http://www.rorkvell.de/tech/specs/myID.xhtml.de
und
http://www.rorkvell.de/tech/specs/myID.html.de

Eine funktionierende Authentifizierung sollte zweierlei tun:
1. Es muss sicher gestellt werden, dass die ID existent ist. Dies bewältigt microID.
2. Es muss sichergestellt werden, dass der existente User mit der existenden ID X auch tatsächlich den jeweiligen Beitrag verfasst. Dies bewältigt microid leider nicht.

Ein Kommentator kommt ja nicht immer von der selben URL. Der referer ist alles Andere als zuverlässig und kann problemlos gefälscht oder unterdrückt werden. Das ist also absolut kein Kriterium, das irgendwie in die Authentifizierung mit einfließen kann. Zur Authentifizierung dienen nur die Eingaben des Users, also Username, e-mail Adresse und URL.

Wenn ein User sich erst einmal bei einem Blog registriert hat, und er als existent und tatsächlich eben dieser User identifiziert wurde, und dieser User mindestens ein mal einen Beitrag verfasst hat, dan kann danach jeder dessen ID stehlen und missbrauchen. Auch und gerade mit microid.

Anders wäre es, wenn diese Bestätigungsmail mit Bestätigunglink jedes Mal verschickt würde, bei jedem einzelnen Beitrag. Denn diese Bestätigungsmail würde nur der rechtmäßige Besitzer dieser ID empfangen. Aber das ist wohl ein wirklich unzumutbarer Umstand.

Für Blog – Kommentare ist MicroID gänzlich ungeeignet, da natürlich jeder mit schon eingegebenen Email-Adressen und Domains ausprobieren kann, bis es passt.

Für geschlossene Bereiche und vor allem den Datenaustausch zwischen den Diensten ist es allerdings eine gute Sache und funktioniert tadellos. Matthias hat das mit seinem Flickr – Beispiel sehr gut erläutert, auch wenn, wie schon gesagt, dass Blog-Kommentar-Problem damit nicht gelöst ist. Aber hierfür gibts ja dann auch immer noch open ID

Klar kann flickr oder ClaimID deine Blog-Kommentare nicht verifizieren, das wollte ich auch gar nicht damit sagen… was ich erklären wollte ist: wenn du deine E-Mail – Adresse vorher bestätigst ist MicroID ein wirksames Mittel.

MicroID funktioniert also nur bei Blogs bei denen du dich zuvor anmelden und deine E-Mail – Adresse verifizieren musst.

Die Anzeige meiner URL in meinem Profil oder bei meinen Beiträgen, ja, die kann verifiziert werden. Es kann also verifiziert werden, ob ich (oder jemand Anders) die zu meinem Namen und meiner e-mail Adresse korrekte URL angegeben hat. Aber es kann nicht verifiziert werden, ob ich auch tatsächlich den Beitrag, bei dem mein Username, meine URL und meine e-mail Adresse steht, selber verfasst habe. Dies kann Irgendjemand getan haben.

Es ist eigentlich sogar noch schlimmer: Angenommen, irgendwo steht ein Beitrag, ein Kommentar zu einem Blogartikel. Username und HP-URL stimmen. Und auf der Seite (auf dem Blog) wird per microid geprüft, ob der User “Siegfried” die angegebene URL auch tatsächlich besitzt. Dann wird zur Zeit angenommen, dass verifiziert sei, dass der User “Siegfried” den Artikel auch tatsächlich verfasst hat. Und genau das ist falsch.

Um z.B. bei Robert Basic in Deinem Namen einen Kommentar abzugeben, sollte es reichen, einen echten Kommentar von Dir zu finden. Dann habe ich die URL. Dann suche ich Deine e-mail Adresse. Dein Username steht ebenfalls in dem Kommentar. Angenommen nun, Robert Basic lässt solche Kommentare per microid prüfen. Die Prüfung stellt nun fest, dass der User “Mathias Pfefferle” tatsächlich die URL “http://www.claimid.org/pfefferle” besitzt und verifiziert den Kommentar als von Dir. Und schon bist Du angeschissen, da die Meisten davon ausgehen, dass es durch microid-Prüfung erwiesen ist, dass _Du_ den Artikel verfasst hast.

Und jetzt musst Du Dir dann nur noch vorstellen, dass der Kommentar rechtlich relevante Statements enthält…

Noch mal zum Verständnis: ClaimID ist keine Verifizierungs-Instanz für MicroIDs… sie verwenden nur MicroID um die URLs, die ich zu meinem Profil (http://claimid.com/pfefferle) hinzufügen will, zu prüfen. Ich habe ClaimID nur als Beispiel erwähnt da es einer der wenigen Dienste ist, die eine MicroID-Authentifizierung unterstützen.

Noch mal zu deinem Beispiel… natürlich hast du bei deinem Blog-Beispiel recht… es gibt keine Möglichkeit zu prüfen ob der Siegfried der hier kommentiert auch wirklich du bist.

Deshalb ist MicroID auch nur eine Lösung für Systeme mit einer zwingenden Registrierung.

Nehmen wir an, du meldest dich bei flickr an und du bekommst eine E-Mail mit einem Bestätigungslink welchen du akzeptierst, dann weiß flickr dass diese E-Mail – Adresse dir gehört. Wenn du jetzt deine Blog-URL auf deinem flickr-Account anzeigen lassen willst, kann flickr sicher sagen ob die URL dir gehört oder nicht, da die MicroID mit deiner bestätigten E-Mail – Adresse und der Blog-URL überprüft wird. Kein anderer kann so deinen Blog bei flickr verifizieren, da er deine E-Mail – Adresse nicht bestätigen kann.

Nach wie vor könnte jeder in einem beliebigen Blog unter meinem Namen einen Kommentar verfassen, indem er meine korrekte und verifizierte und öffentlich zugängliche e-mail Adresse angibt, sowie meine URL, die aus jedem meiner Blogkommentare herausgefischt werden können. Dass die e-mail Adresse durch ClaimID als existent verifiziert wurde, hilft hier nicht wirklich weiter.

Zum Beweis, dass der User vor dem Bildschirm, der da gerade kommentiert, auch wirklich derjenige ist, der er zu sein vorgibt, ist unbedingt eine Komponente notwendig, die Niemandem zugänglich ist ausser dem Kommentierer selber. Das kann im einfachsten Fall ein Passwort sein. Das kann ein GPG-Schlüssel sein (wobei hier allerdings anders vorgegangen werden müsste), dies kann eine Chipkarte sein, naja eben Irgendwas wirklich persönliches. Etwas, das der ID-Klauer nicht haben kann.

Deshalb ist (nach meinem Verständnis) MicroID so ausgelegt, dass nur verifizierte E-Mail – Adressen verwendet werden sollten. Das ist in einem Blog (wie meinem) ein Problem, da jeder eine x-beliebige E-Mail – Adresse angeben kann.

Bei ClaimID läuft das z.B. anders, hier musst du dich zuerst anmelden und deine E-Mail – Adresse verifizieren (ClaimID schickt dir ne E-Mail mit Bestätigungslink). Wenn ClaimID jetzt die URL zu deinem Blog und deine verifizierte E-Mail – Adresse nimmt um die MicroIDs zu vergleichen, kann man davon ausgehen dass es auch wirklich dein Blog ist…