Neben all den negativen Meldungen endlich mal wieder ein Highlight für OpenID: Seit dieser Woche ist PayPal offizieller OpenID-Provider mit allen Schikanen (OpenID 2.0, OpenID Simple Registration, OpenID attribute exchange, OpenID user interface, PAPE specification).

Die Meldung ist nicht nur erfreulich, sondern vielleicht auch die Rettung des etwas angeschlagenen offenen Standards. Trotz des eher hinkenden Vergleichs, wurde OpenID immer mit dem Erfolg von Facebook Connect gemessen. Die OIDF hat es durchweg versäumt den Standard als reines “Werkzeug” sehen und die Produkte basierend auf OpenID zu promoten. Wie ich schon im Webstandards-Magazin (Ausgabe 9: Pfefferles OpenWeb) schrieb:

Facebook Connect ist nicht wegen seinem proprietären System so erfolgreich und der Misserfolg von MySpaceID hat nichts mit den benutzten offenen Standards zu tun. Promote the utility not the technologie. To reach the majority of users who aren’t familiar with OpenID as a technology, promote the ability to log in using an existing account, not “OpenID” itself. Ich würde sagen das Problem liegt nicht am Protokoll sondern an den fehlenden sinnvollen Anwendungsfällen. OpenID funktioniert überall da, wo der User einen Nutzen hat ohne zu wissen was unter der Oberfläche passiert, beispielsweise „Sign in with Google“ oder „Sign in with Yahoo!“. Wo bleiben also die Killerapplikationen wie z.B. Paypals angekündigtes Express Checkout auf Basis von OpenID?

Reines Single-Sign-On ist ein Geek-Thema und scheint wohl kein generelles Bedürfnis zu befriedigen. Ein “Mit einem Klick-Bezahlen” ist dagegen eine enorme Chance für Einkäufer und kleine Verkäufer. Wo man bisher, oft durch die langwierige Anmeldung und das hinterlegen der Kontodaten, trotz günstigerer Angebote doch wieder bei Amazon bestellt hat, bietet PayPal in Zukunft vielleicht die Lösung: Schnelles, unkompliziertes und sicheres Einkaufen mit einem “Klick”.

Hoch lebe OpenID :)

In den letzten Tagen hat Facebook einige so spannende Ankündigungen gemacht, dass ich sogar kurz mal meinen Umzugsstress unterbrechen und darüber bloggen muss :)

Die Facebook Open Stream API

Die erste Ankündigung betrifft Facebooks Activity Stream der spätestens seit dem letzten Redesign das zentrale Feature von Facebook geworden zu sein scheint. Mit der Open Stream API führt Facebook diese Strategie fort und öffnet die Aktivitäten auch für externe Applikationen und Services. Besonders lobenswert ist, dass Facebook neben einer proprietären API (zum lesen und schreiben) auch einen Atom-Feed+Activity Extension1 zum weiterverarbeiten des Activity Streams anbietet. Leider ist aber auch der Atom-Feed über den Facebook-Authentifizierungsprozess geschützt und kann dadurch nicht ohne weiteres mit z.B. einem Feedreader abonniert werden.

Dass Facebook die proprietäre Open Stream API entwickelt, statt die OpenSocial RESTFul API einzusetzen ist leider zu verstehen, immerhin ist OpenSocial als Googles Antwort auf die Facebook-Apps entstanden. Schade!

OpenID Login

Als Facebook letztes Jahr der OpenID-Foundation beigetreten ist, um sie speziell in Sachen Usability/User Experience zu unterstützt, hatte ich natürlich große Hoffnung, dass Facebook in naher Zukunft auch selbst auf OpenID umstellen würde. Seit Montag ist jetzt klar, dass Facebook an einem OpenID-Login arbeitet, der hoffentlich auch irgendwann ein fester Bestandteil von Facebook-Connect wird.

