Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Mozilla heeft Persona, een authenticatiemechanisme dat het eenvoudig moet maken om in te loggen op een website, de bètastatus gegeven. In tegenstelling tot OpenID en Facebook Connect zou Persona de privacy beter beschermen.

Met Persona, voorheen bekend als BrowserID, volstaat het aanmelden op een website met een e-mailadres en wachtwoord. Daarbij vraagt de website die de dienst ondersteunt aan een authenticatieserver van Mozilla om de inloggegevens. Met deze single sign-on, die in alle browsers zou werken door middel van een pop-up-venster, hoeft de internetgebruiker niet langer voor elke website die het protocol ondersteunt een account aan te maken.

Volgens Mozilla is Persona, dat als opensource beschikbaar is, privacyvriendelijker dan soortgelijke diensten als Facebook Connect en OpenID, omdat het geen gegevens verstrekt aan derden. Bovendien weet Mozilla, dat authenticatieservers beheert, niet welke sites een gebruiker bezoekt, evenmin als andere authenticatieproviders. Verder zou een Persona-gebruiker nauwgezet kunnen bepalen welke informatie in zijn profiel is te vinden.

Mozilla meent ook dat Persona relatief makkelijk is te integreren in websites. Zo zouden slechts enkele regels javascript nodig zijn om Persona aan te roepen en er zijn extensies beschikbaar voor diverse cms-pakketten, waaronder Drupal en Serendipity. Mozilla hoopt dat browserbouwers op termijn ondersteuning voor het framework standaard gaan integreren.

Mozilla Persona

Moderatie-faq Wijzig weergave

Reacties (43)

Nog een authenticatiestandaard: http://xkcd.com/927/ . Daarbij weet ik niet of het nu zoveel voordeel heeft om dan je gegevens toe te vertrouwen aan mozilla. In dat opzicht is openID zelfs beter voor je privacy, omdat je zelf een authenticatieserver kan opzetten.
Persona is net zoals OpenID een gedecentraliseerd systeem. Het is niet meteen duidelijk maar het idee is niet dat Mozilla deze service blijft draaien. Hoe ze het zelf beschrijven is ongeveer als volgt:

Op het moment dat je je aanmeld/registreert geef je een e-mail adres op (bv user@example.com). Vervolgens spreekt de website een API aan in je browser die je doorstuurt naar de Identity Provider (IdP) 'example.com'. Hier verifieer je je identiteit tegenover je browser die je vervolgens terugstuurt naar de website.
Het mooie hiervan is dat bij je IdP niet bekend is bij welke website je inlogt. Bij alle partijen is slechts de informatie aanwezig die strikt noodzakelijk is omdat je browser voor tussenpersoon speelt, maar als website weet je wel zeker dat het e-mail adres 'echt' is.

Echter is hiervoor nodig dat:
  • Een e-mail provider als IdP optreedt
  • Je browser over de API beschikt
Helaas is dat op dit moment niet altijd het geval, daarom heeft Mozilla een tussenoplossing bedacht: ze bieden een fallback IdP aan. Deze IdP biedt het volgende:
  • De mogelijkheid om je e-mail adres te verifiëren voor als e-mail providers geen Persona support hebben.
  • Een javascript vervanging van de API voor als je browser deze niet heeft
  • Een verificatie API om het makkelijk te maken websites te verifiëren
Je kunt dus net als met OpenID zelf een provider opzetten, maar nu met een gebruiksvriendelijke inlogmethode: je e-mail adres.
Ook is het e-mail adres dat je als website krijgt altijd geverifieerd, iets wat met OpenID zeker niet zo is.
Wanneer ik dit goed begrijp kan iedereen dus met een willekeurig door hem beheerd emailadres, in feite anoniem, een ID aanmaken...... :?

Het beheer en gebruik van dit emailadres vormt dus de sleutel voor ID.

Dat betekend voor zover ik het kan overzien dat iedereen heel veel ID's kan aannemen ?

Sinds lange tijd ben ik zoek naar een manier waarop iedereen maximaal 1 volledig geanonimiseerd ID kan aannemen.

Mijn eisen: 1 ID per persoon, absoluut veilig voor de gebruiker.

Ik dacht dit via openID gevonden te hebben maar dit lijkt niet zo te zijn........ :?
Wanneer ik dit goed begrijp kan iedereen dus met een willekeurig door hem beheerd emailadres, in feite anoniem, een ID aanmaken...... :?

