Fellig.org - Furry Arts and more...


[login] [Languages: Deutsch English Naylte Lapine Russian Español Suomi ]

OpenID, Privathsphaere, Random-Handle

by ph3-der-loewe

Avatar of ph3-der-loewe
Species: lion (Panthera leo senegalensis)
OpenID, Privathsphaere, Random-Handle 2008-02-03 16:38:13.038499
flum ihr da draussen,

geht mir um folgendes:
OpenID hat unter anderem die schwaeche das jeder User ueber Seiten hinweg erkannt
werden kann das es sich um die selbe Person handelt: Das handle ist immer gleich,
so koennen Seiten datenaustauschen. Dies ist ein gigantisches Datenschutz
Problem.

Die Idee die ich habe ist das man 'Random-Handle' einfuert: Das Handle ist nicht
mehr mit einem User direkt verknuepfbar. Das einzige Problem ist: Das Handle muss
fuer jede Webseite immer das selbe sein. Sprich es muessen Informationen vorgehalten
werden welcher User auf welcher Seite welches Handle benutzt. Ich haette bauchschmertzen
dabei diese Daten vor zu halten, da so ein 'digitales Bewegungsprofil' von den Usern
ja bei mir in der DB liegen wuerde.

Was meint ihr dazu? was gibt es da als ansetze?
---
Philipp.
  (Rah of PH2)

<Tiger-Force> je mehr pläne ich hab, desto mehr plan hab ich!
by stephan48

Avatar of stephan48
Species: Mensch
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 17:15:15.768705
meine idee wäre das man sozusagen aus einem voreingestellten handle und dem domain
namen der seite die die anfrage stellt einen handle erzeugt der eben so lange die
domain der seite sich net ändert gleich ist

by ph3-der-loewe

Avatar of ph3-der-loewe
Species: lion (Panthera leo senegalensis)
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 17:18:53.598311
reflum,

du meinst so ala:

webseite http://www.some-service.com/ will OpenID und wir machen dann sowas draus
wie: http://some-service.com.random-openid.fellig.org/hfdiksdkas
?

ist das die idee?

die frage ist dabei nur wie das ist mit mehren usern und dem zufaelligen string?
muesste man sich ueberlgene. also eine art hash($user + $domain)?
---
Philipp.
  (Rah of PH2)

'Bedaure nicht den blinden Wanderer, denn er wird nicht durch das Dunkle dieser Welt
behindert, 
bedaure lieber dich selbst, denn er wird vor dir das Licht sehn.'
by stephan48

Avatar of stephan48
Species: Mensch
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 17:32:49.966819
naja ich dachte eher an so was wie z.b. webseite http://www.xyz.com will die openid
von dem user "abc" haben und daraus wird dann z.b. https://abc-www.xyz.com.openid.fellig.org

by ph3-der-loewe

Avatar of ph3-der-loewe
Species: lion (Panthera leo senegalensis)
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 17:35:49.312824
reflum,

das Problem ist das dann ja der Username/Userid recht leicht heraus zu finden ist.
Muss schon ein Einwegverfahren sein, irgend eine Art von Hash, aber Kollisions sicher,
bzw. hochgradig Kollison unwarscheinlich.
---
Philipp.
  (Rah of PH2)

/Grade GewuerzGurke GeGessen/ (H.E.)
by stephan48

Avatar of stephan48
Species: Mensch
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 17:38:52.089283
könnt man dazu nicht eventuell md5 oder so nehmen da ja md5 nahe zu

unmöglich zu entschlüsseln ist 

by ph3-der-loewe

Avatar of ph3-der-loewe
Species: lion (Panthera leo senegalensis)
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 17:42:31.058961
reflum,

MD5 ist seit Jahren gebrochen und sollte beim besten willen nicht ernsthaft mehr
eingesetzt werden fuer irgentwas. Ich setze im moment nur noch auf 'SHA2'[0] und
lasse SHA1 langsam auslaufen.