Aber Facebook wäre nicht Facebook, wenn sie einfach nur einen klassischen OpenID-Login umsetzen würden. Wie Carsten Pötter auf SpreadOpenID beschreibt, plant Facebook eine Art OpenID-Auto-Discovery:

Facebook will automatically check to see if users have logged into any OpenID account when they hit Facebook.com, and give them the option to automatically login to Facebook without entering new information.

Leider ist dieses Feature, wohl nicht global für alle OpenID-Provider und definitiv nicht ohne Directed Identity möglich… aber man wird sehen (vielleicht spinn ich hier im Blog demnächst mal ein paar Szenarien (Worst-Cases) durch).


1 Die Atom Activity Extensions erweitert die Atom Spezifikation um eine Aktivitäten-Syntax. Die Idee entstand im Rahmen des DiSo-Projekts und wird unter anderem auch schon von MySpace und YIID unterstützt. Darauf werde ich demnächst sicherlich noch etwas detaillierter eingehen.

RPX ist ein SingleSignOn-Service von JanRain (der Firma hinter myOpenID) welcher alle gängigen SignOn-Mechanismen wie z.B. OpenID, Facebook-Connect, MySpaceID oder Microsofts Live ID in einem Dienst vereint. Der Vorteil für Webseiten-Betreiber liegt in der, für sie einheitlichen, Verarbeitung der verschiedenen offenen Standards und proprietären Formate. Der Login wird praktisch komplett an RPX weiter delegiert und die ganze Logik läuft über die Server von JanRain. Nach erfolgreicher Authentifizierung bekommt der Betreiber dann alle Informationen (bei OpenID z.B. Profil-Daten die per SReg übertragen wurden) in einheitlicher Form übermittelt… “SingleSignOn as a Service” so zu sagen.

Mit dem Plugin für WordPress sind all diese Features jetzt auch für den privaten Blog nutzbar.

rpx-wordpress-login

Das Plugin ist sicherlich ein genialer Marketing-Coup um RPX zu promoten, bietet für mich aber (außer dem breiten Spektrum an Login-Möglichkeiten) keine wirkliche Alternative zu dem klassischen OpenID-Plugin von Will Norris.

Was mich an RPX besonders stört:

  • Für jeden der sich beim Kommentieren über RPX authentifiziert wird ein WordPress-Profil angelegt, auch wenn die Registrierung für WordPress deaktiviert wurde.
  • Der ganze Login-Prozess wird über JanRain abgehandelt, was ja eigentlich auch nicht der Idee von OpenID entspricht. “Man in the middle” mit Ansage!
  • Man muss sich zuerst relativ umständlich bei RPX registrieren um einen API-Key zu bekommen

open-web-podcast.png

Sebastian, Christian und ich wünschen euch natürlich frohe Weihnachten und einen guten Rutsch ins neue Jahr… Feiert schön! Damit euch während den Feiertagen nicht so langweilig wird, gibt’s diesmal eine etwas längere Weihnachtsfolge in der wir versuchen einen kleinen Open Web Jahresrückblick bzw. Ausblick zu geben.

Viel Spaß beim hören und bis nächstes Jahr :)

Weitere Links zur Sendung gibt’s wie immer im Wiki!

Den Podcast abonnieren:

haudio

open-web-podcast.png

In der 8. Episode des Open Web Podcasts dreht sich alles um die News der letzten Woche: Facebook Connect, Google Friend Connect, MySpaceID und mögliche Alternativen wie z.B. OpenID und der Open Stack.

Weitere Links zur Sendung gibt’s wie immer im Wiki!

Den Podcast abonnieren:

haudio

Seit dem Start von Facebook Connect wurde das proprietäre System immer wieder mit OpenID verglichen. Dass OpenID im direkten Vergleich den kürzeren zieht ist klar, immerhin handelt es sich bei dem offenen Standard “nur” um ein Single-Sign-On System und nicht, wie bei Facebook Connect, um ein umfassende Komplettlösung.

