med MS køb af Credentica
http://www.links.org/ (...)

15. marts 2008 kl. 16.21
Anmeld Besvar

René Løhde
Stephan Engberg skrev:
Men situationen har ændret sig med MS køb af Credentica
http://www.links.org/ (...)


Hej Stephan,

Jeg er egentlig overrasket over at den nyhed ikke er blevet "opdaget" i de danske IT medier. Måske er historien lidt for "kompliceret", men dem giver da alt mulig grobund for tanker og debat om total Microsoft verdensherredømme.

Jeg er så mindre overrasket over at du er den første til at kommentere det

Jeg sidder lidt med en fornemmelse af at mine chefer har lavet en afledningsmanøvre, "Vi lader som om vi vil købe Yahoo!!" ...og når så ingen kigger så laver vi et rigtig strategisk opkøb

René, Microsoft

15. marts 2008 kl. 18.42
Anmeld Besvar

Stephan Engberg (nedlagt brugerprofil)
René Løhde skrev:
Jeg er egentlig overrasket over at den nyhed ikke er blevet "opdaget" i de danske IT medier. Måske er historien lidt for "kompliceret", men dem giver da alt mulig grobund for tanker og debat om total Microsoft verdensherredømme.


Ro på her. Situationen er langt mere speget end som så.

Dem som unuanceret jubler over denne nyhed (fordi de tror det er "løsningen") forstår lige så lidt som dem der ikke ser sikkerhedsproblemer.

Man kan ikke lave et borgerkort uden disse teknologier, men det er også ekstremt farligt at overvurdere dem. Det kun tager én læk at forvandle en PET til en PIT og et sikkert system til det modsatte.

Credentials er værdiløse hvis man lækker identifiers i kommunikationslaget eller designer server-centrisk i applikationslaget - 2 basale sikkerhedsproblemer som nærmest er universelle i dag.

Kim Camerun har meldt ud at teknologien vil blive frit tilgængelig under MSP - hvilket er beundringsværdigt men også strategisk klogt fordi han ellers ville have skabt endnu en anti-trust sag. Lige nu afvetner vi de strategiske udmeldinger.

Der er rigeligt grundlag til bekymring og MS-bashing - ikke mindst i lyset af udmeldingerne om voldsom opbygning af datacentre som afspejler en tro på at MS pludselig skal til at agere magtcentrum for alle transaktioner ved at kontrollere adgangen til persondata "legitimeret" med teknologier såsom denne - vi taler selvfølgelig om Microsoft Passport version 2.0 forsøgt maskeret som noget andet. En forretningsstrategisk analyse ændrer sig ikke så nemt i en stor organisation.



Det er virkeligt stærke kræfter, vi taler om, med enorm betydning for fremtiden, men de samme kræfter kan også virke frigørende og genskabe de fundeamentale demokratiske princpper. Det afhænger af hvor kontrollen lander og om modellen er semantisk åben for innovation og konkurrence.


Det kommer ikke som en overraskelse at lille Danmark er langt bagud på sikkerhedsområdet - hvor mange personer i Damark kan du finde som kan nævne 3 privacy enhancing technologies? Og af dem, hvor mange kan relatere designprincipperne til nogen meningsfuld forståelse af sikkerhedsbehov? Og hvor mange af dem er uvildige rådgivere til den ekstreme magtudøvelse og tvangsgennemførelse som pt. pågår i regi af Digital Forvaltning?

Seriøse medier ved at dette (borgerkontrolleret identitet) formentlig er det mest kritiske af alle aktuelle spørgsmål.

At medierne ikke dækker det afspejler at man ikke kan se signalerne i støjen eller indholdet af tidens problemer. Men sidder og venter på spindoktorer, kommercielle interesser og smagsdommeres udlægning, hvorefter det sensationaliseres ud af mening.

At det offentlige system agerer som en DAMP-hund i et spil kegler uden forståelse for problemerne er desværre blot med til at forværre situationen. De tror eller rettere påstår stadig at Digital Signatur skaber sikkerhed for nogen.

Vi SKAL bruge Digitale Signaturer, men de skal sættes helt anderledes op for at skabve sikkerhedsværdi.

Vi andre må blot ryste på hovedet.

16. marts 2008 kl. 10.16
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Titel:

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Forsiden lige nu

Kæmpe Apple-konference: Det kan du vente dig
Apples årlige udvikler-konference, WWDC, finder sted om kort tid. Her får du overblikket over, hvad der er på programmet.
25. maj 2012 kl. 10.00 | læs »

Derfor findes Microsoft Office ikke til iOS og Android
ComputerViews: Microsoft har endnu ikke nogen Office-pakke til hverken iOS eller Android. Det er der flere gode grunde til.
25. maj 2012 kl. 07.00 | (1) | læs »

Her er Danmarks bedste e-handelsbutik
Danmarks bedste e-handelsfirma er blevet kåret.
25. maj 2012 kl. 08.43 | læs »

Danmark skal have angrebs-cyberhær
Det danske cyberforsvar skal ikke kun afvise hacker-angreb. Vi skal også selv kunne angribe over internettet, lyder det fra forsvarsminister Nick Hækkerup (S).
25. maj 2012 kl. 09.00 | læs »



Mest læste på Computerworld:
»
Stortest: Her er de bedste gratis antivirus-programmer

»
Så er det nu: IBM sætter 198 mand på porten

»
SAS dropper 34 år gammelt it-system i gigant-projekt

»
It-studerende afslører kæmpe CPR-sikkerhedshul

»
Her er forklaringen på IBM Danmarks massefyringer

»
IBM Danmark fyrer 170 mand



Seneste debat:

»
Mobil-producenter strides om dit næste SIM-kort | (2)
»
Derfor findes Microsoft Office ikke til iOS og Android | (1)
»
Microsoft: Sådan afliver vi genstarts-løkke i Windows | (4)
»
Intel på vej med eget mobilt operativsystem | (1)
»
Bortvist CSC-tillidsmand får kæmpe erstatning | (1)
»
TDC: Derfor er kobbernettet ikke på vej til at uddø | (28)







 
Navnenyt fra it-danmark
Vis alle »
Flemming Louw-Reimer
Flemming Louw-Reimer
Steffen Weber
Steffen Weber
Solvejg Andersen
Solvejg Andersen
Jesper Sebbelin
Jesper Sebbelin
Lotte Irlind
Lotte Irlind

Anders Ulletved Rasmussen
Anders Ulletved Rasmussen
Anette Bangsfelt
Anette Bangsfelt
Carsten Elton Sørensen
Carsten Elton Sørensen
Dick Rask Lylloff
Dick Rask Lylloff
Jens Søndergaard
Jens Søndergaard


 
White papers
Hvad er social projektledelse?
Projectplace - en af Europas førende udbyder inden for onlineservice til projektsamarbejde - har...
Håndbog om webpræsentation
Denne udgave af "The Virtual Presenter's Handbook" af webseminar-guruen Roger Courville er...
Software AG's cloud-manifest
Software AG's principprogram for cloud computing drejer sig om samarbejde i en ekstrem grad.  ...
Alle whitepapers »

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Så er det nu: IBM sætter 198 mand på porten
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

It-studerende afslører kæmpe CPR-sikkerhedshul
To danske it-studerende har udviklet et program, der kan suge kundernes CPR-numre ud af teleselskaberne.
Læs mere

Her er forklaringen på IBM Danmarks massefyringer
Her er forklaringen på, at IBM Danmark med direktør Lars Mikkelgaard-Jensen i spidsen fyrer 170 medarbejdere.
Læs mere