Hoofdontwikkelaar stopt uit onvrede met OAuth 2.0-specificatie

De belangrijkste ontwikkelaar die heeft gewerkt aan de OAuth 2.0-specificatie, wil niet langer zijn naam verbinden aan de standaard. Hij stelt dat de standaard niet langer te onderschrijven omdat deze te gericht is op enterprise-applicaties.

Hoofdontwikkelaar en -editor van de OAuth 2.0-specificatie, Eran Hammer-Lahav, stopt met het maken van de standaard. OAuth is een standaard om op websites in te loggen met bijvoorbeeld een Facebook- of Twitter-account. De schrijver werkte al vijf jaar aan de standaarden. Hammer-Lahav heeft zijn naam inmiddels al van de nieuwe standaard gehaald en legt in een blogpost uit waarom OAuth 2.0 zijn inziens een 'road to hell' inslaat.

Volgens de auteur zit het probleem in dat de standaard nu voornamelijk gericht is op de enterprise-wereld. Mensen uit de webcommunity en deelnemers uit de originele OAuth 1.0-groep zijn om die reden al eerder opgestapt. Volgens de schrijver wil de webcommunity een OAuth 2.0-implementatie die lijkt op de 1.0-specificatie, met slechts kleine verbeteringen. De huidige draft van de 2.0-versie van de standaard zou echter gemaakt zijn met keuzes in het voordeel van de enterprise-community. In plaats van een protocol is de standaard een heel vrij en uitbreidbaar framework geworden, waardoor volgens Hammer-Lahav met weinig moeite vrijwel alles OAuth 2.0-compliant kan worden genoemd.

De nieuwe standaard is volgens de ontwikkelaar complexer, minder uitwisselbaar, minder bruikbaar, incompleter en bovenal minder veilig. Gebruikers van een OAuth 1.0-implementatie zouden geen reden hebben om over te stappen naar een 2.0-implementatie, aldus Hammer-Lahav. Hij hoopt dat iemand een standaard wil schrijven die de 2.0-specificatie negeert en voldoet aan de eisen van de webcommunity. Hij besluit zijn blogpost met de woorden 'I failed. We failed'.

IT-banen

Reacties (28)

Kajel 29 juli 2012 17:37

T.net geeft een volkomen verkeerd beeld waar OAuth voor bedoeld is. Daarnaast legt het onnodig veel nadruk op Facebook en Twitter, waardoor er weer aanleiding gegeven wordt tot irrelevante comments over hoe Facebook en Twitter je via OAuth overal kunnen volgen.

OAuth is een standaard om op websites in te loggen met bijvoorbeeld een Facebook- of Twitter-account.

Dit is niet waar. OAuth is niet bedoeld om op een website in te loggen met accounts van Facebook of Twitter of andere services. Toegegeven, soms wordt het wel daarvoor gebruikt, maar dat is niet de oorspronkelijke en nog steeds belangrijkste gedachte achter OAuth. Het belangrijkste doel van OAuth is om jou als eindgebruiker van een service, en eigenaar/producent van jouw data (resources) bij die service, een 3de partij toegang te verlenen tot die data, zonder dat die 3de partij jouw gebruikersnaam of wachtwoord hoeft te weten. Je geeft bijvoorbeeld SongPop (3de partij) toegang tot jouw gegevens bij Facebook (service) zonder dat je SongPop jouw gebruikersnaam en wachtwoord van Facebook geeft. Je logt namelijk bij het leggen van de verbinding tussen Facebook en SongPop, in op Facebook, die daarna een "token" terugstuurt aan SongPop dat als vervanging dient voor jouw username/password. Je geeft daarmee SongPop toestemming om jouw Facebook resources te gebruiken.

Goede uitleg van Wikipedia:

It allows users to share their private resources (e.g. photos, videos, contact lists) stored on one site with another site without having to hand out their credentials, typically supplying username and password tokens instead. Each token grants access to a specific site (e.g., a video editing site) for specific resources (e.g., just videos from a specific album) and for a defined duration (e.g., the next 2 hours). This allows a user to grant a third party site access to their information stored with another service provider, without sharing their access permissions or the full extent of their data.

