Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

Yahoo gaat het identiteitsframework Openid omarmen. Eind deze maand begint het internetbedrijf met een publieke bta, waardoor gebruikers die in het bezit zijn van een Yahoo-id op negenduizend websites kunnen inloggen.

Openid moet een einde maken aan het steeds afzonderlijk inloggen op websites. Het 'webpaspoort', uitgevonden door 'web 2.0-guru' Brad Fitzpatrick, wordt onder andere door Microsoft, Google, Wikipedia en AOL gebruikt. Momenteel zijn er ongeveer 120 miljoen Openid-accounts, maar doordat Yahoo mee gaat doen, loopt dit aantal op tot 368 miljoen gebruikers. De bta van Yahoo start 30 januari.

Onduidelijk is nog of gebruikers die zich bij een andere Openid-deelnemer hebben ingeschreven ook toegang kunnen krijgen tot de Yahoo-diensten. Op de website van Openid is een lijst te vinden van websites die Openid ondersteunen.

OpenID bij Yahoo
Moderatie-faq Wijzig weergave

Reacties (32)

Momenteel zijn er ongeveer 120 miljoen Openid-accounts
Wat een vreemde statistiek. Iedereen kan namelijk zijn eigen OpenID server draaien. Het hele systeem is niet centraal. Dus het is nooit bekend hoeveel openid-accounts er zijn.
Onduidelijk is nog of gebruikers die zich bij een andere Openid-deelnemer hebben ingeschreven ook toegang kunnen krijgen tot de Yahoo-diensten. Op de website van Openid is een lijst te vinden van websites die Openid ondersteunen.
Lijkt me van wel, waarom zou je anders OpenID gaan gebruiken. Het is namelijk niet veel meer dan authenticatie delegatie en centrale profiel informatie (afhankelijk van je openid account provider kan je bepalen welke profiel info de site, waar je op inlogt, krijgt).

En de website van OpenID is http://openid.net/
myOpenID.com is een (best wel goede) OpenID provider.

[Reactie gewijzigd door elmuerte op 17 januari 2008 16:53]

myOpenID.com is een (best wel goede) OpenID provider.
Hoe weet je dat die goed is? Want zoals je zelf al concludeerde: Het hele systeem is niet centraal. Dus wie houdt er bij welke OpenID provider hoeveel accounts heeft? Welke goed is en welke misbruik maakt van de bij hun geregistreerde gegevens?

Daarnaast is dat OpenID-verhaal nog relatief nieuw: er zijn gewoon te weinig ervaringen om te kunnen beoordelen of een provider wel of niet goed is...
Ik weet niet hoe het werkt en ik zie vast iets over het hoofd, maar als ik me bij random website X (die OpenID gebruikt) registreer, wat weerhoudt hen er dan van om mijn yahoo mail te lezen?
Je weet niet hoe het werkt en je ziet iets over het hoofd ;)

Die random website weet je wachtwoord namelijk helemaal niet. Ze weten alleen dat je je wachtwoord weet.
Wie of wat checkt je wachtwoord dan, en hoe?
Voorbeeldje:

1) Jij gaat naar ma.gnolia.com en wilt inloggen via OpenID.

2) Je wordt doorgestuurd naar je OpenID provider (mijnopenid.nl, Yahoo! dus nu, of je eigen server).

3) _Daar_ vul je je wachtwoord in

4) De OpenID provider stuurt je terug naar ma.gnolia.com met een speciale code die aangeeft dat jij je inderdaad succesvol hebt geauthenticeerd (ik geloof dat onder water dan nog even snel door ma.gnolia.com een bevestiging aan de OpenID provider gevraagd wordt, voor de double check).
Wat weerhoudt de mensen van mijnopenid.nl dan om mijn yahoo mail te lezen? (hence de reden dat je een openid provider moet nemen die je vertrouwt, maar dat zit dus een zeker risico, toch?)

En als ik zelf een openid server draai, wat weerhoudt mij ervan om naar yahoo.com te faken dat ik op het yahoo account van mijn buurman inlog? Als ik een bevestigingscode voor mijn eigen account kan genereren, zonder dat yahoo kan controleren of ik cht het password kende, moet dat ook kunnen voor accounts waarvan ik niet echt het password ken, toch?

