Mozillas neuer Login-Mechanismus für Firefox
von caschy | 40 Kommentare
Bereits letzten Monat berichtete ich über Mozillas neuen Schlüsseldienst für das Web. Dabei soll es sich um Mozillas eigenen Dienst handeln, dem Benutzer das umständliche Einloggen bei den verschiedenen Diensten abzunehmen. Nun steht bereits die erste Erweiterung des Projekts Browser ID für den Firefox bereit und auch Seitenbetreibern wird gezeigt, wie man das Ganze leicht einbauen kann. Das Login-Feld kommt quasi aus der Seite – direkt als Element in den Browser, wie man im Screenshot sehen kann:
Mozilla stellt klar, dass bei dieser Methode serverseitig nicht kommuniziert wird, die Erweiterung teilt nur mit, dass man sich einloggen, bzw. ausloggen will: „It’s worth noting that this feature doesn’t communicate with any server-side components, and doesn’t capture, store or transfer any personal information. The button is semantically the same as clicking “sign in” on a page: it just tells the page you want to sign in (or sign out) right now.“
Und – was sagen die Experten? Neue Login-Mechanismen und Co auf Browserseite: definitiv ein Muss, welches eh kommen wird – oder verschwendete Energie? Ich meine, es gibt ja Erweiterungen wie Lastpass, die mittlerweile auch erkennen, ob ich ein Login für Seite XYZ habe und die schlagen direkt vor, dass ich mich automatisiert einloggen kann. (via)
Wird geladen ...
Kenne Twitter OAuth nicht, aber so wie es klingt ist es ein Pendant zu Facebook Connect, also würde ich die Frage mit Ja beantworten. Allerdings bietet BrowserID entscheidende Unterschiede im Hinblick auf Privatsphäre und Sicherheit.
P.S. Wieso ausgerechnet Twitter mehr vertrauen?
Twitter erlaubt beliebige, also auch anonyme Namen, sogar den Anmeldenamen überprüft Twitter nicht. Lt. Wikipedia zu OAuth: „Ein Endbenutzer (User) kann mit Hilfe dieses Protokolls einer Anwendung (Consumer) den Zugriff auf seine Daten erlauben (Autorisierung), die von einer anderen Anwendung (Service) verwaltet werden, ohne alle Details seiner Zugangsberechtigung zur anderen Anwendung (Authentifizierung) preiszugeben. Der Endbenutzer kann so Dritte damit beauftragen und dazu autorisieren, sich von ihnen den Gebrauchswert von Anwendungen erhöhen zu lassen. Typischerweise wird dabei die Übermittlung von Passwörtern an Dritte vermieden…OAuth wurde im November 2006 gestartet, als Blaine Cook die OpenID-Implementierung für Twitter entwickelte.“ Interessant: auch ein OpenID-Deriverat;-)
Facebook Connect dagegen ist ein Dienst von Facebook. Alle Daten werden dort gespeichert. Twitter speichert dagegen nichts, wenn ich mich mit einem meiner Twitter-Accounts (habe 8, davon 2 in Betreuung) bspw. zur Kommentarabgabe bei einer Seite anmelde. Ich finde, das ist schon ein gewaltiger Unterschied! Firefox ist mir dagegen zu stark mit Google verbandelt (finanzielle Abhängigkeit).
BrowserID speichert auch nichts, bei Mozillas Lösung wird nicht einmal der Private Key mitgesendet, auch nicht auf welcher Seite man sich befindet. Nicht nur nicht gespeichert, gar nicht erst gesendet! Durch eine mögliche Browserintegration wird das Phising-Risiko desweiteren nahezu auf null reduziert. Das sind alles Punkte, die bei OpenID anders sind. Und wenn OAuth nur ein Derivat ist… 😉 Und da die Authorisierung lediglich über eine E-Mail-Adresse stattfindet, ist das absolut anonym, da man sich beliebig E-Mail-Adressen anlegen kann, du kannst dir auch nur für den Login eine anlegen wenn dir das so wichtig ist.
Also was diese Aspekte betrifft ist Twitters Lösung absolut nichts Besseres. Und lieber vertraue ICH einer gemeinnützigen Organisation (Mozilla) als einem profitorientierten Unternehmen (Twitter).
Ohmygod, Phishing, watndatn? Den Phishing-Filter hat man m.A. nach im Kopf/inner Birne. Leute, die sich sonst auch Staubsauger an der Haustür andrehen lassen oder bei jedem Callcenter-Anruf jaja sagen, nützt auch die beste Technik nix.
