OAuth

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

Ein Zusammenschluss mehrerer Unternehmen hat mit Verimi einen deutschen Login-Dienst gestartet. Er steht in direkter Konkurrenz zu den Single Sign-ons von Facebook und Google und soll ein hohes Maß an Datenschutz gewährleisten.

Was hält länger durch: das Smart-Home-Gerät oder der Server des Anbieters? Weil sie sich nicht auf den Hersteller verlassen wollen, haben zwei Hacker damit begonnen, Xiaomi-IoT-Geräte aus der Cloud zu befreien.
Von Hauke Gierow

In der Debatte um die Manipulation öffentlicher Meinung spielen Social Bots eine große Rolle. Wir haben ausprobiert, wie einfach sich solche Bots anlegen lassen und zeigen, wie eine sinnvolle Nutzung aussehen kann.
Eine Anleitung von Friedhelm Greis

Ein weiterer Single-Sign-on-Dienst "Made in Germany": Medienhäuser und Internetunternehmen aus Deutschland wollen bis zum kommenden Jahr einen gemeinsamen Login-Dienst entwickeln - und sich durch offene Standards von der Konkurrenz abgrenzen.

Die Continuous-Delivery-Plattform Spinnaker ist von Google in Version 1.0 veröffentlicht worden. Neu mit dabei ist das Kommandozeilen-Werkzeug Halyard, mit dem die Plattform eingerichtet, verwaltet und aktualisiert werden kann.

Ein Passwortmanager soll Nutzern helfen, sichere Passwörter zu generieren und sicher zu speichern. Bei dem Betreiber Onelogin wurden jedoch zahlreiche Informationen von Nutzern durch Angreifer kompromittiert, wie das Unternehmen selbst mitteilt.

Single Sign-on ist praktisch, wird aber oft falsch implementiert. Sicherheitsforscher haben demonstriert, welche Fehler App-Entwickler dabei machen. Mehrere hundert Apps machten dabei Probleme.

Mit einer seiner größten Übernahmen seit längerer Zeit kauft Google Apigee. Die API-Tools des Unternehmens kommen in die Google Cloud, erklärte Diane Greene, Senior Vice President für Googles Cloud-Sparte.

Einfach Home-Automation-Komponenten zusammenklicken, statt sie mühselig selbst zu integrieren, das geht mit dem Webservice IFTTT (If This Then That). Es darf aber trotzdem noch selbst Hand angelegt werden.
Von Michael Schilli

Snapchat mit ein paar zusätzlichen Features aufmotzen? Oft keine gute Idee, denn die vermeintlichen Helferprogramme für iOS sind unsicher und speichern die Zugangsdaten der Nutzer.

Eine Sicherheitslücke in der OAuth-Implementation ermöglichte einem Angreifer, E-Mail-Accounts zu übernehmen. Microsoft hat die Sicherheitslücke geschlossen und ein Bug-Bounty ausgezahlt.

Cloud Storage Nearline heißt das neue Onlinespeicher-Angebot von Google. Es richtet sich an Unternehmen, die ein hochverfügbares Backup ihrer kritischen Daten anlegen wollen.

Microsoft hat von Outlook eine Version für iOS und Android vorgestellt. Doch wichtige Funktionen der Desktop-Version fehlen. Der Mailverkehr, die Kalenderdaten und Attachments werden dabei über Microsofts Server geleitet.

Die Harmony-API von Logitech steht nun auch für andere Hersteller von fernbedienbaren Geräten zur Verfügung. Interessant könnte das nicht nur für Besitzer von Universalfernbedienungen sein, wichtige Partner sind bereits gefunden.

Die Google-Tochter Nest will externe Entwickler für ihre Produkte gewinnen. Künftig sollen diese auf die APIs des Heimautomatisierungsunternehmens zurückgreifen können.

Tausende Android-Programme betten geheime Zugangsschlüssel direkt in den Quellcode ein. Angreifer können sich so Zugang zu privaten Accounts von App-Nutzern verschaffen.

Die neue Generation von OpenID ist veröffentlicht worden. Das System soll die Implementierung deutlich vereinfachen und wird zum Beispiel bereits von Google verwendet. Die Mobilfunkanbieter planen ebenfalls den Einsatz des Protokolls.

Der RSS-Reader Feedly hat sein Anmeldesystem über Nacht umgestellt, auf einmal war Googles soziales Netzwerk Google+ Pflicht für die Anmeldung. Nach heftigen Nutzerprotesten nahmen die Feedly-Macher die Änderung mittlerweile zurück.

Hacker haben bei Adobe eine Datei mit den Passwörtern von mindestens 38 Millionen Kunden gestohlen. Die hätten sie aber auch erraten können: Das beliebteste war 123456.

