techNex startet den ersten offenen Authentifizierungsdienst

[GneX]

Wer kennt die Situation nicht: Man ist in vielen Foren registriert und muss sich folglich ebenso viele Benutzerdaten merken. Auf Dauer kann das dazu führen, dass man den Überblick verliert oder es einfach als stressig empfindet, sich überall erneut anzumelden. Doch nun naht Abhilfe in Form des so genannten "openAuth".

Daher starten wir am heutigen Sonntag den ersten, offenen und neuen Authentifizierungsdienst "openAuth" (https://openauth.net).

Mit openAuth wird dem Benutzer die Anmeldung deutlich vereinfacht: Einfach in einem teilnehmenden Forum auf den Button "Anmelden mit openAuth" klicken und zustimmen - fertig!

Das revolutionäre System hinter openAuth vereinfacht und vereint die allgemeinen Benutzerinformationen: Benutzername, eMail-Adresse oder Kennwort in einem Forum ändern und kurze Zeit später in einem anderen damit ebenfalls anmelden.

Ebenfalls einzigartig ist, dass jedes neue Forum zur Abstimmung gestellt wird und die bisherigen Teilnehmer über die Aufnahme des neuen Forums abstimmen können.

openAuth vereint also die Schlagworte "Einfach", "Sicher" und "Zuverlässig" in einem System - ganz einfach und für jeden Benutzer verständlich.

Es gab heute (Dienstag, der 12. April 2011) eine Änderung bei openAuth:
Benutzer müssen nun kein Benutzerkonto mehr bei openAuth besitzen, sondern können sich auch mit einem vorhandenen Benutzerkonto in einem teilnehmendem Forum anmelden. Dabei wird bei openAuth auch kein Benutzer registriert, sondern openAuth dient in diesem Fall lediglich als Brücke zwischen den Foren. Das ist wichtig, damit wirklich nur auf teilnehmende Foren zugegriffen werden kann und die Benutzerdaten sicher übertragen werden können. Die Übertragung des Benutzerbildes wurde aus diesem Grund entfernt.

• Welche Informationen werden an bzw. von openAuth geliefert?
  openAuth liefert nur allgemeine Benutzerinformationen die zur Registrierung bzw. Anmeldung in einem Forum benötigt werden. Konkret sind das folgende Daten: openAuth-ID, Benutzername, eMail-Adresse, verschlüsseltes Kennwort und ggf. ein Benutzerbild.
  
• Wie steht es mit der Sicherheit der Systeme bzw. der Übertragung?
  Wir sichern unsere Systeme mit entsprechender Software ab und nutzen neuste Technik. Der komplette Datenverkehr mit openAuth erfolgt ausschließlich SSL-gesichert.
  
• Werden Daten verkauft?
  Nein. Wir halten uns ganz klar an Gesetze und unsere Datenschutzbestimmungen, denn Vertrauen ist uns sehr wichtig.
  
• Kann ich mich auch anmelden, wenn openAuth nicht zur Verfügung steht?
  Ja. Der Benutzer hat immer die Wahl zwischen einer lokalen Anmeldung und einer Anmeldung mit openAuth.
  
• Wo muss ich ein Benutzerkonto haben, um openAuth nutzen zu können?
  Dazu ist lediglich ein aktiviertes Benutzerkonto im Netzwerk von GneX nötig.
  
• Kann ich verhindern, dass die lokalen Daten automatisch an openAuth gesendet bzw. mit openAuth abgeglichen werden
  Ja. Dazu kann man das lokale Benutzerkonto von openAuth, unter "Profil bearbeiten" > "Verwaltung" > "openAuth", lösen.
  
• Kann ich ein bestehendes Benutzerkonto mit openAuth verbinden?
  Ja. Dazu kann die Funktion unter "Profil bearbeiten" > "Verwaltung" > "openAuth" genutzt werden.
  