[0] 'SHA2' ist ein kunstword, es bezeichnet eine famileie von algos, heissen alle
SHA-grosse-nummer :)
---
Philipp.
  (Rah of PH2)

'Aroden nahm seine Maske ab und zeigte sein Gesicht. "Nicht deine Erscheinung
ist wichtig", sagte er, "nur die Wahrheit des Geistes in deinem
Herzen."'
by stephan48

Avatar of stephan48
Species: Mensch
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 18:51:02.883632
mh von diesen sha2 hab ich schonmal gehört heist das net sha256?

by ph3-der-loewe

Avatar of ph3-der-loewe
Species: lion (Panthera leo senegalensis)
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 18:57:23.775357
reflum,

zu 'SHA2' gehort SHA224, 256, 384 und 512.
---
Philipp.
  (Rah of PH2)

<Tiger-Force> je mehr pläne ich hab, desto mehr plan hab ich!
by brogon

Avatar of brogon
Species: Wolf
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 23:02:28.885752
Hallo,

Habe leider nicht so wirklich Zeit hier groß mitzudiskutieren, aber prinzipiell sehe
ich das Problem, daß man dafür ein Browser-Plugin benötigt, um diese URLs (gerade
mit dem Hash) zu erzeugen. Eintippen will das der User nicht und auch nicht auf einer
gesonderten Seite unter Angabe der URL der Seite, wo man sich authentifizieren will,
erzeugen.

Wenn ich in das Feld meine normale URL eintippe und dann mit Rechtsklick ->
"OpenID anonymisieren" einfach der Inhalt des Feldes durch eine
Seiten-spezifische, 'anonymisierte' ersetzt wird, dann könnte ich mir das durchaus
vorstellen.

cu,
  Brôgon

by ph3-der-loewe

Avatar of ph3-der-loewe
Species: lion (Panthera leo senegalensis)
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 23:10:29.445209
reflum,

grundlage wahre so eine seit die einem eine anonyme handles erzeugt, ein plugin dafuer
zu schreiben wahre dann finales ziel...

vieleicht hat je hier jemand schon mal das getarn?
---
Philipp.
  (Rah of PH2)

<wesen> ich inkrementiere also bin ich
by brogon

Avatar of brogon
Species: Wolf
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 23:36:58.456048
Das mag zwar schön sein, wird aber wohl kaum einer Nutzen... das berühmte
Sicherheit-vs.-Aufwand-Problem :P Selbst der Rechtsklick-Menüpunkt ist schon recht
»umständlich«... :-/

Hab' was anderes 'anonymes' gefunden: http://www.jkg.in/openid/ >.<

cu,
  Brôgon

by ph3-der-loewe

Avatar of ph3-der-loewe
Species: lion (Panthera leo senegalensis)
RE: OpenID, Privathsphaere, Random-Handle 2008-02-03 23:44:35.462701
reflum,

du scheinst bis heute noch nicht den unterschied zwichen profe-of-conzept und fertiger
massen loesung verstanden zu haben.

den link den du gabst: das ist ja gantz schoen und gut, aber du hast damit keine
authendifikation mehr. das ist ja net der sin eines authedifikations merkmals: bsp.
kann ich damit maximal nen kommentar schreiben, aber keinen blog fueren.

auch weiss ich net wie das rechtlich aussieht.
---
Philipp.
  (Rah of PH2)

<wesen> ich inkrementiere also bin ich
by brogon

Avatar of brogon
Species: Wolf
RE: OpenID, Privathsphaere, Random-Handle 2008-02-04 01:05:45.596557
Und du scheints bis heute nicht verstanden zu haben, daß die schönste, sicherste
Lösung absolut gar nichts bringt, wenn die Nutzer sie eben nicht benutzen. Da kannst
du noch so viele Konzepte beweisen - ohne Nutzerbasis ist das ganze vergebene
Liebesmüh.

Die Idee, für jede Seite eine »eigene« ID zu generieren finde ich prinzipiell nicht
schlecht; dazu möchte ich jetzt auch gar nichts weiter hinzufügen. Wie man das jetzt
genau berechnen soll, überlasse ich jetzt mal großzügigerweise dir :P


Aber ich finde, daß man auch die Form der Anwendung - insbesondere die
»Usability« - diskutiert. Eben wie man den Benutzer auch tatsächlich dazu bringt,
diese Systeme zu benutzen. Und da finde ich die Idee mit dem Menüpunkt im
Kontextmenü einen recht brauchbaren Ansatz.