Het beheer en gebruik van dit emailadres vormt dus de sleutel voor ID.

Dat betekend voor zover ik het kan overzien dat iedereen heel veel ID's kan aannemen ?

Sinds lange tijd ben ik zoek naar een manier waarop iedereen maximaal 1 volledig geanonimiseerd ID kan aannemen.

Mijn eisen: 1 ID per persoon, absoluut veilig voor de gebruiker.

Ik dacht dit via openID gevonden te hebben maar dit lijkt niet zo te zijn........ :?
Wie geeft jou het recht om te eisen dat een gebruiker maar een id heeft? Voor de duidelijkheid, ik heb het dus over id's voor het openbare web. De enige instanties die dat zouden mogen afdwingen zijn overheden. Daarom is het zo enorm fout dat Facebook en Google+ eisen dat je je echte naam gebruikt. Excuse me!?

E-mail als id is helemaal zo gek niet. Ik heb me nog te weinig in Persona verdiept maar ik ga ervanuit dat je op je site/app ook alleen inloggen toestaat via vertrouwde IdP's.
Wie geeft jou het recht om te eisen dat een gebruiker maar een id heeft? Voor de duidelijkheid, ik heb het dus over id's voor het openbare web. De enige instanties die dat zouden mogen afdwingen zijn overheden. Daarom is het zo enorm fout dat Facebook en Google+ eisen dat je je echte naam gebruikt. Excuse me!?
nu haal je toch wel 2 dingen flink door elkaar,

1 wie geeft jouw het recht af te dwingen dat users maar 1 account per persoon mogen registreren.

2 wat geeft bedrijven het recht om anonomieme accounts te weren

dit zijn 2 totaal verschillende punten omdat...

1 is een punt waarin je kunt afdwingen dat mensen maar 1 account mogen hebben, zodat ze bijv een limiet hebben om de resources die ze gebruiken, dit is heel normaal in bijv multiplayer online spellen (oa tegen cheaten). maar kan ook prima werken om een verdien model in stand te houden, is iemand het er niet mee eens moet ie maar een andere dienst zoeken en de jouwe links laten liggen.

2 is een wat ander gehaal, want daar gaat privacy een rol spelen, zolang ik immers met naam en toe naam op facebook en google+ sta zal ik niet erg geneigd zijn om kritiek op de overheid te plaatsen, misstanden aan te kaarten via deze media.. want voor je het weet zit je in gitmo (of het haagse iquivilent.

dat 2e is een klalijke zaak, maar zolang het eerste niet door gebruik van het 2e word gehandhaafd is het prima mogelijk (en acceptabel) dat er restricties liggen op het aantal accounts per persoon... de vraag is alleen of en hoe je dit technische mogelijk kunt maken zonder nu juist de stappen uit punt 2 (persoonlijke identificatie)...
Ik zal het allemaal wel weer te snel gelezen hebben op de iPhone. ;) Ik wilde dus alleen reageren op :
Mijn eisen: 1 ID per persoon, absoluut veilig voor de gebruiker.
En in mijn ogen is dat eerste niet te doen op het internet. Je kunt wel eisen dat je moet betalen per account en dat een id (e-mail) adres gekoppeld moet zijn aan bijv. een credit card. Dat laatste doe je binnen je eigen site/applicatie.

Trouwens het zou zelfs zo kunnen zijn dat Idp's er voor zouden kunnen zorgen dat het e-mail adres aan 1 persoon gekoppeld is. Nu nog te vroeg hoe de Idp's eruit gaan zien. Maar in theorie zou DigiD 8)7 zich kunnen opwerpen als een Idp voor Nederlandse sites.
Het gaat mij in eerste instantie eigenlijk helemaal niet om iemands ID.
Dat is iets secundairs wat een sleutel zou kunnen zijn tot: 1 persoon per 1 "account".

Ik ben op zoek naar een systeem waarbij iedereen maximaal 1 "account" heeft waaronder hij / zij een enquete over kwaliteit kan invullen.

Wanneer personen meerdere keren dezelfde enquete zouden invullen geeft dat een vertekend beeld. Zie het als stemmen*, een mooi recht maar wel iedereen 1 keer.
*Stemmen doe je ook anoniem ondanks dat dit alleen op ID mogelijk is.

