OpenID in de Praktijk: Het is allemaal nog pril

13 mei 2009, 07:30

Ik was gisteren aanwezig bij het event ‘OpenID in de Praktijk’ om te kijken wat de status van OpenID in Nederland is. Vooral de introductie door Chris Obdam (Stichting OpenID Nederland), het beveiligingsverhaal van Christiaan Roselaar (ITSec) en het verhaal over Hyves als OpenID provider van Yme Bosma (Hyves) waren interessant.

Conclusie over de stand van zaken rondom OpenID is wat mij betreft, dat de interesse er is, maar dat de ontwikkeling van OpenID allemaal nog wel erg pril is in Nederland. Internationaal is men een heel stuk verder.

Chris Obdam

Chris Obdam van de Stichting OpenID Nederland trapte af met een introductie over OpenID. Hij vergelijkt de procedure van Redirection van OpenID met die van iDeal. Daar wordt je vanaf de webwinkel ook naar de site van je bank gestuurd en achteraf weer terug. Verder legt hij kort het verschil tussen OpenID SREG (Simple Registration, waarbij je toegang kunt krijgen tot 9 attributen van de gebruiker) en OpenID AX (Attribute Exchange, waarbij je toegang hebt tot veel meer attributen) uit. Ik zal hier volgende week op mijn weblog verder op terugkomen. Chris verwacht daarnaast dat DigiD zal worden gekoppeld aan OpenID en niet zal worden vervangen door. Het zal dan gebruikt gaan worden als verificatiedienst en niet langer als authenticatiedienst. DigiD heeft namelijk toegang tot geverifieerde NAW gegevens en dat is zeer waardevol op internet. Als laatste vertelt Chris dat Uservoice.com door de integratie van OpenID een 25% conversieverbetering wist te bewerkstelligen. Dit komt omdat OpenID het inlog- en registratieproces vele malen kan versimpelen en kan versnellen.

Christiaan Roselaar

Christiaan Roselaar van ITSec probeert ons als advocaat van de duivel te laten inzien dat OpenID niet zaligmakend qua veiligheid is. Er zijn bijvoorbeeld geen certificaten om de echtheid van een Relying Party (acceptant) en Identity Provider vast te stellen, is de gebruikte encryptie niet sterk genoeg en is OpenID gevoelig voor Phising. Ook kaart hij aan dat de Identity Provider precies weet waar en wanneer je inlogt, wat privacy issues met zich mee brengt. Verder moet men er ook rekening mee houden dat er implementatierisico’s kleven aan de kant van de Identity Provider. Wat gebeurt er als er een backup-tape wordt verloren? ZIjn die gegevens dan encrypted? En wordt het personeel gescreend wat bij de servers kan? Anders verdwijnt die backup-tape misschien wel niet per ongeluk. Dit zijn volgens Christiaan Roselaar inderdaad allemaal beren op de weg, maar ze moeten wel overdacht worden. Hyves als Social Network en als Identity Provider brengt andere verantwoordelijkheden met zich mee.

Om te relativeren dat OpenID niet onveiliger is dan bijvoorbeeld DigiD wordt er live op het podium een demonstratie gegeven. Een bezoeker logt in op het beveiligde gedeelte van Beverwijk.nl met zijn DigiD gegevens. Achteraf wordt er door de telefoon door een medewerker van ITSec doorgegeven wat de logingegevens van deze bezoeker waren. Dit lek blijkt op meerdere gemeentesites aanwezig te zijn. Hmm….

Yme Bosma

{title}Na de pauze vervolgt Yme Bosma met een verhaal over Hyves als OpenID Identity Provider. Hij vertelt dat Hyves Connect bestaat uit OpenID, OAuth, Open Social en de Hyves API’s. De Hyves API’s worden trouwens binnen enkele maanden compatible met die van OpenSocial REST, wat goed nieuws is voor developers. Ook test Hyves met een OpenID implementatie waar gebruik wordt gemaakt van een Pop-up (zoals bij Facebook Connect) in plaats van Redirection en heeft Hyves een geoptimaliseerde versie draaien van de OpenID landingpage voor mobiele browsers. Yme legt verder uit hoe Hyves omgaat met OpenID en OAuth en het verstrekken van gegevens: Via OpenID AX heb je toegang tot publieke gegevens en het is een statische interface. Met OAuth krijg je toegang tot zowel je publieke als prive gegevens en kun je acties uitvoeren via de achterliggende API’s. Hier is voor gekozen omdat OAuth een betere gelaagdheid biedt voor de toegang tot API’s. OpenID AX is gebouwd voor de identificatie en OAuth voor authentificatie.