Ohne eine praktische Integration wie Enigmail würde ich bis heute wohl kaum
(Open-)PGP verwenden (mal abgesehen davon, daß selbst diese simple Oberfläche verdammt
viele Menschen überfordert).

Zu dem Link: das Problem damit ist natürlich, daß das wiederum Spamming ungemein
erleichtert. Zum anderen könnten Nutzer auf die Idee kommen, sich einfach eine
»ID« á lá http://www.jkg.in/openid/brogon zuzulegen - einfach um sich das lästige
Passwort eingeben zu sparen. Dann wird's besonders lustig, wenn man solche URLs nicht
filtert (eine Google-Suche nach »anonymous OpenID« findet da etliche Diskussionen
drüber).

Prinzipiell wäre ich für Zwangs-Signaturkarten/-Kartenleser am Computer (min. Klasse
2). Aber bis sowas für allgemein Notwendig erkannt wird, wird's wohl noch etliche
Dekaden dauern. Bis wir alle eh' 'nen Netz-Zu-Hirn-Interface haben und Skynet
(o.ä.) gehören :P


Alles im allen: deine Idee klingt gut, du kannst sie gerne mal implementieren, aber
wenn du's tatsächlich nutzbar machen möchtest, solltest du das Projekt komplett durchziehen
und eine entsprechende Integration für die einfachste Nutzung entwickeln.

Just my 5¢ :)

cu,
  Brôgon


PS: 
Du könntest das vl. auch auf der security-Liste von OpenID(.net) diskutieren. Da
fällt das bestimmt auf fruchtbaren Boden und je mehr dran beteiligt sind, desto mehr
Probleme kann man finden/ausmerzen. Zudem ist die lokale Diskussion hier nicht unbedingt
das wahre - es sind, denke ich, einfach zu wenige hier die das a) betrifft und
b) was dazu beitragen können/wollen. Und wenn sich sowas schonmal jemand überlegt
hat, findest du ihn wohl eher da rüber und machst dir nicht nochmal denselben Aufwand
;)

by stephan48

Avatar of stephan48
Species: Mensch
RE: OpenID, Privathsphaere, Random-Handle 2008-02-24 18:10:07.780956
könnte das eventuell nützlich sein?
http://wijjo.com/project/4/passhash

by stephan48

Avatar of stephan48
Species: Mensch
RE: OpenID, Privathsphaere, Random-Handle 2008-02-24 19:31:52.546491
mh und das problem mit dem das der server den code net kennt könnt man ja theoretisch
damit lösen das man dem user dann ein login  feld vorsetzt wo er sich einloggt und
dann liefert der server die daten die zu dem user passen :)

by stephan48

Avatar of stephan48
Species: Mensch
RE: OpenID, Privathsphaere, Random-Handle 2008-02-25 07:25:39.948957
allerdings müsste es dann ja eventuell auch noch etwas modifiziert werden(damit dann
am ende auch die domain von fellig.org steht :)) :)

ich ahbs mir mal angekuckt und hab festgestellt das es den sh1 algo benutzt zum
verschlüsseln sollten wir das eventuell ändern?

by ph3-der-loewe

Avatar of ph3-der-loewe
Species: lion (Panthera leo senegalensis)
RE: OpenID, Privathsphaere, Random-Handle 2008-03-02 22:36:36.633432
reflum,

@brogon:

gut, dann implemntirst du ein plugin das keinerlei funktion hat weil: die frage nach
der funktionsweise willst du ja nicht diskutieren. Es ist deier offentsichtlichen
meinung nach ALLEINIG entscheidet wie toll und welche fraben die bunten knoepfe zum
beidnen haben. eine echte funktion muss es ja nicht erfuellen, hauptsache der user
hat was zum drauf rum klicken. Klasse einstellung!
---
Philipp.
  (Rah of PH2)

<matt> Auch Vegetarier beißen nicht gern ins Gras.

 

Topic:
Deine Nachricht:
Aktionen:
Onlion users:
Jeder Autor ist alleinig für seine Werke verantwortlich.
Powerd by PH2, using mirror on v3
[Powered by NetBSD] [CAcert] [Free Software PDF reader] [GnuPG] [Furpeace]

Database Stats: querys total/get/getline/do: 768/4/764/