Kun je, als je eenmaal ergens een OpenID account hebt aangemaakt, nog switchen van OpenID provider?
Wat weerhoudt de mensen van mijnopenid.nl dan om mijn yahoo mail te lezen?

Weinig. Een eigen servertje is dan het meest veilig, inderdaad.

En als ik zelf een openid server draai, wat weerhoudt mij ervan om naar yahoo.com te faken dat ik op het yahoo account van mijn buurman inlog?

Yahoo! gebruikt OpenID vooralsnog alleen als provider. Dus, de authenticatie regelen voor anderen. Mochten ze al de andere kant op accepteren (dat je dus _bij_ Y! kunt inloggen met OpenID), moet je wel eerst 't wachtwoord weten van je buurman.

Voorbeeldje:
Yahoo! accepteert OpenID voor bijv. Flickr. Je buurman maakt een account aan bij Flickr met de OpenID URL: mijnopenid.nl/is/de_buurman
Jij moet dus nu bij mijnopenid het wachtwoord van 'de_buurman' weten.

Je kunt wel je eigen servertje draaien, maar je zult dan de DNS van mijnopenid.nl moeten ombuigen naar jouw server om jouw hack werkbaar te maken. Flickr (in het geval van boven) verifieert de aanmelding namelijk bij mijnopenid.nl ... en dat ben jij niet.

Kun je, als je eenmaal ergens een OpenID account hebt aangemaakt, nog switchen van OpenID provider?

Ja hoor, je kunt ook van email provider wijzigen :-)
Yahoo! gebruikt OpenID vooralsnog alleen als provider. Dus, de authenticatie regelen voor anderen. Mochten ze al de andere kant op accepteren (dat je dus _bij_ Y! kunt inloggen met OpenID), moet je wel eerst 't wachtwoord weten van je buurman.
Dus Yahoo gaat wel de authorisatie voor anderen regelen, maar accepteert zelf de standaard niet voor hun eigen service?
Met andere woorden, als ik al een OpenID heb bij mijnopenid.nl of mijn eigen server, en ik wil een email adres bij yahoo, dan kan Yahoo daar helemaal niets mee? (en moet ik dus nog steeds bij yahoo een apart email account aanmaken)
Yahoo! accepteert OpenID voor bijv. Flickr. Je buurman maakt een account aan bij Flickr met de OpenID URL: mijnopenid.nl/is/de_buurman
Sorry als ik verwarrende vragen stel, maar wat is in dit voorbeeld nou de rol van respectieveljik mijnopenid.nl, Flickr, en Yahoo? mijnopenid.nl is hier de openid provider (toch?), Flickr ondersteunt OpenID zodat iemand met z'n (bij mijnopenid.nl geregistreerde) OpenID account bij Flickr kan inloggen. Wat heeft Yahoo! er nu nog mee te maken?
Jij moet dus nu bij mijnopenid het wachtwoord van 'de_buurman' weten.

Je kunt wel je eigen servertje draaien, maar je zult dan de DNS van mijnopenid.nl moeten ombuigen naar jouw server om jouw hack werkbaar te maken. Flickr (in het geval van boven) verifieert de aanmelding namelijk bij mijnopenid.nl
Hoe/waarom, wat onthoudt Flickr precies? Dat er een Flickr account bestaat met het account 'de_buurman', of met het account 'mijnopenid.nl/de_buurman'? Met andere woorden, onthouden ze alleen een OpenID account naam, of ook de provider waar dat OpenID account is geregistreerd?
Kun je, als je eenmaal ergens een OpenID account hebt aangemaakt, nog switchen van OpenID provider?

Ja hoor, je kunt ook van email provider wijzigen :-)
Moet je dan ook bij alle 100 sites waarbij je je oorspronkelijke OpenID account hebt gebruikt, aangeven dat je nu bij een nieuwe provider zit?
(En hoe controleren ze dan of ik niet iemand anders ben die faket dat de_buurman van mijnopenid.nl is overgestapt naar mijnserver.nl?)