Für Twitter brauch ich auch nur ne x-beliebige Emailadresse. Und was ist Mozilla denn schon wert oder wie handlungsfähig sind sie, wenn Google, das profitorientierte Unternehmen dahinter den Geldhahn zudreht?
Es geht hier nunmal nicht um dich, sondern um Millionen von Nutzern. Da ist Phishing-Schutz sehr wichtig. Und die Punkte, die du als Pro für OAuth nennst, löst Mozilla besser. Denn der große Schwachpunkt von OpenID und Derivaten ist, dass man den Identitätsprovidern vertrauen MUSS, auch hier können Daten gestohlen werden. Mozilla sendet aber im Unterschied NUR die Info „User will sich einloggen / ausloggen“ vereinfacht gesagt. Wie das technisch im Detail abläuft, kannst du ja im Mozilla Identity-Blog nachlesen, da steht das alles sehr schön beschrieben.
Und dein letzter Absatz zeigt leider, dass du kein bisschen informiert bist, das ist dann immer schwierig zu diskutieren. Aber selbst wenn Google den Geldhahn abdrehen würden – was sie nicht tun, weil sie von Mozilla ebenfalls profitieren und es ohne Firefox auch nie Chrome gegeben hätte – wäre das für Mozilla kein Problem, da fast alles von dem, was Mozilla bislang von Google erhalten hat, als Reserve angelegt wurde und nach wie vor existiert. Und die einzige Geldquelle ist Google auch nicht. Bitte ein wenig informieren, bevor du mit solchen Kommentaren um dich wirfst, danke. 😉
OK, rein technisch gesehen ist BrowserID einwandfrei. Rein technisch sind auch Atomkraftwerke sicher. Die Realität sieht aber anders aus… Mal sehen wie sich das entwickelt. OAuth/OpenID wird aber auch weiterentwickelt, da bin ich mir sicher.
Komisch aber schon, dass sich Firefox und Chrome immer mehr angleichen. Zufall? Und bei Google+ hiess es auch, private Daten wären so sicher wie bei keinem anderer Betreiber, und schwupps 1 Woche später kamen Meldungen zur geplanten Super-Datenbank, die für Werbetreibende geöffnet werden soll. Also ich glaub einfach nicht alles, auch wenn es schwarz auf weiss da steht.
Beim Phishing bleibe ich aber dabei, dass nur ein geschultes Hirn wirklich sicher davor ist, geht es doch um Überlistung und Betrug, ausserdem hilft dies auch im täglichen Leben;-) So kann man 95% von Spam/Malware schon so aussortieren ohne Technik. Ich bin einfach kein Fan von technischen Lösungen für alle Lebenslagen und Leichtsinnigkeiten.
Ich gebe dir absolut Recht, dass Phishing allein durch Nachdenken vermeidbar sein sollte, aber für uns, die wir hier auf Caschys Blog kommentieren, sind das halt Selbstverständlichkeiten, da denken wir gar nicht bewusst darüber nach, es ist uns klar. Nur gibt es wirklich SEHR viele, denen das alles nicht klar ist und die vertrauen der gefälschten E-Mail beispielsweise, und solche Leute werden dezentrale Authentifizierungssysteme nunmal auch nutzen, wenn es notwendig ist, weil Seite xy nuneinmal das anbietet.
Dass Google und Mozilla in einigen Dingen in die gleiche Richtung denken, ist sicher kein Zufall. Sie verfolgen beide ja ganz ähnliche Missionen, nämlich das Web zu verbessern. Sie arbeiten sogar zusammen, Stichwort WebApps. Da arbeitet man daran, einen gemeinsamen Standard zu schaffen. Google und Mozilla profitieren gegenseitig voneinander und tragen gemeinsam zu einer gesunden Weiterentwicklung im Web dabei. 🙂 Allerdings weiß ich jetzt auch nicht, wo der Bezug hierzu ist, weil mir von Google sowas nicht bekannt ist. 😛 Und auch der Vergleich mit google+ hinkt, weil das ja etwas komplett anderes ist. Dass da Daten gespeichert werden, ist schließlich klar, das muss ja alles gespeichert werden. Und wo Dinge gespeichert werden, gibt es immer Risiko.