Wie Marc Canter schon vor einigen Tagen bemerkt hat sollte OpenID eher als ein kleines Teil des “Identity Puzzles ansehen:

…that OpenID is NOT a full solution – it is an important piece of the identity puzzle … but OpenID can – actually solve all these issues – by embracing other complementary technologies (like oAuth, OpenSocial, Portable Contacts, microformats, FOAF and RSS/Atom) to create a wrapper solution oriented approach - focused on simplifying the the whole ID conundrum for end-users.  Barriers of entry, usability issues and confusing messages can all be solved by OpenID positioning itself as a single point-of-contact solution.

Warum aber so viele kleine Standards und nicht einfach OpenID zum Open Connect aufblasen?
OpenID in seiner jetzigen Form hält den Open Stack dezentral und macht die Komponenten austauschbar:

  • Jeder der oben genannten Standards ist sowohl alleine als auch in Kombination nutzbar, was den Entwicklungsaufwand für Spezialfälle vereinfacht. Braucht eine Community eine Single-Sign-On Lösung, ist auch nur ein OpenID in seiner jetzigen (unaufgeblasenen) Form nötig. Steigen nachträglich die Anforderungen, kann der Stack beliebig erweitert werden.
  • Bestehende Informationen können (wenn eine entsprechende Schnittstelle besteht) wiederverwendet werden und müssen nicht alle über ein System bereitgestellt werden, der OpenID Provider muss nur wissen wo diese Informationen zu finden sind. (Ein schönes Beispiel für ein solches dezentrales System ist die OpenID + PortableContacts Beispiel-Implementierung von JanRain)
  • Die Komponenten des Open Stack sind beliebig austauschbar. Es ist prinzipiell egal ob man den Sozialen Graphen über XFN, FoaF oder Portable Contacts importiert oder alle Varianten unterstützt.

Das vorgestern angekündigte MySpaceID (aka Data Availability) scheint ein erster Schritt in Richtung Open Stack zu sein und auch Googles Friend Connect ist auf einem guten Weg. Es gibt sicherlich noch einiges zu tun um die Bausteine etwas besser miteinander zu verbinden (z.B. OpenID und OAuth zu kombinieren) aber ich bin weiterhin optimistisch und glaube dass sich der offene und dezentrale Ansatz durchsetzen wird.

Christian Scholz macht sich in seinem Artikel “The OpenID Branding problem” Gedanken darüber wie man dem normalen User OpenID näher bringen könnte (und ich Stimme ihm auch bei vielen Punkten zu (der ID-Selector ist wirklich sehr überladen)).

Aber ist es wirklich wichtig am Branding “OpenID” zu arbeiten? Yahoo hat in seiner OpenID Usability Studie einen Satz, der das Problem (meiner Meinung nach) ziemlich gut trifft:

“Promote the utility, not the technology”

Als Google seine OpenID Implementierung veröffentlicht hat wurden viele Stimmen laut, Google würde OpenID nur für seine Zwecke “missbrauchen”… Aber ist das nicht genau der Schritt den OpenID gehen muss? Weg von der Technik und dem Branding, hin zur Funktionalität und dem Anbieter. Facebook Connect ist doch nur so erfolgreich (wobei wir das ja noch gar nicht wissen) weil ein normaler Internet-Nutzer den Login wieder erkennt (E-Mail Adresse und Passwort) und versteht… bei Yahoo!s oder Googles Directed Identity Implementierung ist es ähnlich, der Benutzer klickt einen Link wie z.B. “mit Google Account anmelden” kommt zu Google und muss wieder nur das Formular ausfüllen welches er schon kennt. Er bekommt nichts von OpenID mit und hat sich ohne Hürden und (im besten Fall) mit einem Klick angemeldet… und für alle Geeks bleibt immer noch die normale OpenID Anmledung!

Diesen Schritt finde ich sogar noch Sinnvoller als die E-Mail – OpenID, da der Nutzer ohne große Workarounds (und nichts anderes ist EAUT) auf OpenID vorbereitet wird.

Ich würde mich sehr über einige weitere Meinungen und Ideen freuen, also ran an die Tastatur ;)

Dieser Post entstand übrigens als Kommentar bei hackr