• Kann mein Benutzerkonto global gesperrt oder gelöscht werden?
  Nein. Jedes teilnehmende Forum bleibt für sich Eigenständig. openAuth greift nicht in das Hoheitsgebiet der Administratoren ein.

Weitere Informationen finden sich auf www.openAuth.net - Dort können auch Bewerbungen für Foren eingereicht werden. Eine Demo ist unter http://democenter.technex.org zu finden.

Ich hoffe, dass openAuth ein etabliertes Mittel wird, um Fachforen miteinander und nicht gegeneinander arbeiten zu lassen.

 

[kurtextrem]

Warte mal - gibt es nicht so etwas schon? http://openid.net/
Wobei das "only WBB" natürlich auch was tolles ist.
Eigentlich also eine ganz nette Idee! Allerdings fände ich es besser, wenn irgendwann einmal mehr Foren mitmachen, dass es egal ist, wo man ein Benutzeraccount hat und sich damit in dem openAuth Netzwerk anmelden kann.

Allerdings, was ich mich frage:

Was haste mit dem SSL Zertifikat angestellt? xD

 

[GneX]

Es gibt openID, klar - aber dadurch ist es schlecht möglich ein Netzwerk aufzubauen. Es wäre ja durchaus denkbar, dass sich später die Foren so vernetzten, dass auch News untereinander ausgetauscht werden oder es Listen mit den Erweiterungen gibt

Das SSL-Zertifikat ist selbst ausgestellt und gilt aktuell für alle Domains - Ich bin aber bereits dran startssl-Zertifikate zu nutzen

 

[GneX]

Es gab heute (Dienstag, der 12. April 2011) eine Änderung bei openAuth:
Benutzer müssen nun kein Benutzerkonto mehr bei openAuth besitzen, sondern können sich auch mit einem vorhandenen Benutzerkonto in einem teilnehmendem Forum anmelden. Dabei wird bei openAuth auch kein Benutzer registriert, sondern openAuth dient in diesem Fall lediglich als Brücke zwischen den Foren. Das ist wichtig, damit wirklich nur auf teilnehmende Foren zugegriffen werden kann und die Benutzerdaten sicher übertragen werden können. Die Übertragung des Benutzerbildes wurde aus diesem Grund entfernt.

 

[GneX]

Es werden nun Zertifikate von StartSSL genutzt

 

[Nexan]

Also die Umsetzung sieht ja sehr solide aus, aber so ganz mag sich mir noch nicht erschließen warum ich als Nutzer oder Seitenbetreiber einen solchen Dienst nutzen sollte.

 

[GneX]

Du kannst dich durch den Dienst in jedem teilnehmenden Forum mit Daten aus einem anderen teilnehmenden Forum (oder openAuth) anmelden.

Du wählst die Anmeldung mit openAuth, wählst dann das Forum aus, bei dem du schon registriert bist (oder aber dein openAuth-Benutzerkonto) und gibst deine Anmeldedaten (Benutzername und Kennwort) ein. Anschließend wird in dem Forum, in dem du dich anmelden möchtest, ein neues Benutzerkonto registriert.

Wenn du dich mit deinem openAuth-Benutzerkonto angemeldet hast oder später das lokale Benutzerkonto mit openAuth verknüpfst, werden Benutzername, eMail-Adresse und Kennwort (nicht im Klartext, sondern ausschließlich als Hash) automatisch mit openAuth abgeglichen und du kannst dich in den Foren, in denen du dich mit openAuth verknüpft hast, mit den selben Daten anmelden und hast den gleichen Benutzernamen bzw. die gleiche eMail-Adresse.

Natürlich ist es auch möglich, ein lokales Benutzerkonto wieder von openAuth zu lösen, um andere Daten (Benutzername, eMail-Adresse, Kennwort) zu nutzen.