Das Web zu verbessern… OK, etwas OT: Nur habe ich irgendwie überhaupt kein Verständnis, (ausblendbare) Schaltflächen/-leisten zu beseitigen, egal ob im Browser oder online – auch der ganze Minimalismus-Quatsch nervt mich derbe. Ich benutze halt mal auch eine Maus und hasse die Tastatur. Auch der neue Menübutton statt Menüleiste und auch die Verschlankung der Google-Suche-Oberfläche hat eher dazu geführt, dass ich jetzt noch mehr Klicks machen muss als früher! Das wollte ich nur mal loswerden…
Wieso Schaltflächen beseitigen? Passiert doch gar nicht. Das ist Sache des Webseitenbetreibers und kein Webseitenbetreiber wird die Schaltfläche beseitigen, wenn nicht mindestens auch Chrome, Safari, Opera und der Internet Explorer das integriert haben. Was bei BrowserID technisch problemlos möglich, aber kaum Realität sein wird. Selbst dann würde es immer noch weitere Alternativen und Aufsätze geben, mobile Browser usw. Ein Weglassen des Login-Buttons auf der Webseite wird nicht funktionieren. Aber die Browser-Integration bietet eine sicherere Alternative.
Der Menübutton kam zudem aus sehr gutem Grund – die meisten Punkte werden NIE benutzt und dafür nimmt es einfach unnötig Platz für die Webseite weg. Gerade bei Notebooks ist die limitierte Höhe echt nervig. Aber das ist ja das Tolle an Firefox: Man kann einstellen, was man will! Das neue Menü oder die alte Leiste. So dass wirklich JEDER bekommt, was er will.
Beim neuen Menü mit Menübutton fehlt unter Einstellungen (früher: Ansicht) die Einstellungen zu „Sidebar“. Ich habe mir nämlich letztens die 8.0 alpha1 runtergeladen, und gemerkt, dass so einige Addons damit nicht mehr liefen bzw. nicht kompatibel waren bspw. die Sammlung „Toolbar Buttons“ und auch die „All-In-One-Sidebar“. Da es somit auch keinen Button dafür gab und das neue Menü nicht hergab, musste man wieder auf das alte Menü umschalten – aber wer weiss wie lange dies noch der Fall sein wird und die Entwickler solcher Tools nicht irgendwann auch das Handtuch werfen?
Ich würde mir stattdessen wünschen, dass das neue Menü „lernfähig“ wäre, also oft aufgerufene (mit Einstellung wieviel „oft“ ist: 3x, 5x, 10x, 100x) Menüpunkte im „Startmenü gleich einzutragen.
Verrückterweise passt mir die Zusammenstellung des neue Menüs überhaupt nicht, benutze ich die Schaltflächen: Privater Modus, Bearbeiten, Suchen, Seite speichern, Link senden, Drucken, Webentwickler, Vollbild, Sync einrichten, Beenden so gut wie nie. Auch mit Hilfe der All-In-One-Sidebar kann ich auf Lesezeichen, Chronik, Downloads und Addons viel schneller arbeiten als mit dem neuen Menü. Das neue Menü ist für mich somit völlig nutzlos und an meinen Bedürfnissen total daneben konstruiert.
Durch die Lernfähigkeit (inkl. manueller Anpassungsmöglichkeit wie im Windows Startmenü seit XP: Liste der am häufigsten verwendete Programme) würde man somit mit nur 2 Klicks am Ziel sein. Das alte Menü erinnert mich dagegen an Windows 2000 und Office 2003, wo man sich durch Listen von Untermenüs durchquälen musste. Also, ran an die Arbeit!
Es wurde zuvor festgestellt, wie oft welche Menüs aufgerufen werden in Firefox und da waren die Sidebar-Menüs gegen null tangiert, also ist es zurecht entfernt worden. Das neue Menü sollte ja schlanker werden – und das ist auch gut so. Die alte Menüleiste muss man auch nicht dauerhaft dafür einblenden, ein Klick auf Alt reicht vollkommen aus. Oder man verwendet direkt die Shortcuts für die entsprechenden Funktionen. Dass Addons damit nicht mehr laufen, ist falsch, ich glaube aber auch nicht, dass du das so meinst. Vermutlich meinst du, dass der Eintrag der Addons im neuen Menü nicht existiert. Das ist aber nicht Mozillas Schuld, sondern die Schuld der Erweiterungsautoren, die ihre Erweiterungen nicht entsprechend anpassen. Ich habe meine Erweiterung, die ein Menü erweitert, bereits in der Beta-Phase von Firefox 4 angepasst, das war überhaupt kein Problem. Wieso sollte ein Entwickler das Handtuch deswegen werfen? Ergibt null Sinn.
