Google wird OpenID Provider

Heute habe ich eine ganze Reihe von Sessions und Panels auf den Münchener Medientagen gehört. Oder es versucht, einige habe ich nach wenigen Minuten verlassen. Mir hat sich nicht ganz erschlossen, was sich die Teilnehmer von dieser Veranstaltung versprechen. Denn leider wurden die meisten Themen nur sehr oberflächlich behandelt. Bei einer Session rund um Reputationsmanagement warf ich OpenID als Stichwort für einen womöglich probaten Weg ein. Leider mit wenig Resonanz. Das Thema war unbekannt. Die sich daraus ergebenden nächsten Schritte auch. Und so ist es sicherlich in den Weiten des Internets auch. Weder als Single-Sign-On-System, noch die spannenden Möglichkeiten die sich durch eine einzigartige URL als zentraler persönlicher Identifikator und Hub zwischen all den genutzten Profilen im Web vielleicht formen lassen.

Und so setzt Google in der jüngst bekannt gegebenen Unterstützung von OpenID auf eine recht individuelle Interpretation, die eben keine URL als Schlüssel nutzt, sondern die GMail E-Mail Adresse des Nutzers. Das mag technisch bei Relying Parties die sich darauf einlassen funktionieren und theoretisch sogar die ohnehin durchaus komplexe Usability von OpenID in Teilen etwas optimieren. Was auf der einen Seite ein Vorteil für die Nutzer und theoretisch auch für die Verbreitung des Standards sein könnte. Doch leider ist es ein deutliches Abweichen von dem aktuellen Standard und insbesondere der Verzicht auf eine URL als primären Identifikator führt die einst von Google propagierten Ideen in Richtung Open Social Graph sowie die Möglichkeiten rund um die Dataportability Group ad absurdum.

Doch, wie eingangs geschildert, gibt es keine wirkliche Lobby für die Ideen hinter OpenID und somit besteht die Gefahr, dass der jetzt von Google propagierte Weg über die von Nutzern (aber auch Seitenbetreibern) viel eher gewohnte Identifikation via E-Mail Adresse und Passwort schnell und bessere Akzeptanz findet. Google würde sich somit erneut in eine zentrale Position bringen – und in diesem Fall könnte das dem ursprünglichen geplanten Modus Operandi hinter OpenID ernsthaft schaden. Denn welche Relying Party ist schon gewillt allein für das Login via OpenID zwei unterschiedliche Optionen anzubieten?

Kommentare (10)

  1. Pingback: Lohnt sich bereits jetzt eine OpenID Implementierung?

  2. Da haste jetzt aber einige Punkte aufgeworfen zu denen ich was sagen muss, da ich deine Darstellung doch etwas zu drastisch finde.

    1.) Was Google dort macht geht konform mit der OpenID 2.0 Spezifkation und ist völlig in Ordnung. Google nutzt hier die in der neuen Spezifkation eingeführte Möglichkeit der “Directed Identity”, was kurz gesagt bedeutet: Der Anwender braucht seine genau OpenID Url nicht mehr wissen, sondern er muss noch noch wissen, bei welchem Provider er eine OpenID besitzt. Zu diesem wird er dann weitergeleitet.

    In dem Fall von Google wird er so Richtung Google weitergeleitet, wo er sich dann mit seinem Google Account einloggt. Dann gehts zurück. Das ist alles richtig so. Das Google eine Email-Adresse als Identifier nutzt ist daher nicht ganz richtig. Vll eher etwas unglücklich von Google gelöst, dass man sich so wie in Gmail einloggt und da nicht Benutzername / Passwort sondern Email-Adresse / Passwort steht.

    Das einzige was Google im Moment anders macht, ist dass man vorher mit Google sprechen muss, damit man Google als OP einbinden kann. Das hat aber auch einen Grund und ist wohl nur vorrübergehend:

    Zitat Eric Sachs auf der OpenID Mailingliste:

    “We just need to do the standard scaling, stability, translation quality, etc. evaluation to make sure there are no major problems. If we are lucky, that won't take much time. However it is more then likely that we will need to tweak things in our user interface to make it easier to understand, and unfortunately translating any such tweaks into 40+ languages takes awhile.”

