OpenID in de Praktijk: Het is allemaal nog pril

OpenID in de Praktijk: Het is allemaal nog pril

Ik was gisteren aanwezig bij het event ‘OpenID in de Praktijk’ om te kijken wat de status van OpenID in Nederland is. Vooral de introductie door Chris Obdam (Stichting OpenID Nederland), het beveiligingsverhaal van Christiaan Roselaar (ITSec) en het verhaal over Hyves als OpenID provider van Yme Bosma (Hyves) waren interessant.

Conclusie over de stand van zaken rondom OpenID is wat mij betreft, dat de interesse er is, maar dat de ontwikkeling van OpenID allemaal nog wel erg pril is in Nederland. Internationaal is men een heel stuk verder.

Chris Obdam

Chris Obdam van de Stichting OpenID Nederland trapte af met een introductie over OpenID. Hij vergelijkt de procedure van Redirection van OpenID met die van iDeal. Daar wordt je vanaf de webwinkel ook naar de site van je bank gestuurd en achteraf weer terug. Verder legt hij kort het verschil tussen OpenID SREG (Simple Registration, waarbij je toegang kunt krijgen tot 9 attributen van de gebruiker) en OpenID AX (Attribute Exchange, waarbij je toegang hebt tot veel meer attributen) uit. Ik zal hier volgende week op mijn weblog verder op terugkomen. Chris verwacht daarnaast dat DigiD zal worden gekoppeld aan OpenID en niet zal worden vervangen door. Het zal dan gebruikt gaan worden als verificatiedienst en niet langer als authenticatiedienst. DigiD heeft namelijk toegang tot geverifieerde NAW gegevens en dat is zeer waardevol op internet. Als laatste vertelt Chris dat Uservoice.com door de integratie van OpenID een 25% conversieverbetering wist te bewerkstelligen. Dit komt omdat OpenID het inlog- en registratieproces vele malen kan versimpelen en kan versnellen.

Christiaan Roselaar

Christiaan Roselaar van ITSec probeert ons als advocaat van de duivel te laten inzien dat OpenID niet zaligmakend qua veiligheid is. Er zijn bijvoorbeeld geen certificaten om de echtheid van een Relying Party (acceptant) en Identity Provider vast te stellen, is de gebruikte encryptie niet sterk genoeg en is OpenID gevoelig voor Phising. Ook kaart hij aan dat de Identity Provider precies weet waar en wanneer je inlogt, wat privacy issues met zich mee brengt. Verder moet men er ook rekening mee houden dat er implementatierisico’s kleven aan de kant van de Identity Provider. Wat gebeurt er als er een backup-tape wordt verloren? ZIjn die gegevens dan encrypted? En wordt het personeel gescreend wat bij de servers kan? Anders verdwijnt die backup-tape misschien wel niet per ongeluk. Dit zijn volgens Christiaan Roselaar inderdaad allemaal beren op de weg, maar ze moeten wel overdacht worden. Hyves als Social Network en als Identity Provider brengt andere verantwoordelijkheden met zich mee.

Om te relativeren dat OpenID niet onveiliger is dan bijvoorbeeld DigiD wordt er live op het podium een demonstratie gegeven. Een bezoeker logt in op het beveiligde gedeelte van Beverwijk.nl met zijn DigiD gegevens. Achteraf wordt er door de telefoon door een medewerker van ITSec doorgegeven wat de logingegevens van deze bezoeker waren. Dit lek blijkt op meerdere gemeentesites aanwezig te zijn. Hmm….

Yme Bosma

{title}Na de pauze vervolgt Yme Bosma met een verhaal over Hyves als OpenID Identity Provider. Hij vertelt dat Hyves Connect bestaat uit OpenID, OAuth, Open Social en de Hyves API’s. De Hyves API’s worden trouwens binnen enkele maanden compatible met die van OpenSocial REST, wat goed nieuws is voor developers. Ook test Hyves met een OpenID implementatie waar gebruik wordt gemaakt van een Pop-up (zoals bij Facebook Connect) in plaats van Redirection en heeft Hyves een geoptimaliseerde versie draaien van de OpenID landingpage voor mobiele browsers. Yme legt verder uit hoe Hyves omgaat met OpenID en OAuth en het verstrekken van gegevens: Via OpenID AX heb je toegang tot publieke gegevens en het is een statische interface. Met OAuth krijg je toegang tot zowel je publieke als prive gegevens en kun je acties uitvoeren via de achterliggende API’s. Hier is voor gekozen omdat OAuth een betere gelaagdheid biedt voor de toegang tot API’s. OpenID AX is gebouwd voor de identificatie en OAuth voor authentificatie.

Hyves stelt zich open voor derde partijen om het sociale netwerk op Hyves op andere plekken relevanter te maken. Hyves maakt hiervoor gebruik van OpenID en OAuth omdat het voor de consument “makkelijk en veilig” is en voor de developer “simpel en standaard”. Met dat laatste bedoelde Bosma dat er gebruik wordt gemaakt van Open Standaarden. Het grootste nieuws van vandaag is echter dat Hyves binnenkort naast OpenID Identity Provider ook een OpenID Relying Party zal worden. Het wordt mogelijk om een OpenID account van een derde partij te koppelen aan een bestaand Hyves account en voortaan in te loggen met OpenID. Hyves is hiermee het tweede grote Sociale Netwerk dat Relying Party zal worden. Facebook kondigde dit enkele weken eerder al aan.

Genoeg te evangeliseren

Het was een interessante middag, maar er is nog een hoop evangelisatie te verrichten in Nederland. Afgelopen weekend sprak ik hier al over met Chris Messina, board member bij de OpenID Foundation. Hij gaf in ons gesprek aan dat er voor de OpenID Foundation ook in Nederland nog een belangrijke rol is weggelegd. Met grote partijen als Facebook, Google, Microsoft, Yahoo! en IBM achter zich zullen zij in staat zijn om ons te helpen OpenID te promoten en de acceptatie te vergemakkelijken.


Geplaatst in

Delen

0
0


Er zijn 4 reacties op dit artikel

  • @timan Dank voor het verslag, het was inderdaad een interessante middag. Goed om te zien waar diverse partijen mee bezig zijn. De cases die jij beschrijft staan m.i. verder af van de overige initiatieven die aan bod kwamen, zoals het overheidsinitiatief (OpenID voor intern gebruik) en het ConsumentenID initiatief waar we allebei onze plussen en minnen bij hebben. Het Vodafone verhaal (over OpenID op je SIM kaart) biedt m.i. ook veel mogelijkheden.

    geplaatst op
  • @Lode ik heb bewust het Rijksoverheidsverhaal en het verhaal van Vodafone weggelaten. De Rijksoverheid is aan het kijken of zij OpenID intern kunnen gaan toepassen, maar in een dusdanig gemodificeerde vorm dat het niet langer compatible is en slechts lijkt op OpenID zoals wij dat kennen. Vodafone Group's R&D lab is bezig met authenticatie via de SIM kaart. Ondanks dat er in het voorbeeld OpenID werdt gebruikt als identificatie protocol heeft het verder geen raakvlakken. Ik denk zeker dat het toekomst heeft, maar staat dus los van OpenID. (Er draait dus geen OpenID op de SIMkaart, maar een bestaand authenticatieprotocol wat onder andere onder OpenID gehangen kan worden.)

    geplaatst op
  • @timman Bedankt voor samenvatting! Laten we met zijn allen proberen OpenID verder te krijgen in NL!

    geplaatst op
  • Mijn presentatie is overigens te bekijken via http://mijnopenid.nl/weblog/bekijk/24/Verslag-OpenID-NL-event

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.