N.B. ik wil hier geen geld mee verdienen, het is iets ideologisch wat hopelijk gratis blijft.
Persona garandeert niet één account per persoon. Het garandeert wel een echt e-mail adres. De beste manier om aan jouw eisen te voldoen zou het gebruik iets als DigID zijn, maar ik denk niet dat je daar zomaar gebruik van mag maken.
1 ID per persoon is ommogelijk, hoe kun je voorkomen dat mensen uberhaubt andere IDs maken ?
Dank voor je uitleg.

Het zwakke punt hierin lijkt me dus de browser. Dit is leuk voor situaties waarin je je browserinstallatie kan vertrouwen, maar wat gebeurt er als ik in een internetcafe zit? Gaat die browser daar dan proberen om mijn "persona" te beheren? :?
De computer waar je op werkt zal natuurlijk altijd het grootste risico zijn. Ik denk dat je wat Persona betreft je beter druk kan maken om keyloggers dan om een aangepaste browser (je typt immers nog steeds een wachtwoord in).

Je browser krijgt cryptografische gegevens van je IdP om je gebruik te laten maken van je persona, deze cryptografische gegevens kunnen natuurlijk langer bewaard blijven dan de bedoeling is. Hier is waarschijnlijk wel veel geknoei voor nodig, waarmee je niet eens veel bereikt. Het loggen van een wachtwoord van je Persona is dan veel interessanter.

Het lijkt mij niet ongevaarlijker om in een internetcafé je Persona te gebruiken dan het zou zijn als je handmatig alle gebruikersnamen en wachtwoorden intypt op elke website. Maar je hebt (met mijn huidige kennis van Persona) wel een punt.
Het wordt helaas niet in de tekst vermeld maar het is ook mogelijk om je eigen BrowserID authenticatie server [1] op te zetten [2] zodat je dus volledig onafhankelijk bent van Mozilla. O.a. in een gesloten enterprise omgeving is dit interessant.

Een van de voordelen van Persona ten opzichte van OpenID is dat eindgebruikers gewoon met hun eigen e-mailadres kunnen werken (edit: zoals silexh hieronder ook terecht opmerkt).

[1] https://developer.mozilla...dentity_Provider_Overview
[2] https://developer.mozilla...mplementing_a_Persona_IdP

[Reactie gewijzigd door SlaSauS op 27 september 2012 21:40]

Dat bedacht ik me dus ook: Mozilla is afaik een Amerikaans bedrijf wat onder de Big Brother wetgeving valt. Kun je hier niet impliciet mee inloggen (en dan bedoel ik Mozilla) op alle sites waar je je authenticeerd?

Kan ome Sam bij alle gebruikers mooi even meekijken op alle websites, ook die buiten de VS staan...

Nee dank je, dan ben ik met mijn Europees gehoste (en niet in een Amerikaanse cloud) OpenID server toch een stuk blijer :-)

[Reactie gewijzigd door Cyberwizzard op 27 september 2012 19:06]

Ik denk dat Mozilla hier de Patriot Act gedeeltelijk mee omzeilt. Ze hebben inderdaad je username/password maar het is onbekend voor welke sites het gebruikt wordt. Er ontbreekt dus een puzzelstukje.
Trouwens, openID op een Europese server zegt ook niet zo veel. Heeft de hoster dan wel de eigenaar van het datacenter een kantoor in de VS? Dan is het bedrijf alsnog onderhevig aan de PA. En als dat niet het geval is dan zijn er inmiddels l aardig wat voorbeelden van Europese bedrijven die zonder twijfelen alles overdragen aan de VS, zie MegaUpload. Zelf hosten is natuurlijk een optie, zolang de locale wetgeving niet vereist dat je je encryptie iets afstaat aan justitie.
Als jullie ook even de link in de tekst gevolgd hadden, zouden jullie geweten hebben dat je evengoed je eigen Persona-server kan draaien... :)
Gelukkig hebben ze goed na gedacht over de naamgeving.... Personas het personalisatie frameworrk om je browser te pimpen.
Ik denk dat de originele Personas nooit zo'n hele goede naam was.