Ontopic: Na het blogbericht van Eran Hammer gelezen te hebben, moet ik tot dezelfde conclusie komen als zo vaak bij dit soort "breakups": er is geen enkele aanwijzing dat de betrokken partijen ook zowaar gepraat hebben. Er zal ongetwijfeld in allerlei interne kanalen, via mailings, nieuwsgroepen en irc overlegd zijn, maar daar blijkt niks over uit het blog bericht. Het lijkt nu alsof Eran Hammer het ergens niet mee eens was, en in plaats van dat kenbaar te maken, maar boos is opgestapt. De Linus Torvalds houding zeg maar. Ik vind het altijd zo jammer dat opzich goede initiatieven op deze manier eindigen

[Reactie gewijzigd door Kajel op 22 juli 2024 13:39]

Cronax @Kajel • 30 juli 2012 17:59

Opzich heb je gelijk, maar het is de taak van alle betrokken partijen om te communiceren, als er een dusdanig gebrek aan communicatie is geweest dat het voor één van die partijen grond is om op te stappen is dat slechts voor een deel de verantwoordelijkheid van die partij...als er een vergadering is dussen 2 van de 5 betrokken partijen kan je die andere 3 niet verwijten dat ze er niet aan mee deden als ze geen weet hadden van de hele vergadering...

Dit soort zaken is een van de redenen dat het beroep 'project manager'/'project lead' bestaansrecht hebben, die hebben onderandere tot taak om de communicatie in goede banen te leiden, helaas ontbreken dit soort mensen vaan op Open Source projecten en projecten waar meerdere bedrijven samenwerken...

ErrieR 29 juli 2012 12:54

Voor het werk gebruiken we voor verschillende enterpriseapplicaties OAuth om te authentiseren/authoriseren. Voor een simpele "mag applicatie x gebruik maken van functie y" werkt dit vrij eenvoudig, betrouwbaar en veilig.

Zo te zien is de standaard al aardig uitgebreid.
Je kan je dan afvragen waarom de "enterprise" het nodig vindt om de hele specificatie op de schop te doen. If it ain't broken, don't fix it.

simplicidad @ErrieR • 29 juli 2012 13:03

Je kan je dan afvragen waarom de "enterprise" het nodig vindt om de hele specificatie op de schop te doen. If it ain't broken, don't fix it.

Ah dat kan diverse redenen hebben bureaucratie, marketing en mogelijk ook commerciële motieven. Iets wat robuust is en niet gefixed moet worden, daar verdien je nu eenmaal weinig aan.

Ik snap het sowieso ook niet waarom men niet leert van de geschiedenis. Door de jaren heen heb ik verschillende specs oeverloos complex zien worden om dan gewoon weer vervangen te worden door iets wat terug naar de basics gaat en stukken "simpeler" is.

[Reactie gewijzigd door simplicidad op 22 juli 2024 13:39]

Dlocks @simplicidad • 29 juli 2012 14:56

Iets wat robuust is en niet gefixed moet worden, daar verdien je nu eenmaal weinig aan.

Ik snap even niet hoe de "enterprise" er geld aan kan/zal verdienen door maar 'redenen' te verzinnen waarom er een 2.0 versie zou moeten komen. Er dus vanuitgaande dat hypothetisch gezien 2.0 er helemaal niet hoeft te komen maar de enterprise dit zou willen omdat ze met iets wat robust is en niet gefixed hoeft te worden niets kunnen verdienen.

Het is niet dat de "enterprise" OAuth verkoopt aan derden o.i.d. en dat ze een 2.0 dan weer opnieuw kunnen verkopen.

[Reactie gewijzigd door Dlocks op 22 juli 2024 13:39]

MadEgg 29 juli 2012 13:02

Wat is de relatie van OAuth precies ten opzichte van OpenID? Dat is toch ook bedoeld voor single sign on?

Bouwt dit erop voort of is het een concurrent? Goed dat deze man in ieder geval bij zijn principes blijft, de grote bedrijven hebben al te veel invloed.

rickiii

@MadEgg • 29 juli 2012 13:18

Hier staat het goed uitgelegd: What's the difference between OpenID and OAuth? (StackOverflow)

Auteur

RedPixel @MadEgg • 29 juli 2012 13:23

OAuth en OpenID zijn een klein beetje anders van opzet. OAuth is bedoeld om beveiligd toegang te verschaffen tot gegevens (bijvoorbeeld tweets, je e-mailadres, etc.). OpenID is bedoeld voor single-sign-on. Waar je inlogt met je Facebook/Twitter, geef je meestal ook toegang tot het posten op je Twitter/Facebook, daarom gebruik je daar OAuth. OAuth kan via een omweg echter ook gebruikt worden als authenticatie (e.g. inloggen). Zie ook http://en.wikipedia.org/w...uthentication_using_OAuth