[Reactie gewijzigd door Juggalin_Juggalo op 20 januari 2008 11:04]

Wat weerhoudt de mensen van mijnopenid.nl dan om mijn yahoo mail te lezen?
Tja, dan kun je ook vragen wat Google ervan weerhoudt om jouw gmail te lezen, etc, etc...
Als blijkt dat mijnopenid.nl, of welke andere site die passwords beheert, illegale dingen doet met passwords, dan schieten ze zichzelf in de voeten natuurlijk.
Tja, dan kun je ook vragen wat Google ervan weerhoudt om jouw gmail te lezen, etc, etc...
Niets, maar daarom is het risico ook beperkt tot alleen de dienst die een site zelf aanbiedt. Verschillende accounts bij yahoo en gmail vormen dus voor elkaar geen risico.

Precies de reden waarom het ook onverstandig is om overal hetzelfde password te gebruiken.
Je logt in met een server in de login naam dus b.v. :
mijnopenid.nl/is/Juggalin_Juggalo

Via deze server site log je dus in, deze server weet je wachtwoord en houdt de gegevens bij. Je kan blijkbaar bij een server site verder aangeven tot welke gegevens een site toegang mag hebben en ik geloof dat een website ook gegevens kan toevoegen aan je account.
Je kan dus ook zelf een openid server draaien, zodat je je gegevens en wachtwoord zelf beheerd.
Lijkt sterk op Passport van Microsoft...?
Nee, Passport is gecentraliseerd, openID is decentralized (gedecentraliseerd ?), waardoor iedereen voor provider (partij waarbij de inloggegevens gecontroleerd worden op echtheid) kan/mag spelen.
Sterker nog, het stelt geen drol voor om zoiets in te regelen. Ik heb zelf nog mijn twijfels bij iets als OpenID. Het is bijvoorbeeld absoluut niet geschikt voor digitale handtekeningen.

Ook vind ik het een vreemd principe dat je als website een andere website moet vertrouwen wat betreft de inlog procedure. Het enige wat OpenID eigenlijk doet is aantonen dat jij de username en password weet van een openID url. Fijne daarvan is dat als je een OpenID provider gebruikt waar je in gelogd kan blijven je slechts 1 keer op je openid hoeft in te loggen per browser sessie. Overigens hou ik er wel van als ik daadwerkelijk naar mijn provider geredirect wordt en niet in de server van de bezochte site inline geforward wordt. Dat laatste is een geoorloofd mechanisme in OpenID. Sowieso lijkt OpenID me nogal gevoelig voor phishing. Lekker als je hele online leven aan 1 openID hangt.

Als je zelf een OpenID wilt gebruiken, maar je wilt niet vast zitten aan een bepaalde provider zoals Yahoo maar niet zelf OpenID provider wil spelen, gebruik dan op je eigen webpagina delegation. Wel zo prettig, want daarmee kun je ten alle tijden van OpenID provider wisselen zonder dat je OpenID url verandert. Wel zo fijn. Meer info:
http://www.windley.com/ar...g_openid_delegation.shtml

Als je zelf snel je eigen OpenID provider wil zijn (enkel een PHP host nodig):
http://siege.org/projects/phpMyID/

[Reactie gewijzigd door The - DDD op 18 januari 2008 00:26]

Het idee is en blijft heel goed. Alleen als web-developer doe ik er (nog) niet aan mee. Op dit moment is het grote probleem dat er weinig mensen OpenId gebruiken. En voor mensen is het een extra drempel om zich te registreren op jouw site.

Misschien maak ik later nog wel een hybride registreer/login methode. Om eigen gebruikers te behouden en gewoon laten registreren, maar ook OpenId mogelijk te maken.
Als web-developer doe ik er _juist_ aan mee. Niet alleen is OpenID fijn voor de eindgebruiker, _juist_ web-developers zou dit moeten aanspreken. Je hoeft geen routines meer te bouwen voor:
  • aanmelden
  • email verificatie
  • wachtwoord wijzigen
  • wachtwoord vergeten
Het hele account (authorisatie) gedoe wordt je gratis en voor niets uit handen genomen!