Dat project is dan ook hernoemt:

"In case you’re curious, out of more than 1,000 responses to our naming poll, “themes” came in second place with 22% of the votes behind “skins” with 41% of the votes. We considered “skins”, but it drew many negative reactions and associations, and we ultimately felt it’s less confusing to users if we unify all of our themes under a single name."
Plugins links voor de meest bekende CMS:
Wordpress: http://wordpress.org/extend/plugins/browserid/
Drupal: http://drupal.org/project/browserid
Joomla: Bestaat wel, extension link dood, unpublished [1]
MyBB: https://github.com/Rudloff/mybb-browserid

Rest van de plugins/libraries hier te vinden:
https://github.com/mozilla/browserid/wiki/Persona-Libraries

[Reactie gewijzigd door rctgamer3 op 27 september 2012 22:45]

Hoe veilig is dit nou als je alleen maar een paar javascript bestanden nodig hebt in een CMS?
:') Is dit een serieuze vraag? Het aantal regels code wat iemand op zijn website moet implementeren bepaalt de veiligheid?

Er zit een enorm systeem achter op de servers van Mozilla. Mozilla heeft blijkbaar daarnaast rekening gehouden met het feit dat het makkelijk te integreren moet zijn op een website. Dit is prima te doen met een goed ontworpen webservice. Daarom volstaat een klein stukje Javascript code blijkbaar om het te integreren.

[Reactie gewijzigd door Sh4wn op 27 september 2012 19:09]

:') Dat zeg ik niet? Een stukje javascript dat je achteraf in je site implementeert om te checken of je wel of niet ingelogd bent lijkt me toch niet zo veilig als de andere methoden.

[Reactie gewijzigd door Bose321 op 27 september 2012 19:25]

Kan je ook aangeven waarom dit minder veilig is? Token based authenticatie heeft aan de cliënt zeiden vaak weinig code nodig en wordt reeds veel gebruikt in verschillende systemen. Zonder argumenten is het idee natuurlijk makkelijk af te kraken.

On topic: Ik verwacht niet dat deze dienst aanslaat. Pas als meerdere (populaire) sites Persona gaan gebruiken gaan gebruikers hier een account aanmaken. Zolang Persona echter weinig ondersteuning heeft van sites hebben gebruikers geen reden zich aan te melden. De wel bekende visuele cirkel. Sites als Facebook hebben een grote gebruikers groep gekregen door een andere service en is daarom snel populair geworden als authenticatie methode op andere sites.

Het protocol uitgelegd in 1 plaatje: https://developer.mozilla...tificate-provisioning.png
De wel bekende visuele cirkel.
Ahum. Bedoel je niet een vicieuze cirkel?
Chicken-egg probleem nietwaar?

Facebook is geen veilige single-sign service. Daar hoeven we niet lang over te discussieren.

Open-ID (ouder dan fb) is wel een redelijke single-sign on service, maar de ontwikkelaar gaf aan het begin al duidelijk aan, dat dit een tijdelijke oplossing is. Er zijn menig conceptuele dingen mis.

Wat blijft er dan nog over? Windows Passport valt in de FB categorie en heeft gelukkig nooit echt aangeslagen en G+ is volgens mij geen SS, maar dat weet ik niet.

Nu komt mozilla dan eindelijk met 'de oplossing' Goed bezig! zou ik zeggen. Je kan je eigen server draaien. ISP's kunnen hun eigen server draaien, maar hoeft niet, Mozilla heeft daar een work around voor.

Het enige wat ontbreekt, wel het grootste 'punt' is de gebruikers basis. Als persona een veilig en goed product is, komt dit hopelijk vanzelf, al kan dit wat moeite kosten.

Edit: Zoals ik het in eerste instantie begrijp, zou een ISP b.v. dan ook het systeem zo kunnen inrichten, dat men direct met hun e-mail +wachtwoord (dat ze ook voor de mail gebruiken) kunnen inloggen. Dus ze hoeven in dat geval geen account aan te maken. En dus als b.v. ISP's en Gmail 'idp's worden, zijn we al een heel end.

[Reactie gewijzigd door oliveroms op 28 september 2012 13:44]

"Ik verwacht niet dat deze dienst aanslaat."

Dat zou ik niet willen zeggen, de implementatie in websites is super simpel.

Het originele doel in 2009, oid. van Mozilla was om het in de browser interface in te bouwen.

Het javascriptje wordt dan alleen gebruikt in browsers die ondersteuning niet hebben ingebakken.

Dat maakt het voor de gebruiker ook heel simpel te gebruiken.