Was du wie oft nutzt, hat keine Relevanz für Millionen von Usern. Der Private Modus beispielsweise ist ein sehr häufig genutztes Feature und gehört daher in das Menü, während ein Beenden-Button einfach selbstverständlich ist. Wenn es dir nicht zusagt, dann schaltest du eben auf das alte Menü und alles ist wie vorher. Es wurde ganz bewusst die Entscheidung dem Anwender überlassen, was er nutzen möchte. Also gibt es für niemanden Probleme.
Eine „Lernfähigkeit“ umzusetzen dürfte ziemlich schwierig sein, da das kein sinnvolle Struktur mehr erlaubt. Zudem man entweder das eine oder das andere in aller Regel benutzt. Zu guter Letzt MÜSSEN Erweiterungsautoren selber bestimmen (können), wo sie ihre Erweiterung angezeigt haben wollen. Das darf nicht Sache von Mozilla sein. Als Erweiterungsautor ist es doch meine Sache, ob ich meine Erweiterung im neuen Menü haben will oder nicht – und wenn ja an welcher Stelle.
Was ich eher nutze sind Funktionen wie Session speichern, (ohne Laden der Tabs) ganze Kolonien aus einer früheren Session/Sitzung wieder aufrufen und da weiterarbeiten, solche Sitzungen mit anderen Sitzungen zusammen bearbeiten, (gruppierte) Tabs in Fenster verschieben (nach Domain,…u.a. Kriterien). Gerne habe ich auch TabKit (das leider nicht mehr weiterentwickelt wurde!) genutzt, um Tabs nach Aufruf/Domains stammbaummässig zu sortieren und auch farblich abzugrenzen, und ganze Gruppen zu bearbeiten, in andere Fenster zu verschieben, um wieder neue Sessions zu speichern, um später daran weiterzuarbeiten.
Leider hat Firefox sog. „memory leaks“, so dass ich mit manchem Session Addon so manchen Windows System Freeze erlebt hatte:-( Hoffentlich wird das mit FF7 besser.
Daneben nutze ich Tab Vault (Opera Extension) ganz intensiv, um den Speicherverbrauch bei schwachen Rechnern wie meinem eeeKeyboard-PC besser zu handeln; es fehlen nur noch beliebig viele Unterorderebenen. Aber auch bei Lesezeichen u.a. listenähnlichem („1D“) Content könnte man hoffentlich bald in „2D“ (Grid) oder vielleicht sogar in „3D“ neue Konzepte für die schnellere Sichtung und Auswahl entwickeln! Das Firefox-2D-Startmenü ist schon in die richtige Richtung gedacht!
Zum Speicherproblem: Seit Firefox 7 fließen Ergebnisse des MemShrink-Projektes ein, da geht es um Speicherbedarfreduzierung, Schließen von Memoryleaks, Pipapo. Firefox 7 verspricht schon 20-30% weniger Speicherverbrauch im Alltagsbetrieb und in Extremfällen bis zu 50% und das wird in Firefox 8, Firefox 9, … weitergeführt. Neun Wochen läuft das Projekt schon und hier wird man jeden Monat top über den Status informiert: http://blog.mozilla.com/nnethercote/ 🙂
@Sören Hentzschel
Super, vielen Dank für den Link! Kann ich für mein eeeKeyboard-PC mit 1GB RAM gut gebrauchen:-)
Ich hab gerade erst gesehen, dass ich Blödsinn geschrieben habe – man wird dort jede Woche informiert, nicht jeden Monat. 🙂
Bei 1GB RAM kommt es wirklich auf jedes MB an, da ist Firefox sicher nicht optimal für. 😀 Aber es wird zumindest besser.
Was mir dann zu dem fliegenden Social-Gedöns noch einfiel: Da man eh beim Kommentieren seinen Twitternamen und Link einblenden kann, wäre es doch schick, wenn man sich zwecks Kommentarabgabe gleich per Twitter-Account anmelden könnte; OAuth nennt sich das Verfahren. Dann wäre man auch gleich die lästigen Kommentarbestätigungen via Email-Postfach los;-)
hahaahahhaahah bobo si