[Reactie gewijzigd door RedPixel op 22 juli 2024 13:39]

Verwijderd 29 juli 2012 12:40

ik heb geen Twitter. Ik heb geen FaceBook. Ga er ook "nooit" aan beginnen. Wat heb ik aan deze info? Bedoel dit niet negatief, maar wat betekent dit voor de toekomst van internet met bovenstaand in het achterhoofd?

wizekid @Verwijderd • 29 juli 2012 12:48

Ik denk dat je het bericht niet helemaal begrijpt.. Dit gaat over OAuth, een protocol om één uniforme login te hebben voor verschillende websites.

Facebook en Twitter zijn "slechts" gebruikers van het protocol. Al hebben ze op 2.0 best veel invloed uitgeoefend heb ik begrepen.

-Elmer- @wizekid • 29 juli 2012 12:53

Inderdaad, meer iets in de richting van SSO (Single Sign On) hetgeen voor zover ik weet een beetje dezelfde richtig is opgegaan - idee was perfect en een eerste versie ook maar toen heeft het een te commerciële inslag gekregen en sindsdien heb ik er weinig meer van geoord. Jammer - het is net als OAuth werkelijk een mooi principe en knap staaltje programmeerwerk.

dtech @-Elmer- • 29 juli 2012 21:22

Single Sign On is een eigenschap, geen protocol. SSO kan dus niet dezelfde richting hebben omdat het slechts een eigenschap is van een van de protocollen die het ondersteund (die natuurlijk wel enterprisey kunnen zijn zoals nu dus van oAuth 2.0 gezegd wordt)

CH4OS @wizekid • 29 juli 2012 14:11

Ik denk dat je het bericht niet helemaal begrijpt.. Dit gaat over OAuth, een protocol om één uniforme login te hebben voor verschillende websites.

Facebook en Twitter zijn "slechts" gebruikers van het protocol. Al hebben ze op 2.0 best veel invloed uitgeoefend heb ik begrepen.

Dan kan Facebook en Twitter nog wel van hun kant als voorwaarde stellen dat ze jou mogen volgen in wat je doet. Anders is een dergelijke login optie aanbieden ook niet interessant voor hen. Voor niets gaat de zon op.

[Reactie gewijzigd door CH4OS op 22 juli 2024 13:39]

Umbrah @Verwijderd • 29 juli 2012 12:52

OAuth-achtige technologieen zijn een vrij belangrijk onderdeel van ELKE moderne infrastructuur. Je moet het zien als drie-weg authenticatie:

Jij, als de gebruiker.
Dienst, als de facilitator
Dienst, als het middel.

OAuth is nu bijvoorbeeld in gebruik om een programma als Metrotweet gebruik te laten maken van twitter, zonder dat dat programma je gebruikersnaam en wachtwoord kent. Het is op die manier een token-uitwisselaar (ik heb een hele tijd terug een .net OAuth implementatie geschreven die op Twitter inhaakte). Doordat jij als gebruiker de eigenaar bent en blijft van je account, kun je rechten ook weer intrekken zonder in de configuratie van het middel te duiken. Stel dat je per ongeluk malware authoriseert: een faciliterende dienst kan een configuratie schermpje aanbieden hiervoor.

Nou heeft dit artikel het heel erg over Twitter en Facebook, maar op basis daarvan ben ik me er van bewust dat dit model ook is gebruikt voor academische wetenschappelijke security. Wat? Hoe? Simpel...

Grote server waar gegevens op gepost moeten worden
Een enkele point of access voor het research instituut wat ERG beveiligd is
Researcher die een bestand wil uploaden.

Logischerwijs zal de researcher het bestand naar z'n omgeving in het instituut uploaden en pas daarna het instituut het bestand naar de grote centrale server, maar wat als je nu een 3-weg token-authenticatie uitvoert en die indirecte route alleen voorziet van een file-hash? Tsja... dan kun je het grote bestand rechtstreeks opsturen... resultaat: 2TB minder aan overhead van je telescoop.