    2.) Aber abgesehen davon: Email Adressen als Identifier zu nehmen ist keine neue Idee von Google, sondern wir schon länger – durchaus kontrovers – diskutiert und ist jetzt auch in keiner Weise ein Alleingang von Google. Der Anbieter Vidoop hat z.B. schon länger emailtoid.net aufgesetzt, um diese Möglichkeit mit Hilfe von EAUT (Email Adress to URL Tranformation) zu demonstrieren. Ist gibt viele Argumente für die Email-Adresse als Identifier – vor allem, dass sich Nutzer diese sofort wissen und sich mit ihr identizieren können, anstatt sich eine URL zu merken und als Identität akzeptieren zu können – und einige eher wenige Sicherheitsbedenken dagegen.

    Ich denke das im Moment die Wahrscheinlichkeit ziemlich hoch ist, dass sich die Geschichte mit den Email-Adressen durchaus durchsetzen könnte. Da muss man auch mal den Internet Identitiy Workshop in zwei Wochen abwarten, wo das bestimmt wieder Thema sein wird.

    Ich sehe in keiner Weise, dass sich Google dadurch in eine zentrale Position versucht zu bringen, geschweige denn dass Google hier der Idee hinter OpenID schadet. Ganz im Gegenteil.

    3.) Es gibt durchaus eine Lobby hinter OpenID. Allen voran die OpenID Foundation, der europäische Ableger OpenID Europe Foundation und natürlich auch noch die Open Web Foundation an sich. Und das Data Portability Project macht sicherlich auch Lobby Arbeit in die Richtung ;)

    Das bei den Münchener Medientage keiner Ahnung hatte liegt eher daran, dass wir hier mal wieder alle pennen ;) Sprich man könnte sagen OpenID hat in Deutschland noch keine wirkliche Lobby, wobei es da ja auch von Lukas Rosenstock die Bemühungen gibt einen OpenID e.V. auf die Beine zu stellen.

    n dem Sinne ;) Liebe Grüsse, Sebastian

  3. Vielen Dank für das ausführliche Feedback, Sebastian!

    Mit den Hintergründen in allen drei Punkten hast Du sicherlich recht. Auch was das weite Feld Usability angeht haben wir wohl einen breiten Konsens. Die ist nachgewiesener Maßen nicht schlecht. Neulich habe ich dazu ein schönes Zitat gelesen:

    OpenID ist mittlerweile kompatibel zum Massenmarkt – nur der Massenmarkt ist noch nicht kompatibel zu OpenID.

    Das trifft es glaube ich ganz gut.

    Und auch was die fehlende Lobby in Deutschland angeht sehe ich das so wie Du. Egal ob Medientage, Internet World oder auch Barcamps. Wann und Wo auch immer man hier zu Lande über OpenID spricht sind die Fragezeichen sehr sehr groß. Da hilft leider weder ein Verein noch die OpenID Foundations. Die wenden sich an uns, die wir uns mit dem Thema befassen. Um wirklich in der Breite Akzeptanz zu finden braucht es vernünftige und leicht zu benutzende Integrationen deren Vorteile sich dem Nutzer sofort erschließen (Henne-Ei lässt grüßen).

    Und genau in diesem Kontext habe ich Google kritisiert: Ich hänge sehr an der Idee eine zentrale URL als OpenID zu nutzen. Das stets verbunden mit dem Wunsch, auf dieser URL künftig ein zentrales Profil des Nutzers anzulegen, auf dem er entscheiden kann, welche der genutzten Services er aggregiert oder claimed. Also quasi eine Verbindung zwischen Identitätsnachweis und globalem Authenzitätsbeleg. Und genau das ist mit dem Schwenk auf E-Mail Adressen (bzw. Usernamen) nicht mehr möglich. Es fällt schlichtweg eine spannende Option weg, noch bevor man überlegen könnte, wie diese sinnvoll nutzbar ist.

    Würde Google einen Weg gehen der die OpenID in einer Form wie http://openid.google.com/ow... auszeichnet bliebe diese Möglichkeit – Nutzer müssten dann nur noch entscheiden, ob sie auch dieses wertvolle Gut in Händen von Google legen wollen…

  4. Oliver, als bekennder “Google kritisch betrachtender aber fasziniert Beoachtender” muss ich auch hier mal wieder sagen, dass zwei Herzen in meiner Brust schlagen: Ich finde es einerseits bedenklich, dass sich hier eine weitere Quelle für Verhaltensdaten auftut, die Google zentral sammeln und korrelieren kann. Andererseits halte ich die “GoogleID” für eine ausgesprochen praktische Angelegenheit – im Gegensatz zu meiner recht holprig zu handhabenden URL (http://markus.breuer.myopen...), die ich ständig vergesse ;-).