Ausprobieren kannst du das bereits bei WBB-Center und codeQuake. Wenn du Lust hast, mit dem eigenen Forum daran teilzunehmen, kannst du dich gerne hierfür anmelden (https://openauth.net/applyDo.php, Benutzerkonto bei techNex nötig, da dies mit deiner Benutzer-ID verknüpft wird und du Statusänderungen zu deiner Bewerbung via eMail bekommst) - über die Aufnahme von Foren entscheiden die bisherigen Teilnehmer.

 

[Titus]

werden Benutzername, eMail-Adresse und Kennwort (nicht im Klartext, sondern ausschließlich als Hash) automatisch mit openAuth abgeglichen und du kannst dich in den Foren, in denen du dich mit openAuth verknüpft hast, mit den selben Daten anmelden und hast den gleichen Benutzernamen bzw. die gleiche eMail-Adresse.

wie sieht das aus wenn der Dienst nicht erreichbar ist?
was passiert mit Benutzern wenn man bei dem Dienst austritt / raus fliegt / dieser eingestellt wird?

lassen sich die Daten denn irgendwann ändern - bzw was passiert wenn die geändert werden? geschieht das dann auf allen Foren oder fährt man das Benutzerkonto dann an die Wand?

 

[GneX]

Ich gehe mal der Reihe nach auf deine Fragen ein:

(1) Auch wenn dies, sofern nicht höhere Gewalte eine Rolle spielen, nicht passieren sollte, passiert nichts weiter. Da immer ein lokales Benutzerkonto in dem Forum besteht, kannst du dich ohne Probleme weiterhin anmelden.

(2) Mit den Benutzern passiert gar nichts. Es wurde absichtlich darauf verzichtet, dass es eine zentrale Lösung der Sperre gibt, um Szenarien der zentralen Sperrung nicht zu ermöglichen. Auch wenn es unwahrscheinlich ist, dass der Dienst eingestellt wird, so kann man sich weiterhin in den Foren anmelden, da ein lokales Benutzerkonto besteht.

(3) Wenn du mit openAuth verbunden bist, werden deine geänderten Daten an openAuth übertragen. Die Daten können in jedem Forum, in dem du mit openAuth verbunden bist, geändert werden. Ein Cronjob in jedem anderem Forum, in dem du mit openAuth verbunden bist, holt sich dann diese aktualisierten Daten. Das Benutzerkonto kannst du im Prinzip nicht an die Wand fahren, denn es gelten die gleichen Bedingungen: Einmaliger Benutzername und einmalige eMail-Adresse. Die Daten werden in den teilnehmenden Foren auch erst dann aktualisiert, wenn du sichergestellt ist, dass in dem jeweiligen Forum diese Daten ebenfalls nur einmalig vorkommen. Möchtest du eine Aktualisierung deiner Daten nicht, kannst das lokale Benutzerkonto jederzeit von openAuth lösen.

In naher Zukunft ist auch ein Informationsdienst geplant, der es ermöglichen soll, Nachrichten und Entwickler- bzw. Pluginlisten untereinander zu verbreiten.

 

[Titus]

danke für die Auskunft
naja, Routingprobleme habe ich nun schon einige erlebt, würde man die Seite benötigen (wie das z.B. bei IP.Converge gehandhabt wird/wurde) könnte man sich in der Zeit nicht anmelden

der obige Satz hörte sich eben so an, als ob mit der openAuth Seite zwingend eine Verbindung hergestellt werden müsse - würde man dann den Dienst verlassen, wären ja verbundene Konten teilweise unbrauchbar - da das aber nicht so ist, ergibt sich der Rest daraus

mit anderen Verschlüsselungen (z.b. wegen einem Import unter Beibehaltung der alten PW) wird es aber nicht arbeiten nehme ich an

was passiert denn wenn der Benutzername schon existiert? wäre es denn nicht möglich zwischen Login- und Displaynamen zu unterscheiden?

