Statt Facebook und Yahoo: Mozillas BrowserID als Alternative zur OpenID

Die klassische Methode beim Login auf geschützten Webseiten nimmt meist den Weg über eine E-Mailabfrage mit Passwortcheck, begleitet wird der Nutzer dabei häufig von einer Reihe zu bestätigenden Dialogfeldern. Auch die Variante, bei der Login und Identitätsmanagement ausgelagert werden (Yahoo, Facebook und Google bieten das zum Beispiel über OpenID an) ist verbreitet – neben aufwendiger Implementierung kommen dann noch die Abhängigkeit vom Anbieter (Vendor Lock-in) und Datenschutzbedenken hinzu.

Mozilla will das Verfahren jetzt mit einem eigenen Standard deutlich vereinfachen. BrowserID soll auf allen Seiten einheitlich funktionieren. Es verspricht dem Nutzer laut der Mozilla-Foundation eine "One-click Experience", ohne zusätzliche Verifikation. Voraussetzung ist lediglich eine einmalig für das Prozedere bestätigte E-Mail-Adresse.

Technisch liegt dem neuen Verfahren Mozillas Verified Email Protocol zugrunde. Anstatt ein neues Token für die Authentifizierung einzuführen, sollen Nutzer sich dabei über ihre bekannte E-Mail-Adresse einloggen können. Die Webseite verifiziert die Adresse und deren rechtmäßigen Besitzer anschließend über ein Public-Key-Verschlüsselungsverfahren.

Die Idee dahinter ist, dass der "Proof of Control" bei Mailadressen besseren Authentifizierungsmechanismen unterliegt als eine einfache Benutzername/Passwort-Kombination. Vereinfacht ausgedrückt, macht es sich das Protokoll zunutze, dass Hoster, die die E-Mail-Adressen bereitstellen, bereits über die nötige Infrastruktur zum Überprüfen der jeweiligen Identität verfügen (hier: zu gewährleisten, dass ein Mailkonto einem bestimmten Nutzer zugewiesen ist). Im Vergleich zu anderen Sign-in-Systemen würde BrowserID keinerlei Informationen über die von Nutzer besuchte Seite an den Server übertragen (auch nicht an den BrowserID-Server), was einen weitestgehend anonymen Zugriff erlauben soll.

Das Login-Verfahren soll browserübergreifend funktionieren, unter anderem würden auch die aktuellen Versionen des Internet Explorers und verschiedene mobile Browser vom aktuellen Prototyp unterstützt. Noch setzt das System dabei auf ein per HTML und JavaScript realisiertes Verfahren, Mozilla rechnet jedoch damit, dass BrowserID künftig auch direkt vom Browser unterstützt werde.

Noch ist das System in einem experimentellen Status. Entwickler können sich jedoch schon jetzt anhand eines Tutorials mit BrowserID vertraut machen. Eine erste Beispielimplementierung gibt es unter myfavoritebeer.org – auf der Webseite lässt sich der Name des Lieblingsbieres in der Cloud speichern (sodass man sich in Zeiten der Not weltweit seine Lieblingssorte in Erinnerung rufen kann). Wenn das System beim Nutzer ankommt, könnte es langfristig die verschiedenen, bisher bekannten Sign-in-Verfahren wie OpenID und Co konsolidieren. (rl)