Login
Newsletter
Werbung

Thema: Google stellt OpenSK, eine vollständig offene USB-Key-Implementation vor

12 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Anonymous am Di, 4. Februar 2020 um 09:43 #

Warum ist jetzt noch mal eine offene Implementation eines FIDO-Sticks schlecht? Weil sie von einer bestimmten Person kommt?

Weil sie von einem Monopolisten kommt, der mit solchen quersubventionierten Geschenken seine Marktmacht immer weiter ausbaut.

Normalerweise wäre das ein Fall für die Kartellbehörden. Aber erstens trauen die sich nur zögerlich an US-Firmen heran, weil sie dann Ärger mit dem "neuen Rom" bekommen, und zweitens zahlt Google die lächerlichen Kartellstrafen aus der Portokasse.

  • 0
    Von Nö! am Di, 4. Februar 2020 um 10:40 #

    Und noch mal: Was ist an einer OFFENEN Implementation eines technischen Standards schlecht?

    • 0
      Von Josef Hahn xh am Di, 4. Februar 2020 um 11:17 #

      Nicht für dich; aber für alle, die es verstehen _wollen_: Diese Offenheit ist ein Köder, der wegfällt oder verkommt, sobald sich das Produkt durchsetzt. Google reißt den Standard an sich, und macht dann embrace, extend and extinguish.

      • 0
        Von Nö! am Di, 4. Februar 2020 um 12:25 #

        Blödsinn.

        Offene Standards sind offen und somit nicht vereinnahmbar.
        Freier Code ebensowenig.
        Google ist übrigens auch die Bude, die einen nicht patentbelasteten Video-Codec vorantreibt, das nur zur Info.

        Du verwechselst das absichtlich mit Microsoft, die immer Standards inkompatibel erweitert haben (in proprietärer Software!) und dann versucht, auszulöschen.

        Aber Äpfel sind nun mal keine Birnen.

        • 0
          Von Josef Hahn xh am Di, 4. Februar 2020 um 16:43 #

          > Du verwechselst das absichtlich mit Microsoft, die immer Standards inkompatibel erweitert haben

          Na dann bin ich ja beruhigt, was Chrome und das www in Zukunft angeht. Ein Konzern, der auf der weltweit einzigen relevanten (General Purpose) Videoplattform ein leeres div platziert, damit der eigene (und weltweit einzige relevante) Browser besser darsteht gegenüber dem MS-Browser (dessen Hardwarebeschleunigung dann nicht mehr greift), könnte ja sonst ganz immensen Schaden anrichten.

          Wir können uns gern auf eine Variante einigen, in dem der letzte Schritt nicht "auslöschen", sondern "an sich reissen" ist. Das hat aber ganz ähnliche Folgen.

        0
        Von klopskind am Di, 4. Februar 2020 um 13:46 #

        Google reißt den Standard an sich, und macht dann embrace, extend and extinguish.
        EEE als solches ist bekannt. Aber auf mich wirkt eine Anwendung jenes Konzepts in diesem speziellen Fall noch etwas vage. Könnten Sie daher präzisieren, wie das in diesem Fall genau ablaufen wird oder könnte? Für wie realistisch halten Sie ein solches Szenario? Und wieso? Speziell die Phase "extend" und "extinguish" interessieren mich an dieser Stelle. Wie kann Google von Erweiterungen des Produkts/Standards, die konsequenterweise ebenfalls offen sind, alleinig ggü. der Konkurrenz profitieren? Und wie könnte/sollte Google den Standard überhaupt strikt erweitern? Danke

        • 0
          Von Josef Hahn xh am Di, 4. Februar 2020 um 16:33 #

          Da ist Google sicher pfiffiger als ich - und bestimmt auch tiefer im Thema. Sobald sie genug Verbreitung haben, könnten sie vielleicht eine Ehrenrunde über die Google-Server als zweiten Faktor einführen - zuerst wieder als spendables Zusatzangebot, an dem aber dann irgendwann wieder niemand vorbeikommt. Oder sie packen Metadaten in den Key, für irgendwelche Convenience-Features, die dann immer verpflichtender werden. Wie EEE eben so läuft... Das sind nur Mutmaßungen, ich kenne FIDO nicht in der Tiefe. Aber Möglichkeiten für EEE bieten sich doch in praktisch jedem Standard, der komplexer als Ping oder Echo ist.

          • 0
            Von klopskind am Di, 4. Februar 2020 um 18:26 #

            Ich dachte in Anbetracht der Diskussionsbeiträge, Ihnen würde da ein konkreteres Szenario vorschweben. Nun gut, falsch gedacht. :)

            In der FIDO-Allianz sind sehr viele Großunternehmen. Es geht hier ja um die Interoperabilität, damit z.B. Anwender mehrere Online-Dienste ohne größere Umstände parallel verwenden können (Konten, Profile, Cloud-Geraffel etc.). Es wäre eine Win-Win-Situation für alle. (Das erinnert ein wenig an die Etablierung und Ausweitung des Zahlens per Plastikgeld, nur dass dort die Standards nicht offen sind.)

            Um hier also von EEE profitieren zu können, müsste man demnach doch bereits den erheblichen Teil des Marktes an Authentifizierungslösungen per FIDO dominieren, oder sehe ich das falsch? Was nützt also EEE an diesem Punkt, wenn man ohnehin schon marktbeherrschend ist? Klassisches EEE beginnt ja nicht in der Rolle des Monopolisten.

            Ich denke, dass die Möglichkeiten für EEE auch für Google an dieser Stelle stark begrenzt sind. An anderer Stelle sieht das sicherlich schon wieder ganz anders aus.

            • 0
              Von Josef Hahn xh am Di, 4. Februar 2020 um 18:59 #

              > Ich dachte in Anbetracht der Diskussionsbeiträge, Ihnen würde da ein konkreteres Szenario vorschweben. Nun gut, falsch gedacht.

              Da sind wieder die klopskind'schen rhetorischen Taschenspielertricks gepaart mit einer kleinen Frechheit. :) Ich habe dir ja relativ konkrete Szenarien beschrieben, die mir vorschweben. Ob sie technisch fundiert sind oder nicht, und warum, _das_ wäre ein interessanter Input. Die Erörterung, welche Rollen welche Spieler in der Definition von "klassischem EEE" einnehmen, ist hingegen wieder eine Blendgranate.

              • 0
                Von klopskind am Di, 4. Februar 2020 um 20:28 #

                Ich habe dir ja relativ konkrete Szenarien beschrieben, die mir vorschweben.
                Wie konkret diese Szenarien nun tatsächlich sind, sei einmal dahingestellt. Als Teil eines konkreten Szenarios sehe ich aber auch die Machbarkeit, nach der ich in diesem Zusammenhang explizit gefragt hatte. Meine Frage, wie realistisch diese Szenarien wären, haben Sie mich an der Stelle bestenfalls mit "[...] Wie EEE eben so läuft... Das sind nur Mutmaßungen, ich kenne FIDO nicht in der Tiefe. Aber Möglichkeiten für EEE bieten sich doch in praktisch jedem Standard, der komplexer als Ping oder Echo ist." abgespeist. Konkret finde ich das nicht gerade.

                Und hier von "klopskind'schen rhetorischen Taschenspielertricks gepaart mit einer kleinen Frechheit" zu sprechen, hilft niemandem wirklich weiter. Ich würde es bestenfalls Spitzfindigkeit nennen.

                Die Erörterung, welche Rollen welche Spieler in der Definition von "klassischem EEE" einnehmen, ist hingegen wieder eine Blendgranate.
                Dann untermauern Sie diese Behauptung doch mit sachlichen Argumenten. Oder ist Google an dieser Stelle bereits schon in Phase zwei von EEE? Ziehen Sie doch mal die Parallelen zu Microsoft Office und Wordperfect/Lotus-1-2-3 oder Microsoft IE ActiveX und Netscape Navigator Plugins oder J/Direct und Suns JNI in den konkurrierenden Java-Implementierungen. Das hier liegt so weit unten im Software-Stack, ist offen und wird von einer breit unterstützten Allianz standardisiert. Möglicherweise gibt es innerhalb der Allianz sogar Abkommen, kein EEE bzgl. von FIDO-Komponenten durchzuführen.

                • 0
                  Von Josef Hahn xh am Mi, 5. Februar 2020 um 12:41 #

                  Wie gesagt kenne ich die technischen Details _nicht_, und hätte mich über eine Einordnung gefreut bezüglich meiner Überlegungen "zweiter Faktor per Google-Cloud - zuerst optional, dann scheibchenweise mit höherer Durchdringung immer bindender", oder "Metadaten im Key für Convenience-Features, auch zuerst optional, dann ...". Das fiel mir halt anhand meiner dünnen Vorstellung so ein, und habe keine Vorstellung, wie machbar oder schlüssig das wäre. Das weiß ich jetzt leider immernoch nicht, weil du dich wieder an anderen Dingen aufhälst. Und ob du es jetzt EEE nennen willst, oder ein anderer Begriff besser passt, ändert ja am Sachverhalt nichts. Der letzte Schritt ist vielleicht nicht "auslöschen", sondern "an sich reissen" - wie sie es im www machen.

                  Was ich vorallem sehe, auch hinsichtlich deines "Klassisches EEE beginnt ja nicht in der Rolle des Monopolisten": FIDO steht nicht alleine. Es gibt heute Authentifizierungslösungen; die Verbreitetste ist ein stumpfes Passwort. Man kann sicher darüber streiten, ob das besser geht oder nicht. Aber heute kann ich mich noch (fast) überall einloggen ohne Google-Technologien. Und da höre ich die Nachtigall trapsen: Könnte Google ein Interesse daran haben, sich mit irgendwas dazwischenzudrängen, damit Authentifizierung im Web (und generell im Netz) irgendwann etwas ist, wozu man die Großklubs auch noch braucht?

                  Das sind Überlegungen und Fragen, nichts weiter. Wenn du mir schlüssig erklären kannst, warum das alles paranoider Blödsinn ist, wäre ich dir nicht böse. ;)

                  • 0
                    Von klopskind am Mi, 5. Februar 2020 um 17:52 #

                    Zu Ihrem zweiten Absatz, wenn es um Authentifizierungslösungen generell geht:
                    Mit dem Browser machen das Google und Mozilla ja bereits. Die Passwortverwaltung findet meines Wissens nach, je nach dem, ob man ein Konto verwendet, auf den Systemen von Google bzw. Mozilla statt. So braucht man ja nur noch ein Passwort für allen Online-Kram und kommt auch wieder dran, wenn plötzlich die lokalen Daten verschwunden sein sollten. Es ist einfach so praktisch!

                    Auch Android bzw. iOS selbst sind in gewisser Weise Authentifikatoren. Dort liegen Geheimnisse, auf die im Optimalfall nur der Besitzer Zugriff hat (per PIN etc.). Zudem ist die Mobilfunknummer eindeutig einer Person zuzuordnen. Auch bei Prepaid muss ja inzwischen zwangsweise ein Identität registriert werden.
                    Das merkt man an den ganzen IdeenSpinnereien und Zukunftsklänge von Krankenkassen und Kreditinstituten für Arztbesuche, Fitnessapps zur Bewertung des Risikos deiner Person als Versicherungsfall, Authentifizierung von Bezahlvorgängen, Autoschlüsselersatz, Park- , Flugerlaubnis oder Reiseerlaubnis wie etwa der Reisezertifikatersatz im Nah- und Fernverkehr DB (Apps oder elektronische Dokumente als Fahrschein) und natürlich zur Identifikation.

                    In dieser Hinsicht muss man diese Entwicklungen schon kritisch betrachten. Ein OpenSK allein, was hier als OSS über den Zaun geworfen wird, ist für sich genommen ein anderes Thema, das nicht dieser Reichweite entspricht. Das ist ein winzig kleines Zahnrad, das allein nicht relevant wäre, für die Maschinerie. Das wäre bestenfalls die Spitze des Eisbergs. In der Hinsicht stimme ich Ihnen zu. Jetzt verstehe ich auch, worauf Sie eigentlich hinaus wollten.

Pro-Linux
Unterstützer werden
Neue Nachrichten
Werbung