Mozilla BrowserID

Ein-Klick-Login für alle Websites und Browser

Login mit einem Klick, ohne für jede Website ein spezielles Passwort angeben zu müssen, das verspricht Mozillas neues Projekt BrowserID. Für Websitebetreiber soll das System ebenfalls extrem einfach zu nutzen sein.

Anzeige

Mozilla stellt mit BrowserID ein universelles Loginsystem für Websites vor, bei dem sich Nutzer mit einem Klick anmelden können. Nutzer melden sich dabei einfach mit ihrer E-Mail-Adresse an und benötigen kein Passwort, um sich auszuweisen. Dabei macht Mozilla sich zunutze, dass viele Websites schon heute Nutzer anhand ihrer E-Mail-Adresse identifizieren, mindestens dann, wenn diese ihr Passwort vergessen haben und ein neues an ihre hinterlegte E-Mail-Adresse geschickt bekommen.

BrowserID nutzt dazu das Verified Email Protocol und bindet E-Mail-Provider ein, ohne deren Mitarbeit zu erzwingen. Und obwohl Mozillas Lösung darauf abzielt, direkt im Browser implementiert zu werden, ist die erste Version des BrowserID-Clients komplett in HTML und Javascript umgesetzt und läuft in allen modernen Browsern, auch im Internet Explorer und auf mobilen Endgeräten.

Wie funktioniert BrowserID

BrowserID nutzt verifizierte E-Mail-Adressen. Meldet sich ein Nutzer bei einem primären Identitätsprovider an, erzeugt dieser ein Schlüsselpaar, dessen privater Schlüssel im Browser gespeichert wird, während der öffentliche Schlüssel vom primären Identitätsprovider öffentlich zur Verfügung gestellt wird. Ein solcher primärer Identitätsprovider kann ein E-Mail-Anbieter wie GMX, Web.de oder Google Mail sein, muss es aber nicht.

Klickt ein Nutzer nun auf einen Login-Button einer Website, die BrowserID unterstützt, wird er vom Browser aufgefordert, eine der hinterlegten, verifizierten E-Mail-Adressen zur Anmeldung auszuwählen. Anschließend übermittelt der Browser diese E-Mail-Adresse, die zuvor mit dem privaten Schlüssel signiert wurde, zusammen mit einem Zeitstempel und einer sogenannten Audience Restriction an die Website.

Die Website prüft die Daten: Zunächst holt sie dazu mit einem Webfinger-Lookup über SSL den öffentlichen Schlüssel vom primären Identitätsprovider und prüft dann anhand des öffentlichen Schlüssels die Signatur. Passen die Daten zusammen, kann die Website davon ausgehen, dass der Browser von einem Nutzer mit der entsprechenden E-Mail-Adresse verwendet wird.

Wenn E-Mail-Anbieter nicht mitmachen

Mozilla geht davon aus, dass keinesfalls alle E-Mail-Anbieter das System unterstützen werden. Um dem gerecht zu werden, werden sekundäre Identitätsprovider eingesetzt. Dabei handelt es sich um einen vertrauenswürdigen Itermediär, der die E-Mail-Adressen verifiziert. Wie diese Prüfung stattfindet, bleibt dem sekundären Identitätsprovider überlassen, ähnlich wie bei Anbietern von Zertifikaten. Letztendlich entscheiden die Nutzer und Websitebetreiber, ob sie einem solchen Anbieter vertrauen.

Die Anmeldung bei einer Website läuft auf die gleiche Art und Weise ab wie zuvor beschrieben, im Browser wird lediglich zusätzlich die ausgebende Stelle der ID hinterlegt und an Websites übermittelt.

Verifikationsdienste

Die Prüfung der Zertifikate ist nicht ganz trivial. Daher erwartet Mozilla, dass sich vor allem kleinere Websites mit der Implementierung schwertun. Abhilfe schaffen sollen spezielle Verifikationsdienste, vertrauenswürdige Dritte, die die Prüfung der Zertifikate übernehmen. Dazu muss eine Website nur die vom Browser übermittelten Logindaten zusammen mit dem erwarteten Audience-String über SSL mit einem POST-Request an einen Verifikationsdienst schicken. Der Verifikationsdienst liefert dann den entsprechenden Anwortcode zurück.

Die Verwendung des Audience-String soll Angriffe verhindern, bei denen die Anmeldung bei anderen Websites unerlaubt genutzt wird.

Nur ein paar Zeilen Javascript

Websites können BrowserID ohne großen Aufwand verwenden, denn Mozilla stellt unter browserid.org eine komplette Implementierung des Systems zur Verfügung und betreibt zudem einen Verifikationsdienst.

Wer also Nutzern die Anmeldung per BrowserID erlauben will, muss dazu lediglich wie unter browserid.org/developers.html beschrieben Mozillas BrowserID-Bibliothek einbinden und in der Funktion navigator.id.getVerifiedEmail() festlegen, was passieren soll, wenn ein Nutzer erfolgreich angemeldet ist oder die Anmeldung fehlschlägt.

Mozilla will BrowserID in künftige Versionen von Firefox integrieren und hofft, dass auch andere Browserhersteller das System übernehmen.