Tevens merk ik (als eindgebruiker) dat ook ik sneller geneigd ben om een kijkje te nemen. Ma.gnolia.com is een voorbeeld. Het boeit me niet genoeg om een heel formulier in te vullen, email adres door te geven etc. Nee hoor, gewoon even inloggen en je bent klaar. Ideaal!

Ik ben daarom ook _erg_ blij dat Yahoo! dit initiatief steunt (naast hun eigen implementatie: BBAuth). Nu de rest nog!
Het probleem is dat de gemiddelde eindgebruiker OpenID niet gebruikt. OpenID vind ik ook een goed initiatief, maar zo lang grotere sites als tweakers.net zoiets niet implementeren zie ik er weinig markt in.

Als iedereen OpenID zou gebruiken, zou ik het ook zeker implementeren. Maar op het moment is OpenID nog niet ver genoeg gegroeid om als vervanger voor jouw volledige authenticatie te dienen.

En dat vooral omdat het meerdere stappen nodig heeft om je te registreren:
  • Je komt op een site, en je wilt daar registreren.
  • Je moet je registreren bij OpenID voor je verder kunt (een externe site hiervoor geeft niet zo veel vertrouwen)
  • Dan moet je ook nog eens een OpenID provider gaan zoeken (nog een extra partij erbij)
  • Als je dat dan uiteindelijk allemaal gedaan hebt, kun je pas inloggen.
Op een gemiddelde site is het gewoon simpelweg de registatie procedure volgen (meestal maar 1 stap). Even op de link in de mail klikken en je kunt inloggen, met OpenID duurt dat langer.

Oke, OpenID heeft wel voordelen als de betreffende gebruiker al een OpenID heeft. En dan gaat het inderdaad ook veel sneller. Maar op veel sites wil je ook persoonlijke profielen, waardoor je nog steeds heel veel gepruts moet gaan uitvoeren met OpenID, en heb je eigenlijk nog steeds een registratie procedure.

En ik zeg ook in mijn post:
Misschien maak ik later nog wel een hybride registreer/login methode. Om eigen gebruikers te behouden en gewoon laten registreren, maar ook OpenId mogelijk te maken.
Straks dus nog maar 1.. steeds meer sites stappen over op OpenID en er komen dus steeds minder passports en aparte logins.

Uiteindelijk zullen er toch nog wel een paar identity systemen overblijven, maar die zouden wel allemaal via OpenID kunnen werken. Iedereen kan een OpenID provider opzetten en elke OpenID ondersteunende site kan die mensen dan authenticeren. Je laat je persoonsgegevens dus alleen bij je OpenID provider achter en als je niemand vertrouwd, open je toch gewoon je eigen provider!
voor iedere webwinkel, mmo, community website om maar een paar voorbeelden te noemen.
Ik kwam in de beta van Joomla ook al een loginmodule van OpenID tegen. Denk dat dit steeds algemener gaat worden.
Hartstikke leuk dat ook Yahoo deze techniek omarmt. Maar voor een oerhollandse OpenID-url kan je natuurlijk terecht op http://mijnopenid.nl!
Het idee is geweldig, lijkt me. Erger me altijd aan al die verschillende accounts en vanuit veiligheid veel verschillende wachtwoorden.
OpenID zou dit op kunnen lossen. Maar ik wacht nog wel, met Yahoo heb ik niks te maken en de lijst van alle ondersteunende websites zegt mij nul komma niks: Ik ken er geen een van.
Yahoo is dus de eerste die dit initiatief ondersteund, maar dat haalt mij nog niet per s over. Mocht Gmail nu ook bereid zijn, dan wordt het wel interessant. Hoop dan ook dat sites zoals Hyves(en gerelateerden), Hotmail, Flickr, Youtube hiermee kunnen gaan werken dan.
Drupal heeft sinds versie 6 ook ingebouwde OpenID support. Best wel handig dat er dus steeds meer CMS'en/frameworks OpenID ondersteunen :)
Ik hoop dat dit niet betekend dat de diensten van Yahoo! veranderen... nieuwe mail is fantastisch zo, net als yahoo go en de rss ondersteuning, yahoo finance etc..
Waarom zouden de diensten veranderen als ze van login mechanisme switchen??

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True