Hyves stelt zich open voor derde partijen om het sociale netwerk op Hyves op andere plekken relevanter te maken. Hyves maakt hiervoor gebruik van OpenID en OAuth omdat het voor de consument “makkelijk en veilig” is en voor de developer “simpel en standaard”. Met dat laatste bedoelde Bosma dat er gebruik wordt gemaakt van Open Standaarden. Het grootste nieuws van vandaag is echter dat Hyves binnenkort naast OpenID Identity Provider ook een OpenID Relying Party zal worden. Het wordt mogelijk om een OpenID account van een derde partij te koppelen aan een bestaand Hyves account en voortaan in te loggen met OpenID. Hyves is hiermee het tweede grote Sociale Netwerk dat Relying Party zal worden. Facebook kondigde dit enkele weken eerder al aan.

Genoeg te evangeliseren

Het was een interessante middag, maar er is nog een hoop evangelisatie te verrichten in Nederland. Afgelopen weekend sprak ik hier al over met Chris Messina, board member bij de OpenID Foundation. Hij gaf in ons gesprek aan dat er voor de OpenID Foundation ook in Nederland nog een belangrijke rol is weggelegd. Met grote partijen als Facebook, Google, Microsoft, Yahoo! en IBM achter zich zullen zij in staat zijn om ons te helpen OpenID te promoten en de acceptatie te vergemakkelijken.

Timan Rebel heeft meer dan 15 jaar ervaring als ondernemer en was de oprichter en CEO van de voorganger van Hyves, SB/SD, het grootste sociale netwerk van Nederland voor jongeren met toentertijd meer dan 1 miljoen gebruikers. Timan verkocht SB/SD in 2007 aan de Telegraaf Media Groep. Timan richtte later een startup op genaamd Snowciety, het media blog Fast Moving Targets en coachte verschillende startups bij The Next Web als Entrepreneur in Residence. Hij was ook dicht betrokken bij de start van de Lean Startup beweging in Nederland, als founding mentor van Lean Startup Machine, Evolv en verschillende andere events zoals LeanCamp in 2011 tot 2015. Toen Rockstart startte in 2011, vroeger oprichters Rune en Don aan Esther en Timan om een aantal workshops rondom Lean Startup, startup analytics vorm te geven en te werken aan het verder verbeteren en ontwikkelen van het Rockstart Accelerator curriculum. Hij werd aansluitend Lean Mentor en Coach voor alle Rockstart Accelerator programma’s tussen 2011 en 2016. Samen met Esther Gons investeerde hij in verschillende startups, zoals Cocoon, StudyCredits en Butleroy, waarbij hij naast een investering in geld ook toegang tot hun twee jaar durende gepersonaliseerde accelerator programma aanbied.

Categorie
Tags

3 Reacties

    lbroekman

    @timan Dank voor het verslag, het was inderdaad een interessante middag. Goed om te zien waar diverse partijen mee bezig zijn. De cases die jij beschrijft staan m.i. verder af van de overige initiatieven die aan bod kwamen, zoals het overheidsinitiatief (OpenID voor intern gebruik) en het ConsumentenID initiatief waar we allebei onze plussen en minnen bij hebben. Het Vodafone verhaal (over OpenID op je SIM kaart) biedt m.i. ook veel mogelijkheden.


    13 mei 2009 om 08:13
    timan@trebel.nl

    @Lode ik heb bewust het Rijksoverheidsverhaal en het verhaal van Vodafone weggelaten. De Rijksoverheid is aan het kijken of zij OpenID intern kunnen gaan toepassen, maar in een dusdanig gemodificeerde vorm dat het niet langer compatible is en slechts lijkt op OpenID zoals wij dat kennen. Vodafone Group’s R&D lab is bezig met authenticatie via de SIM kaart. Ondanks dat er in het voorbeeld OpenID werdt gebruikt als identificatie protocol heeft het verder geen raakvlakken. Ik denk zeker dat het toekomst heeft, maar staat dus los van OpenID. (Er draait dus geen OpenID op de SIMkaart, maar een bestaand authenticatieprotocol wat onder andere onder OpenID gehangen kan worden.)


    13 mei 2009 om 10:34
    Chris Obdam

    @timman Bedankt voor samenvatting! Laten we met zijn allen proberen OpenID verder te krijgen in NL!


    13 mei 2009 om 12:06

Marketingfacts. Elke dag vers. Mis niks!