Hier wat ideeen:www.flickr.com/photos/azaraskin/4128966575/sizes/l/
https://wiki.mozilla.org/images/a/a8/PersonalIdentity.png

mockup/demo met klikbare afbeeldingen:

http://people.mozilla.com...firefoxAccount/index.html
Omdat dus de site waar het op gebruikt wordt niet over de gebruikers data beschikt maar alleen over het feit dat de login gelukt is+ waarschijnlijk de gebruikersdata die de gebruiker zelf afgeeft.
Eigenlijk vindt ik dit systeem best goed klinken! Een beetje de logische opvolger van OpenID. Alleen het centrale server gebeuren bevalt me iets minder. Hoe moet je bijvoorbeeld inloggen als mozilla er even uit ligt?

edit
oke, dus geen centrale servers :)

[Reactie gewijzigd door markg85 op 27 september 2012 22:24]

"Any domain can become an Identity Provider as long as relying parties are willing to trust the certificates issued by that domain. We expect email providers to act as an IdPs for the addresses they administer, making the user experience of Persona seamless for those users. It allows the user to leverage their existing relationship with the email provider when authenticating at other sites."
bron

Tijdens deze beta fase onderhoudt Mozilla zelf enkele servers (idp's). Maar je kan je eigen idp opzetten.
Er is geen "centrale server", de server van Mozilla is de "backup server" voor wie geen andere Persona-server heeft.
Voor een howto: <https://developer.mozilla.org/en-US/docs/Persona>
En voor de luie mensen onder ons. Deze is aanklikbaar:
https://developer.mozilla.org/en-US/docs/Persona
dank, was zelf ook wat lui.
Nadeel van OpenID is dat het browser-only is. Nou snap ik dat Mozilla dat wel een prima idee vindt, maar ik niet. Ook vanuit native apps is een SSO handig. Sterker nog: liever zie ik dat dit soort features door de browser zelf worden afgehandeld, zoals good old HTTP authentication.
Mozilla is van plan om Persona native in Firefox te ondersteunen, maar om te zorgen dat het ook met andere browsers werkt hebben ze gezorgd dat die gevallen in JavaScript kunnen worden ondersteund.
Interessante opmerking!
Ik denk inderdaad dat dit soort systemen juist ook als API voor integratie in apps beschikbaar moeten komen. Mobiel wordt een steeds belangrijker platform, en apps zijn heer en meester in de mobiele wereld. Op een prettige manier inloggen op services via apps is nog steeds een beetje onontgonnen terrein...
Goeie ontwikkeling normalisatie is alles op dit gebied!

Nu hopen dat het aanpakt, persoonlijk vind ik het gebruik van Google account het beste. Immers heeft bijna iedereen wel een gmail. Als dit van de grond moet komen moeten of mensen massaal een account gaan aanmaken in Persona of de websites die het integreren moeten het verplichten. }:O
Normalisatie ? Je bedoelt een standaard ? Er is een IETF WG die met BrowserID/Persona bezig is.

Nou, ja een deel van het BrowserID protocol dan:

http://datatracker.ietf.org/wg/jose/charter/
Opmerkelijk hoe je het een goed idee vindt dat iedereen een account heeft bij een commercieel advertentiebedrijf en dat als single-sign-on wilt gebruiken... Ik vind dat alles behalve een goed idee. Ik heb dan ook geen google-account.
Ik weet niet of ik hier erg blij mee moet worden.
Voor mij persoonlijk is het makkelijk, maar ....

Hoe gaan ze spamproblemen oplossen?
Op deze wijze wordt drive-by spamming toch wel enorm makkelijk. Op de "oude wijze" (inlog maken, wachten op mailtje, linkje klikken, terug naar de site) heb je daar al veel last van, maar nu zouden ze dus direct kunnen posten.
Dit is niet "onveiliger" dan met het mail linkje. De bedoeling is alleen dat je niet meer op het mailtje moet wachten.

Of je email provider ondersteunt het al en je moet inloggen met het wachtwoord van je mail
Of je moet de dienst van Mozilla gebruiken en je moet eenmalig op een linkje klikken
Klinkt goed, Mozilla is een van de weinige bedrijven die ik met zo'n service zou vertrouwen, mits het ook echt zo privacy-veilig gebouwd is als ze zeggen.
Als je het niet vertrouwd kun je altijd nog naar de source kijken en/of je eigen servers opzetten:

https://github.com/mozilla/

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True