 

[GneX]

Bitte

Klar, aber darauf habe ich leider wenig Einfluss, wobei ich persönlich solche Probleme bei Hetzner sehr selten erlebe. Dennoch hast du recht und es könnte dazu kommen. Es war auch eine ganz klare Anfangsüberlegung, dass ein Login in das lokale Benutzerkonto jederzeit möglich sein muss und das ist es, da es sich nicht um ein "virtuelles" Benutzerkonto handelt. openAuth ist also darauf ausgelegt, sowohl Zentral als auch Dezentral zu funktionieren.

Mit der openAuth-Seite muss nur dann eine Verbindung hergestellt werden, wenn du dich erstmalig in einem Forum über openAuth (auch hier bleibt die lokale Registrierung unberührt) anmelden möchtest. Das hat den Vorteil, dass wirklich nur Foren zugelassen sind, die durch die Abstimmung gelaufen sind. Gleichzeitig kann man sich dann mit openAuth verbinden und so die Aktualisierung der Daten nutzen.

Es wurde eben auch darauf geachtet, dass sich ein Benutzer jederzeit wieder von openAuth lösen kann (aktuell in den Foren möglich; später auch auf der openAuth-Seite, falls man in einem Forum mal gesperrt werden sollte und man nicht mehr möchte, dass die Daten dort aktualisiert werden).

Leider nein, da ich mich entscheiden musste, ob ich Kennwörter im Klartext übertrage oder den Hash nutze - ich habe mich erstmal für den Hash entschieden, da sonst eine Registrierung in anderen Foren mit dem selben Kennwort nicht möglich gewesen wäre. Problem dabei ist natürlich, dass der Dienst aktuell nicht ganz Rund mit anderen Forensystemen laufen würde, was aber dennoch gerne gewollt ist. Wer sich also mit der Programmierung bei XenForo oder anderen Forensystemen auskennt, darf sich gerne melden

Wenn der Benutzername schon existiert, gibt es erstmal verschiedene Fälle:

1. Du möchtest dich via openAuth in einem Forum anmelden; Die eMail-Adresse in dem Forum wird mit der von openAuth (bzw. dem anderen Forum, aus dem die daten übernommen werden sollen) verglichen
   
   • Stimmen diese überein, so wirst du angemeldet
   • Stimmen diese nicht, wird ein neues Benutzerkonto mit dem Benutzernamen und einer Zahl dahinter versucht anzulegen
2. Du möchtest deine Daten aktualisieren; Der Benutzername ist also bei openAuth bereits vergeben
   Es wird ein Fehler ausgegeben, dass dieser Benutzername bereits vergeben ist und die Aktualisierung wird abgebrochen
   
3. Der Cronjob möchte deine Daten aktualisieren; Der Benutzername ist also in dem teilnehmenden Forum bereits vergeben
   Dein Benutzerkonto wird übersprungen und wird nicht aktualisiert

Es war eine Überlegung, die openAuth-ID dafür zu nutzen, jedoch wieder verworfen, weil man sich die hätte schlecht(er) merken können. Außerdem hätte es Probleme in den teilnehmenden Foren verursacht.

 

[Titus]

mit anderen Verschlüsselungen hatte ich eigentlich schon in wBB gemeint - beim Import hat man ja die Option die Verschlüsselung des alten Forums zu übernehmen - da würden Hash&Salt nicht mehr wirklich greifen

InvisionPower benutzt inzwischen die Emailadresse als Loginnamen - ich denke das wäre in jedem Fall der kleinste gemeinsame Nenner, da wohl auch die meisten Seitenbetreiber eine Emailaddy nur einmal zulassen - blöd ist nur wenn jemand z.b. gewisse freemailer auf die Blacklist setzt - wobei man da ja vielleicht eine Art Referenzsystem mit integrieren könnte welche das umschifft
IPB kennzeichnet bspw. User auf Wunsch als Spammer, was sich dann wohl auch über das Netzwerk der IP.Boards verbreitet - wie das datenschutzrechtlich aussieht hab ich nicht verfolgt, ich bin nur kürzlich im ACP drauf gestoßen das markierte User wohl zentral verpetzt werden können