Ein Konsortium an Unternehmen – allen voran meebo – hat sich an die Arbeit gemacht, ein webweites Authentifizierungssystem aufzubauen. Angesichts des stetig wachsenden Einflusses Facebooks und seines Dienstes Facbook–Connect ist es ein Anliegen einiger Webgrößen wie Google, Myspace, Microsoft, Yahoo! und anderer, auch etwas vom Social-Web-Kuchen ab zu bekommen. Mit XAuth (Extended Authentication) wollen sie dieses in die Tat umsetzen.
Über XAuth sollen User sich auf anderen Webseiten einloggen können, ohne von tausend verschiedenen Log-In Buttons bezirzt und irritiert zu werden. Anstelle von OAuth von Twitter und Facebook-Connect, soll mit XAuth auf den unterstützten Seiten nur noch der Log-In-Button des bevorzugten Dienstes angezeigt werden.
Dass Facebook und Twitter nicht mit im Boot sitzen, ist kein Wunder – sie verfügen schließlich über ihre eigenen Authentifizierungsdienste. Angesichts des im Augenblick nicht so guten Rufes Facebooks beweist Xauth ein gutes Timing. Vor allem die Art der Speicherung der Log-In Daten gefällt mir. Denn statt zentral auf einem Server sollen die Daten lokal mithilfe eines Tokens auf den Rechnern der User gespeichert werden. Das klilngt um einiges besser, als alle Daten Facebook zur Verfügung zu stellen.
Dennoch ist bei diesem Dienst die Problematik der Privatsphäre nicht ausgeräumt. Denn XAuth kennt natürlich die Dienste, bei denen seine User angemeldet sind. Damit nicht das gleiche Unheil wie bei Buzz passiert, steht allen Usern auch die Möglichkeit eines Opt-Outs zu Verfügung. Schön und gut – doch eine Opt-In Lösung wäre mir lieber.
Zugegenbenermaßen haben sowohl Facebook als auch Twitter bereits eine große Anhängerschaft um sich geschart, die die jeweiligen Dienste bereits fleißig nutzen. Ob XAuth einen Fuß in die Tür dieser User bekommt, ist fraglich, doch halte ich eine Alternative zu den bisher gegebenen Services für sinnvoll.
Wieso ist es diesen Firmen nicht moeglich OpenID zu unterstuetzen? War fuer mich bis jetzt die beste Loesung zum Login auf verschiedenen Webseiten. Hat sich aber anschienend nie so richtig durchsetzen koennen.
Sie haben alle gemein, dass es Protokolle sind, die niemand bewusst anwendet. Es hat sich ja auch niemand bewusst dafür entschieden, HTTP zu verwenden, um Webseiten zu lesen, sondern sie werden halt über dieses Protokoll angeboten. Niemand meldet sich bei OAuth, XAuth oder OpenID an, da es keine zentrale Stelle gibt. Jede teilnehmende Seite wird zum Login-Provider. Die Nutzung erfolgt en passant, sobald ich mich bei einer Webseite anmelden will, die auf Facebook, Twitter oder sonstwas zurückgreifen möchte und mich um das Login bittet. Das bedeutet zunächst, dass OAuth wegen Facebook und Twitter der Platzhirsch ist. Es bedeutet aber auch, dass sehr schnell eine anderes Protokoll diesen Platz erhalten kann, sobald ein “neues Facebook” aufsteigt. Und es spricht gar nichts dagegen, mehrere mehrere Protokolle gleichzeitig zu verwenden – 3 Logins sind immer noch besser als 50.
Auch wenn es nur eines unter vielen ist Protokollen ist, ist es interessant, dass Open ID offenbar durch YAuth, bsp von Google ersetzt wird. Zwei der Unterstützer von Open ID sind Google und Yahoo. Aber wie Enno schon sagte, warum nicht auf mehrere Pferde setzen – die Gewinnchance für Google etc ist allemal höher.