Meine ID, Deine ID

Die Mozilla-Stiftung will ihren Browser Firefox für die Verwaltung von Online-Identitäten fit machen.

Das Rennen um das Management der virtuellen Persönlichkeit hat begonnen: Mit Ankündigungen, die nur wenige Tage auseinanderlagen, legten sowohl der Social-Networking-Riese Facebook als auch die durch den Browser Firefox bekannte Mozilla-Stiftung ihre jeweils ganz eigenen Pläne vor. Doch in beiden Fällen ging es darum, wie Nutzer sich künftig im Netz authentifizieren sollen.

Facebook setzt mit seinem "Open Graph Protocol" auf den oAuth-Standard, der es erlaubt, User gegenüber einer Website zu identifizieren, ohne dass sensible Informationen direkt ausgetauscht werden müssten. Das soziale Netzwerk hat mittlerweile über 400 Millionen Nutzer in aller Welt. Es könnte, sollte sich die Technik durchsetzen, noch viel größer werden – das halbe Internet würde sich dann auf die bei Facebook gespeicherten Daten verlassen.

Die Mozilla-Stiftung will dagegen die Verwaltung der Online-Identität direkt in die Software des Nutzers integrieren – in Form von Zusatzprogrammen für den Browser, sogenannte Extensions. Eine davon, der "Account Manager", ersetzt die nicht selten unsicheren, selbstgewählten Online-Passwärter der Nutzer durch computergenerierte und möglichst lange Zufallscodes – für jede neue Seite einen eigenen. Darauf greift der Nutzer dann bequem über ein einzelnes Master-Passwort zu, weitere Gedanken zur Sicherheit muss er sich nicht mehr machen.

Die neuen Erweiterungen für Firefox könnten mit bestehenden Standards wie Open Graph, oAuth und OpenID interagieren – OpenID ist zudem eine Technik, die auch das Anlegen von Social Networking-Profilen erlaubt. Das Ziel der Mozilla-Stiftung ist die Etablierung eines reichhaltigen Portfolios an Protokollen, die später auch in alle anderen Browsern integriert werden könnten.

Dabei soll der Bereich der Web-Identität, ganz im Gegensatz zu Facebooks Ansatz, von der Server-Seite in den Browser wechseln – als Teil von dessen "Chrome", also der Benutzeroberfläche. Das Einloggen in ein Angebot soll über eigene Knöpfe oberhalb des Browser-Fensters erfolgen, nicht mehr direkt bei Websites.

"Von jedem Internet-Nutzer wird heute erwartet, dass er sich gegenüber jeder neuen Seite identifiziert", meint Mike Hanson, leitender Ingenieur bei den Mozilla Labs. Das führe zwangsläufig zu viel Verwirrung und Sicherheitslücken wie Passwörtern, die über verschiedene Angebote hinweg nicht gewechselt würden. Deshalb sei es sinnvoll, dass der Browser das ID-Management übernimmt.

"Weave Sync", eine weitere neue Erweiterung für Firefox, soll all diese Daten außerdem portabel machen. Die Technik speichert verschlüsselte Versionen der wichtigsten Nutzerinformationen im Internet – entweder bei Mozilla selbst oder auf einem selbstgewählten Server des Nutzers. Dabei werden die Browser-Historie, die Einstellungen, Lesezeichen, geöffneten Tabs und vieles mehr gleich mit abgelegt. Das Praktische daran: Es ist so möglich, Browser auf mehreren Rechnern miteinander abzugleichen. Selbst Fennec, die Smartphone-Version von Firefox, will man unterstützen.

Letzten Herbst beauftragten die Mozilla Labs außerdem ihren Forscher Chris Messina mit dem Projekt, einen neuen Browser zu entwickeln, der die andere Hälfte der Online-Identität verwalten kann: Den sozialen Graphen des Nutzers, also das Beziehungsgeflecht, das Facebook und Co. so gut abbilden. In den Demonstrationen, die der Experte mittlerweile erstellt hat, kann ein Nutzer deutlich mehr mit seinem persönlichen Profil anfangen als OpenID und Facebooks Open Graph derzeit bieten. "Die Idee eines sozialen Browsers ist deshalb so wichtig, weil er den zentralen Knotenpunkt darstellen könnte, über den alle Web-Angebote miteinander verknüpft werden", sagt Messina. Egal wohin im Netz man sich bewege, die Software auf dem eigenen Rechner wisse stets, wer man sei – eine Strategie, die für Datenschützer durchaus besser klingt, als die Auslagerung an externe Anbieter.

Messina stellt sich einen Browser vor, der es Nutzern erlaubt, anderen zu "folgen", indem man ihre jeweils relevanten Informationsströme (Lifestreams) abonniert – Facebook mit seinem "News Feed" beispielsweise, den Kurznachrichtendienst Twitter oder die Fotosammlung Flickr. All diese Daten laufen dann in einem einzelnen Browser-Tab zusammen, das mit dem Profilbild des jeweiligen Freundes versehen wird. Ein ähnliches Interface soll dazu verwendet werden, zu kontrollieren, auf welche persönlichen Informationen andere Nutzer oder Websites zugreifen können. Dies würde es beispielsweise erlauben, die Versandadresse bei mehreren Online-Shopping-Portalen gleichzeitig zu ändern oder die eigene Außendarstellung gegenüber einer bestimmten Freundesgruppe zu steuern. "Ich interessiere mich nicht für den Ansatz von Facebook-Gründer Mark Zuckerberg, für den die Privatsphäre offenbar nicht mehr existiert", so Messina deutlich.

Sowohl Facebook als auch die Mozilla-Stiftung stehen vor einer großen Herausforderung, ihre jeweilige Vision einer Online-Identität im Netz durchzusetzen. John Mitchell, Informatikprofessor an der Stanford University, meint, dass die größte Eintrittsbarriere bei der Verfügbarmachung passender Protokolle liegt. Genau die sind nämlich noch nicht standardisiert. Bevor ein ID-Verfahren nicht Teil der nächsten Version von HTML sei, müssten Web-Entwickler bereit sein, zu experimentieren.

"Was ich bislang von vielen Firmen gesehen habe, ist der Versuch, eine mögliche Lösung dieses Problems zu erraten und diese dann umzusetzen. Es wäre aber besser, wenn wir von vorneherein eine offene Architektur hätten, mit der die Entwickler viele verschiedene Ansätze ausprobieren können", sagt Mitchell.

Zunächst bleibt spannend, ob sich die neuen Erweiterungen der Mozilla-Stiftung und Messinas Ideen als populär genug erweisen – sowohl bei den Nutzern als auch bei Standardisierungsgremien wie dem World Wide Web Consortium (W3C), dem sie vorgelegt werden sollen. Dann könnte die Technik schnell ihren Weg in den höchst beliebten Firefox-Browser finden und etwas später auch in konkurrierende Produkte.

Messina ist jedenfalls froh, dass der erste Schritt hinter ihm liegt – die Gestaltung der Grundlagen für die neue Technologie. "Wir sind zwar noch weit entfernt vom Tod aller Passwörter, aber es ist schon mal gut, solch ein Ziel formuliert zu haben." (bsc)