    Die entscheidende Frage bei einer Technologie, die um Massenakzeptanz buhlt, ist doch letztendlich “Convenience”. Und ich denke, da liegt es für die große Mehrzahl der Anwender erheblich näher, ihre Google-Adresse zu verwenden (oder ihren Yahoo-Account, MSN-Account, whatever) als sich bei einem der OpenID-Provider registrieren zu lassen. Und das wird de Akzeptanz gut tun.

    Ich kann Deine Bedauern über den Verlust der einen, zentralen Visitenkarten-URL nachvollziehen. Aber, ehrlich gesagt, habe ich das nie als eine Kernfunktionalität von OpenID angesehen (womit ich mich eventuelle täusche). OpenID war für in erster Linie immer eine Single Sign On Lösung – wofür eine ID aber keine URL benötigt wird.

    BTW: diese zentrale Visitenkarte kann jeder OpenID-Provider, der eine andere Art von ID als eine URL verwendet, problemlos implementieren, so wie Sebi das schon beschrieben hat: http://providerSLD.com/ID Ich sehe da wirklich nicht den Riesenunterschied.

  5. Erstmal btw – <3 Disqus – muss ich wohl doch auch selbst einbinden ;) Jetzt antworte ich erst Dir und dann Markus – hehe.

    zu der Lobby-Geschichte:

    *nods* – apropro Lobby Arbeit. Kennst Du schon den Open Web Podcast? http://openweb-podcast.de ;) Ich denke dadruch dass wir jetzt die Big Five im OpenID Business haben (Microsoft, Google, Yahoo, MySpace und AOL), werden wir da auch noch entsprechenden Marketing in diverse Richtungen (Anwender und Webseiten Betreiber) sehen.

    zu dem Email Punkt:

    Das hinter der URL meiner OpenID auch mein Anbieter neutrales Profil – sprich meine Identität im Netz – steht, predige auch schon seit den ersten Tagen ;) Ist eine super Sache und ja auch heute schon genauso möglich, indem man die Delegation Möglichkeit nutzt. Meine OpenID ist z.B. http://pixelsebi.com. Ich selbst hoste aber keinen eigenen Provider, sondern von dort aus wird einfach nur Richtung myVidoop.com delegiert.

    Ich sage an dieser Stelle mal vorraus, dass wir diese Delegation Option in Zukunft Standard mässig an ganz vielen Stellen im Netz vorfinden werden ;) so dass nicht jeder im HTML-Code rumfrickeln muss, sondern man ganz bequem einfach irgendwo eine Option findet, wo man einfach angibt, welchen OpenID Provider man nutzt und somit seine eigene Domain bequem als OpenID nutzen kann.

    Ich könnte im übrigen auch Stand gestern bereits pixelsebi.com mit der Google OpenId nutzen xD

    Und die Email-Geschichte ist im übrigen auch nicht zwangsweise ein Killer für diese Vision. Weil … damit das mit den Email-Adressen als OpenID funktioniert, muss eine “Email Adress to URL Translation” stattfinden. Das heisst letzten Endes zeigt die Email sowieso wieder auf eine URL.

    Damit das funktioniert gibt es drei Wege:

    1. Email-Hoster werden zu OpenID Provider und implementieren EAUT
    2. Email-Hoster bieten einfach nur eine Delegation an und implementieren EAUT
    2. Oder es muss Fallbacks (wie z.B. http://emailtoid.net) geben, die dann aber jeder Client der Email basierte OpenID's akzeptieren will kennen und anbinden muss.

    Wenn sich also letzten Endes das mit den Email-Adressen wirklich durchsetzen sollte – würde das mit hoher Wahrscheinlichkeit langfristig bedeutet, dass du auch oben im Browser eine Email-Adresse eingeben kannst und auf einer Webseite landest ;) (was ich ehrlich gesagt nicht uncool finden würde. Wieder eine Info weniger die auf die Visitenkarte muss ;)

    Darüber hinaus halte ich es im Moment für noch nicht ausgeschlossen, dass Google uns nicht noch so eine URL anbieten wird. Google hat schliesslich auch diese Profil-Seiten. Bin mir ehrlich gesagt sogar ziemlich sicher, dass man in Zukunft auch die URL zu diesem (schrecklichen) Google Profil als OpenID nutzen können wird.

