Portier: der indirekte Nachfolger von Mozilla Persona
Persona ist der Name eines dezentralen Authentifizierungssystems für Webseiten, welches von Mozilla entwickelt und nun abgeschaltet worden ist. Der Grundgedanke lebt in Portier weiter, welches sich selbst als spirituellen Nachfolger von Persona bezeichnet. Am Projekt sind auch ehemalige Persona-Entwickler beteiligt.
Wie lange im Voraus angekündigt hat Mozilla in diesen Tagen seinen Persona-Dienst abgeschaltet. Die Idee hinter Persona war es, einen sicheren und einfachen Weg sowohl für Endanwender als auch Entwickler bereitzustellen, um sich auf Webseiten einzuloggen.
Mit Portier befindet sich ein neues Projekt in der frühen Betaphase. Man selbst bezeichnet sich als spirituellen Nachfolger von Mozilla Persona. Dies ist auch nicht weit hergeholt, immerhin ist nicht nur Idee ähnlich, auch sind an diesem Projekt mehrere ehemalige Persona-Entwickler beteiligt. Des Weiteren wird Mozilla als Sponsor des Projekts auf der Webseite genannt. Nichtsdestominder handelt es sich bei Portier um ein von Mozilla unabhängiges Projekt. Portier ist auch keine Weiterentwicklung von Mozilla Persona, sondern ein ganz eigenes Projekt mit Unterschieden zu Persona.
Wie bei Persona erfolgt der Login mit Hilfe einer E-Mail-Adresse. Ein ganz wesentlicher Unterschied ist allerdings die Tatsache, dass der Nutzer bei Portier überhaupt kein Passwort benötigt. Wer ein @gmail-Konto nutzt, wird per OpenID authentifiziert. Für alle anderen wird ein Bestätigungslink per E-Mail gesendet, über welchen sich der Nutzer authentifizieren kann.
Während geplant ist, dass Portier eine eigene Instanz seines sogenannten Brokers hosten wird, welcher die Authentifizierung abwickelt, kann auch jeder seinen eigenen Broker hosten. Die Referenz-Implementierung des Portier-Brokers ist in der Programmiersprache Rust geschrieben.
Sämtlicher Quellcode ist Open Source und auf GitHub einsehbar. Dort findet man unter anderem auch Portier-Clients für PHP und node.js. In einem Dokument auf GitHub geht man auf vergleichbare Konzepte ein und widmet einen besonders langen Teil den Dingen, die man bei Persona richtig und vor allem falsch gemacht hat. Diese Fehler möchte man mit Portier vermeiden.
Wer keine Ankündigung verpassen möchte, sollte die Mailingliste des Projekts verfolgen. Eine Online-Demo zum Ausprobieren von Portier gibt es hier.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Weitere aktuelle Artikel aus der Kategorie „Persona“
- 27.12.2016Mozilla schaltet Persona-Server ab
- 12.01.2016Mozilla Persona wird am 30. November 2016 abgeschaltet
- 05.10.2014Firefox Marketplace: Firefox Accounts ersetzen Mozilla Persona
- 11.04.2014Heartbleed: Sicherheitswarnung von Mozilla bzgl. Persona und Firefox Accounts
- 08.03.2014Mozilla Persona wird ein Community-Projekt
So ganz hatte sich damals / heute der Grund für die ganzen SSO-Ansätze nicht erschlossen :/
Vielleicht werde ich ja auch langsam einfach nur alt, aber ich möchte doch eigentlich möglichst wenig automatische Verbindungen zwischen meinen zig Konten haben?
Und auch nicht auf einen Authentifizierungsserver angewiesen sein?
Und auch nicht überall unter demselben Namen auftauchen?
*kopfkratz*
Du missverstehst das Konzept. 😉
Sieh Portier oder auch zuvor Mozilla Persona als Infrastruktur zur Authentifizierung. So muss eine Webseite keine Zugangsdaten speichern (Sicherheits-Plus) und der Nutzer für die Anmeldung kein Passwort eingeben (Komfort-Plus). Automatische Verbindungen gibt es dadurch keine. De facto weiß weder Portier, auf welchen Seiten deine E-Mail-Adresse hinterlegt wird, noch wissen Webseiten über andere Webseiten Bescheid, welche die gleiche Form der Authentifizierung anbieten.
