Verslag van 'OpenID in de Praktijk' op 12 mei

Vandaag was ik aanwezig bij het event ‘OpenID in de Praktijk‘ om te kijken wat de status van OpenID in Nederland is. Vooral de introductie door Chris Obdam (Stichting OpenID Nederland), het beveiligingsverhaal van Christiaan Roselaar (ITSec) en het verhaal over Hyves als OpenID provider van Yme Bosma (Hyves) waren interessant. Conclusie is dat de interesse er is, maar het is allemaal nog erg pril. Internationaal is men een stuk verder.

Chris Obdam

Chris Obdam van de Stichting OpenID Nederland trapt af met een introductie over OpenID. Hij vergelijkt de procedure van Redirection van OpenID met die van iDeal. Daar wordt je vanaf de webwinkel ook naar de site van je bank gestuurd en achteraf weer terug. Verder legt hij kort het verschil tussen OpenID SREG (Simple Registration, waarbij je toegang kunt krijgen tot 9 attributen van de gebruiker) en OpenID AX (Attribute Exchange, waarbij je toegang hebt tot veel meer attributen) uit. Ik zal hier volgende week in een artikel verder op terugkomen. Chris verwacht daarnaast dat DigiD zal worden gekoppeld aan OpenID en niet zal worden vervangen door. Het zal dan gebruikt gaan worden als verificatiedienst en niet langer als authenticatiedienst. DigiD heeft namelijk toegang tot geverifieerde NAW gegevens en dat is zeer waardevol op internet. Als laatste vertelt Chris dat Uservoice.com door de integratie van OpenID een 25% conversieverbetering wist te bewerkstelligen. Dit komt omdat OpenID het inlog- en registratieproces vele malen kan versimpelen en kan versnellen.

Christiaan Roselaar

Christiaan Roselaar van ITSec probeert ons als advocaat van de duivel te laten inzien dat OpenID niet zaligmakend qua veiligheid is. Er zijn bijvoorbeeld geen certificaten om de echtheid van een Relying Party (acceptant) en Identity Provider vast te stellen, is de gebruikte encryptie niet sterk genoeg en is OpenID gevoelig voor Phising. Ook kaart hij aan dat de Identity Provider precies weet waar en wanneer je inlogt, wat privacy issues met zich mee brengt. Verder moet men er ook rekening mee houden dat er implementatierisico’s kleven aan de kant van de Identity Provider. Wat gebeurt er als er een backup-tape wordt verloren? ZIjn die gegevens dan encrypted? En wordt het personeel gescreend wat bij de servers kan? Anders verdwijnt die backup-tape misschien wel niet per ongeluk. Dit zijn volgens Christiaan Roselaar inderdaad allemaal beren op de weg, maar ze moeten wel overdacht worden. Hyves als Social Network en als Identity Provider brengt andere verantwoordelijkheden met zich mee.

Om te relativeren dat OpenID niet onveiliger is dan bijvoorbeeld DigiD wordt er live op het podium een demonstratie gegeven. Een bezoeker logt in op het beveiligde gedeelte van Beverwijk.nl met zijn DigiD gegevens. Achteraf wordt er door de telefoon door een medewerker van ITSec doorgegeven wat de logingegevens van deze bezoeker waren. Dit lek blijkt op meerdere gemeentesites aanwezig te zijn. Hmm….

Yme Bosma

Hyves vertelt over de Mysteryland CaseNa de pauze vervolgt Yme Bosma met een verhaal over Hyves als OpenID Identity Provider. Hij vertelt dat Hyves Connect bestaat uit OpenID, OAuth, Open Social en de Hyves API’s. De Hyves API’s worden trouwens binnen enkele maanden compatible met die van OpenSocial REST, wat goed nieuws is voor developers. Ook test Hyves met een OpenID implementatie waar gebruik wordt gemaakt van een Pop-up (zoals bij Facebook Connect) in plaats van Redirection en heeft Hyves een geoptimaliseerde versie draaien van de OpenID landingpage voor mobiele browsers. Yme legt verder uit hoe Hyves omgaat met OpenID en OAuth en het verstrekken van gegevens: Via OpenID AX heb je toegang tot publieke gegevens en het is een statische interface. Met OAuth krijg je toegang tot zowel je publieke als prive gegevens en kun je acties uitvoeren via de achterliggende API’s. Hier is voor gekozen omdat OAuth een betere gelaagdheid biedt voor de toegang tot API’s. OpenID AX is gebouwd voor de identificatie en OAuth voor authentificatie.

Hyves stelt zich open voor derde partijen om het sociale netwerk op Hyves op andere plekken relevanter te maken. Hyves maakt hiervoor gebruik van OpenID en OAuth omdat het voor de consument “makkelijk en veilig” is en voor de developer “simpel en standaard”. Met dat laatste bedoelde Yme dat er gebruik wordt gemaakt van Open Standaarden. Het grootste nieuws van vandaag is echter dat Hyves binnenkort naast OpenID Identity Provider ook een OpenID Relying Party zal worden. Het wordt mogelijk om een OpenID account van een derde partij te koppelen aan een bestaand Hyves account en voortaan in te loggen met OpenID. Hyves is hiermee het tweede grote Sociale Netwerk dat Relying Party zal worden. Facebook kondigde dit enkele weken eerder al aan.

Er valt nog veel te evangeliseren

Het was een interessante middag, maar er is nog een hoop evangelisatie te verrichten in Nederland. Afgelopen weekend sprak ik hier al over met Chris Messina, board member bij de OpenID Foundation. Hij gaf in ons gesprek aan dat er voor de OpenID Foundation ook in Nederland nog een belangrijke rol is weggelegd. Met grote partijen als Facebook, Google, Microsoft, Yahoo! en IBM achter zich zullen zij in staat zijn om ons te helpen OpenID te promoten en de acceptatie te vergemakkelijken.

Leave a comment