    Übrigens: Auch jetzt kannst Du bereits eine URL von Google als OpenID nutzen – die ist allerdings nicht so schön wie deine und ist auf Grund der “Identity Delegation” auch Nutzer Neutral. Siehe dazu auch mein Blog Post mit Demo von gestern ;) http://pixelsebi.com/2008-1...

    Lange Rede kurzer Sinn: Die Frage ist ja, ob man die breite Masse der Leute wirklich an den Punkt bekommt wo sie verstehen, dass man eine URL zum Login benutzen kann. Aktuell sieht das eher so als, als wäre das nicht der Fall. Aber mal sehen. Wenn man sowohl URLs als auch Email-Adressen benutzen kann, ist es aber auch keine Tragödie und wird die Idee von der zentralen Identität im Netz auch nicht unmöglich machen. Vielleicht ist sie aber dann nicht mehr ganz so konsistent umgesetzt ;)

  6. Hey Markus :)

    Absolut – die Bedenken bzgl. Google teile ich mit Dir vollkommen. Wobei das allerdings ein generelles Problem sein wird. (was sich bei Google aber auf jedenfall nochmal stark verdichtet) Egal welchen OpenID Provider man nehmen wird: Dieser wird – in einer Zukunft in der OpenID sehr verbreitet ist – ziemlich genau wissen was man so macht. Und das birgt natürlich die üblichen Gefahren. Letzten Endes eine Art freiwilliger Vorratsdatenspeicherung ;) Wobei die spezialisierten OpenID Provider ja so nett sind und man die History in der Regel löschen kann. (jut – hohes Vertrauen in den Dienst ist trotzdem wichtige Vorraussetzung)

    Bin mal gespannt, was es da für Lösungsansätze geben wird. Ich plädiere da ja immer noch für eine generellen Lösung zur dezentralen Datenhaltung, so dass ich Dienste generell nicht mehr meine Personen bezogenen Daten selbst speichern lasse, sondern ich diese Daten – z.B. bei 1&1 und co. – hosten kann und Diensten (über delegated authorization) einfach nur Zugriff gebe. Aber ob sich das jemals durchsetzen wird :D Unwahrscheinlich. (Trotzdem ne coole Geschichte, die ich gerne mal umgestzt sehen würden. Könnte man nämlich weitesgehend mit OpenSocial API seitens 1&1 und co, abdecken)

    Und ich geb Dir recht: Google ist Convenience pur. Hab das gestern auch im Open Web Podcast erzählt: Als ich gestern die Google OpenID genutzt habe, hab ich sofort den großen Vorteil am eigenen Leib erfahren: ich bin halt immer in Google eingeloggt und spare mir damit in der Regel einen lästigen Login pro Tag.

    Und ich denke dass wird auch langfristig der maßgebliche Erfolgsfaktor für die OpenID Provider sein. Die Leute werden den OpenID Provider nehmen, bei dem sie sich eh immer (aus ganz anderen Gründen – Email, RSS-Reader, Social Network, Instant Messaging whatever) einloggen, da es dann einfach am “fluffigsten” funktioniert.

    Übrigens wegen deiner holprigen URL: Nutz doch das Delegation Feature und lenk eine von deinen Domains auf myopenid.com um – dann steigt die Convenience schonmal ein wenig :D

    Und zu guter letzt: Ich sehe in OpenID wirklich WESENTLICH mehr als nur Single Sign On :D Letzten Endes wird die OpenID auch zum Schlüssel für ein Web weite Synchronisation von Daten werden. Darüber wird halt viel Service-Discovery laufen und damit letzten Endes noch wesentlich mehr Convenience für den Anwender geschaffen werden können, als “nur” Single Sign On. Aber das ist sicherlich noch ein wenig Zukunftsmusik.

  7. Pingback: Promote the utility, not the technology at notizBlog - a private weblog written by Matthias Pfefferle

Kommentare sind geschlossen.