Auf einen Authentifizierungsserver ist man immer angewiesen, sei es nun die Webseite selbst oder ein anderer Server, aber natürlich muss irgendwo die Authentifizierung erfolgen. Wie im Artikel steht, kann der sogenannte Broker auch selbst gehostet werden, dann findet die Authentifizierung möglicherweise sogar auf demselben Server statt wie die Webseite liegt.
Unter welchem Namen du auf einer Webseite auftauchst, hat hiermit überhaupt nichts zu tun, auch davon weiß Portier nichts. Portier kümmert sich ausschließlich um die Authentifizierung. Alles darüber hinaus ist Implementierungssache der Webseite. De facto kenn ich ganz unabhängig von Portier kaum eine Webseite, bei welcher die E-Mail-Adresse dem Anzeigenamen entspricht.
Ohne Passwort? Bekomme ich dann jedes mal ein Session-Cookie per Mail-Link oder was steckt da dahinter? Klingt sehr unpraktisch.
Inwiefern unpraktisch? Führe das bitte aus. Der Anwender muss kein Passwort eingeben (mehr Komfort; und wenn der Nutzer so nicht dazu gebracht wird, sich ein unsicheres Passwort auszudenken, auch mehr Sicherheit), die Webseite kein Passwort speichern (mehr Sicherheit). Welcher Teil ist unpraktisch? Einen Anmelde-Link zu erhalten ist übrigens das, was man auch von diversen Zwei-Faktor-Authentifizierungen kennt oder Plattformen wie Slack oder appear.in.
Zumal das ja sowieso nur dann zutreffend ist, wenn es keinen passenden OpenId-Provider gibt. Derzeit wird nur Google Mail in dieser Form unterstützt, das können aber weitere Mail-Provider in der Zukunft sein. Dann geht es nicht nur ohne Passwort, sondern sogar ohne Bestätigungslink per E-Mail, sondern über den bereits bestehenden Zugang, wie in diesem Fall in einem Google-Konto.
Wäre schön wenn sich sowas endlich durchsetzt – bei den großen Forumpacketen.
Statt dem Passwort eine Mail finde ich umständlich. Jedes mal an der Weboberfläche anmelden oder den Mailclient starten (und anmelden). Zumal es hier das Passwort ersetzt und keinen zweiten Faktor einführt.
Normalerweise hat man seinen Mailclient doch genauso wie den Browser durchgehend offen, oder nicht? Ich meine, das nicht zu haben, das wäre umständlich.
Nur auf der Arbeit. Zu Hause ist das wie der Briefkasten. Je nachdem ob man etwas erwartet schaut man mehrmals am Tag, täglich oder noch seltener rein. Für die kurze Nachricht zwischendurch gibt es Whatsapp, Twitter und Co.
So zumindest mein mir bekanntes Umfeld. Persönlich rufe ich ein mal die Woche Mails ab und bei Bedarf (Bestellung, Anmeldung, etc)
PS Auch auf der Arbeit reagiere ich nur auf Mails wenn ICH gerade Zeit habe. Ignoriere auch gerne längere Zeit die Popup-Meldungen. Ist wesentlich besser beim Arbeiten und schont die nerven.
Okay, verstehe. Allerdings ist es in der Regel ja auch nicht so, dass man sich bei jedem Besuch einer Webseite neu anmelden müsste, meistens bleibt man ja sessionübergreifend eingeloggt oder hat im Idealfall sogar eine Option in Form einer Checkbox dafür. Und der Weg per E-Mail-Link ist wie beschrieben ja der "Fallback": also wer ein @gmail-Konto nutzt, muss auch keinen Bestätigungslink klicken, sondern bestätigt die Google-Anfrage direkt im Browser. Das wird hoffentlich noch auf weitere Provider ausgeweitet.