Dit is een drie-punt token based security systeem wat voor het web uiteraard erg nuttig is (ladingen websites en diensten die van elkanders gebruikers gebruik willen maken), en erg makkelijk, maar de toepassingen in het bedrijfsleven, LOS van web-technologie (want hoe veel HTML5 applicaties men ook predict, het is vaak NIET de oplossing), hebben bij dit soort specificaties ook ERG veel belang.

BlackwaterEl1te @Verwijderd • 29 juli 2012 12:47

Je zult waarschijnlijker makkelijker te volgen zijn.
Neem aan dat facebook en twitter wel zullen volgen op welke site je inlogt.

Yoshi @Verwijderd • 30 juli 2012 07:33

ik heb geen apple, wat betekent al dat apple nieuws dan? Maakt toch niet uit, het heeft nu eenmaal veel gebruikers... en heeft daardoor nieuwswaarde...plus het toont aan dat standaarden in het algemeen wss teveel voor bedrijven worden gemaakt....

Verwijderd 29 juli 2012 13:26

heel erg jammer 5 jaar ontwerpen en dan laten zitte....

Cameleon73 @Verwijderd • 29 juli 2012 13:52

Yep. Zoals de ontwikkelaar zelf ook zegt:

Removing my name from a document I have painstakingly labored over for three years and over two dozen drafts was not easy. Deciding to move on from an effort I have led for over five years was agonizing.

Het was uiteindelijk voortschrijdend inzicht (of "death by a thousand cuts" in zijn eigen woorden) waardoor hij deze keuze heeft gemaakt. Hij geeft trouwens vooral de schuld aan de manier waarop standaarden bij de IETF (Internet Engineering Task Force) tot stand komen. Dit is een traag proces, en kan leiden tot conflicterende situaties:

This outcome is the direct result of the nature of the IETF, and the particular personalities overseeing this work. To be clear, these are not bad or incompetent individuals. On the contrary – they are all very capable, bright, and otherwise pleasant. But most of them show up to serve their corporate overlords, and it’s practically impossible for the rest of us to compete.

Verwijderd @Cameleon73 • 29 juli 2012 14:02

Toch een dappere kerel moet ik zeggen als je op tijd durft te stoppen

Verwijderd @Cameleon73 • 29 juli 2012 16:09

Wanneer je onvoldoende onafhankelijk van de geldschieters/sponsors opereert, krijg je dit soort praktijken. Commerciele motieven vermorzelen de beste bedoelingen.

En nou kun je niet verder gaan via een 'independent submission', want dat zal weer conflicteren met deze IETF werkgroep (en dus daarmee een kansloze zaak is)...

Zonde.

Verwijderd 30 juli 2012 06:06

Facebook en Twitter hebben zoals hierboven vermeld weinig te maken met de OAuth plugin.
Het feit dat oAuth een bedrijfsmatige voorziening wordt, en er teveel invloed wordt uitgeoefend door derde bedrijven is Eran Hammer opgestapt.

Zijn visie kon niet voltooid worden, en oAuth wordt te groot en te uitgebreid. Ookwel te complex en niet wat hij daadwerkelijk zelf gewild heeft.

Zunflappie 29 juli 2012 19:21

Kan iemand mij uitleggen wat hier bedoeld wordt met de 'enterprise-producten'?
Ik heb geen idee, en het zal vast niet dat ruimteschip van Star Trek zijn.

Verwijderd @Zunflappie • 29 juli 2012 23:53

(bedrijfsmatige) aankoop van product naar wensen aangepast. Duurste van duurste zeg maar.

Verwijderd 29 juli 2012 23:06

Als je als lead niet tevreden bent met de richting van je project kun je inderdaad maar beter opstappen en het werk overlaten aan iemand die wel z'n vak verstaat.

SuperDre 30 juli 2012 09:45

Hij hoopt dat iemand een standaard wil schrijven die de 2.0-specificatie negeert en voldoet aan de eisen van de webcommunity.

Wat stopt hem om dan zelf daaraan te werken?

Verwijderd 29 juli 2012 14:35

Wie Facebook- en Twitter-trackers wil uitschakelen: installeer de Ghostery-plugin. Verbaas je over wat er allemaal gebeurt als je met je browser naar de voordeligste prijzen voor groenten en fruit zoekt, beangstigend vind ik het!

Op dit item kan niet meer gereageerd worden.

Hoofdontwikkelaar stopt uit onvrede met OAuth 2.0-specificatie

Lees meer

IT-banen

Reacties (28)

Sorteer op:

Weergave: