OpenID – Reactie op enkele kritische punten

Als reactie op een uitgebreid artikel (lees vooral ook de reacties) van Tim Bray geeft Dare Obasanjo een mooie samenvatting en analyse waarom OpenID nog steeds wel erg interessant kan zijn.

De hoofdpunten van zijn betoog, waarin hij een aantal punten van Tim Bray tegen spreekt, luiden:

1. Secure verbindingen zijn niet verplicht voor OpenID providers. Zoals aangegeven wordt is het natuurlijk altijd een toegevoegde waarde om SSL of andere beveiligde verbindingen te gebruiken. Op dit moment is dit echter niet het grootste probleem en zou het de invoering van OpenID ook niet tegen moeten houden.
2. Problemen met kwaliteit van OpenID providers. Doordat iedereen een OpenID service provider kan opzetten, zullen er ook veel providers ontstaan die qua authorisatieniveau geen toegevoegde waarde hebben. Een advies hierbij is dan ook om gebruik te maken van OpenID providers van hoge kwaliteit.
3. Phishing. Dit is een probleem wat niet in een keer opgelost zal gaan worden met OpenID. Er worden een aantal voorbeelden gegeven van bestaande web services waar op dit moment exact hetzelfde gebeurd. Dit is een probleem dat door de browser fabrikanten en het W3C opgelost dient te worden.

Afsluitend plaats hij nog een link naar een nieuwe uitbreiding van OpenID om eenvoudig om te gaan met attribute exchange. Met attribute exchange wordt bedoeld het uitwisselen van extra gegevens tussen de OpenID provider en de service waar de gebruiker in wil loggen. Hierbij kan gedacht worden aan uitgebreide profielinformatie die eenvoudig uitgewisseld kan worden wanneer de gebruiker toestemming geeft.