Kommentarübersicht
Re: Loginprüfung per Javascript ? Ernsthaft ?
Sinnfrei 20. Nov 2011

Naja, der Umweg über Javascript ist auf jeden Fall irgendwie doof, da die...

Re: Datenschutzgau
BLi8819 19. Nov 2011

Also bei Firefox muss ich nur auf Anmelden klicken. Bei Opera nur auf den Schlüssel...

Re: Openid
Falkentavio 18. Jul 2011

OpenID verfolgt AFAIK einen anderen Ansatz. Hier hat man einen zentralen Login für alle...

Re: und wenn ich Rechner / Browser wechsele?
elitezocker 16. Jul 2011

Wer soooo viele PCs besitzt ist bestimmt ein Hacker. Und die brauchen keine...

Re: Brauchen wir das noch?
/mecki78 15. Jul 2011

Also ich finde das höchst vertrauenswürdig, wenn ein Anbieter, nur aufgrund der...

Kommentieren

Trackbacks

Denkmaschinen-Blog / 15. Jul 2011

BrowserID: Mozilla will Passworteingaben überflüssig machen

Anzeige
Stellenmarkt
  1. Softwareentwickler/in Java / JEE
    BBF GmbH, München
  2. Akademische Räte / Rätinnen
    Universität Passau, Passau
  3. Prüfer/-in für die IT-Revision
    Kreissparkasse Tübingen, Tübingen
  4. Anwendungs- und Prozessberater/in
    HÜGLI NAHRUNGSMITTEL GMBH, Radolfzell

 

Detailsuche

Folgen Sie uns
       
Videos
Splinter Cell Blacklist - Trailer (Koop) Splinter Cell Blacklist - Trailer (Koop)
Ticker
  1. Xbox One

    Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

  2. Microsoft

    Xbox One mit neuer Kinect und Blu-ray-Laufwerk

  3. Datennetz

    Bundesweite Störung beim mobilen Internet der Telekom

  4. Heavy Gear Assault

    Mech-Action auf Basis der Unreal Engine 4

  5. Superkondensator

    Neuer Energiespeicher mit kurzer Ladezeit

  6. Ruckus Wireless

    Telefonzellen werden zu Gratis-Hotspots

  7. Engine

    Unity-Basis kostenlos mit Mobile-Werkzeugen

  8. Drosselung

    Ein Drittel aller Filme wird als Video-on-Demand geliehen

  9. Wikileaks

    Wau-Holland-Stiftung kann nur noch die Server bezahlen

  10. Surface Pro im Test

    Microsofts Tablet überzeugt als Notebook

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Cast AR
Cast AR: Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille
Cast AR
Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

Zwei ehemalige Valve-Mitarbeiter haben auf einer Entwicklermesse eine revolutionäre AR-Brille gezeigt. Damit sollen sich computergenerierte Objekte räumlich korrekt in die Echtwelt einblenden lassen.

Soziales Netz
Internet und Krieg: Wenn Social Networks zum Schützengraben werden
Internet und Krieg
Wenn Social Networks zum Schützengraben werden

Wer heute Soldat ist, ist mit dem Netz aufgewachsen und füllt es mit eigenem Erleben. Armeen ist das nicht recht, dabei nutzen sie das Netz für sich.

  1. Malware Trojaner übernimmt Facebook-Konten
  2. Microblogging Umbau bei Identi.ca
  3. Soziale Netzwerke Schnitzeljagd mit Speeker
Flickr
Yahoo: Flickr mit einem kostenlosen TByte für Fotos
Yahoo
Flickr mit einem kostenlosen TByte für Fotos

Yahoo hat seinen Fotosharingdienst Flickr überarbeitet und bietet nun jedem Nutzer kostenlos 1 TByte Speicher für seine Fotos und Videos an. Das soll für eine Viertelmillion Bilder mit 14 Megapixeln reichen. Auch die Android-App wurde erneuert.

  1. Instagram als Vorbild Flickr führt Hashtags ein
Forumsbeiträge »
  1. Xbox One Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

    Wen interessiert die Grafik?

    fratze123 | 07:37

  2. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: Always on ..

    smeexs | 07:34

  3. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: Hat die Xbox dann einen DVB-C/T/S Anschluss...

    Knarz | 07:34

  4. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: So ein Mist: Gebrauchtspielsperre, Kinect...

    Lord Gamma | 07:32

  5. Yahoo Japan Daten von 22 Millionen Nutzern kompromittiert

    Re: Vorbildliches Vorgehen!

    wombat_2 | 07:28

Ticker »
  1. Xbox One Forza 5 und Halo-Serie von Spielberg kommen für Xbox One

    21:12

  2. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    19:48

  3. Datennetz Bundesweite Störung beim mobilen Internet der Telekom

    19:04

  4. Heavy Gear Assault Mech-Action auf Basis der Unreal Engine 4

    18:51

  5. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    18:07

  6. Ruckus Wireless Telefonzellen werden zu Gratis-Hotspots

    16:48

  7. Engine Unity-Basis kostenlos mit Mobile-Werkzeugen

    16:24

  8. Drosselung Ein Drittel aller Filme wird als Video-on-Demand geliehen

    15:04

Zum Artikel