Die Telekom-Tochter Strato führt für ihren Cloud-Speicherdienst Hidrive ein API ein. Das ermöglicht es Entwicklern, den Cloud-Speicher in eigene Apps einzubinden.

Amazon startet mit "Login with Amazon" einen Anmeldeservice, wie ihn unter anderem Google, Facebook, Twitter und Microsoft bereits bieten. Nutzer können sich mit ihrem Amazon-Account bei anderen Websites anmelden und benötigen dann dort kein weiteres Passwort.

Nach zwei Jahren Entwicklungszeit hat das Debian-Team die aktuelle Version 7.0 alias Wheezy freigegeben. Viel Arbeit haben die Entwickler in den Installer gesteckt und die Cloud-Unterstützung ausgeweitet.

Mozilla will seinen Login-Dienst Persona zu einem Passwortkiller machen und hat ihn dazu um Identity Bridging erweitert. Nutzer sollen sich dadurch allein mit ihrer E-Mail-Adresse und ohne neues Passwort bei Websites anmelden können.

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Ein Spamangriff bei Twitter schleicht sich in Direct Messages ein und erschreckt die Nutzer. Manche löschen aus Angst gar ihren Account, wie der Chef der Piratenpartei.

Xing will im Laufe des heutigen Tages ein API für Entwickler öffnen, mit dem diese das Jobnetzwerk in eigene Applikationen integrieren können. Im Rahmen eines Betatests sind bereits rund 200 Anwendungen auf Basis der neuen Schnittstelle entstanden.

Im September 2012 können Entwickler der Berliner IT-Szene zeigen, ob sie beim Facebook Developer World Hack soziale Applikationen schaffen können, die Facebook beeindrucken. Die Themen sind Facebook-APIs, Mobile-SDKs und Open Graph.

OAuth 2.0 ist ein schlechtes Protokoll, schreibt Eran Hammer-Lahav in einem Blogeintrag. Das ist deshalb bemerkenswert, da Hammer die Entwicklung des Protokolls über die vergangenen drei Jahre geleitet hat und nun nichts mehr damit zu tun haben will.

Googles Cloud-Plattform App Engine 1.7 erhält zahlreiche neue Funktionen. Dabei soll Googles Plattform-as-a-Service einfacher zu nutzen sein.

In einer Art Lightversion des Chaos Communication Congress haben sich Hacker zur Sigint 2012 in Köln getroffen. Es gab zwar insgesamt weniger Vorträge und hochkarätige Sprecher als zum Hacker-Haupttreff in Berlin, sie waren aber nicht weniger spannend.

Cloud-Dienste spielen in Windows 8 eine große Rolle, die Marke Windows Live, unter der Microsoft seine Cloud-Angebote bisher gebündelt hat, lässt Microsoft aber sterben. Nutzer sollen sich aussuchen können, welche Dienste von Microsoft sie nutzen wollen.

Microsoft richtet eine XMPP-Schnittstelle für seinen Instant-Messaging-Dienst ein, der rund 300 Millionen aktive Nutzer zählt. Der von der IETF verabschiedete Standard wird auch von Jabber, Google Talk und Facebook unterstützt.

Google hat sein soziales Netzwerk Google+ um ein erstes API erweitert, weitere sollen folgen. Über dieses erste API können Entwickler ausschließlich auf öffentliche Daten in Google+ zugreifen.

Facebooks Werbekunden und andere Partner konnten über längere Zeit auf Daten von Facebook-Nutzern zugreifen, sowohl auf Profildaten als auch Fotos und Chats, meldet Symantec. Facebook hat die Sicherheitslücke bestätigt und beseitigt.

Google Storage steht ab sofort allen Interessierten auch ohne Einladung zur Verfügung. Der Cloud-Speicherdienst konkurriert mit Amazon S3 und kann derzeit kostenlos genutzt werden. Zugleich stellt Google neue Funktionen vor.

Facebook-Manager touren derzeit durch Europa und beglücken Entwickler mit Liebe: Mehr als 400 folgten Facebooks Einladung zur "Facebook HACK" in die Berliner Kalkscheune und machten die kurzfristig angesetzte Veranstaltung zum größten Entwicklertreffen von Facebook außerhalb von San Francisco.

Mozilla treibt die Entwicklung von F1 zügig voran. Die Firefox-Erweiterung soll Share-Buttons im Web überflüssig machen und ist künftig direkter Bestandteil des URL-Eingabefeldes von Firefox.

Google führt OAuth 2.0 zum Zugriff auf seine APIs ein. Entwickler sollen dadurch mit weniger Code mehr Funktionen nutzen können. Noch ist das allerdings eher experimentell.

Mozilla hat den Share-Buttons mit F1 den Kampf angesagt und die Browsererweiterung in der neuen Version gründlich überarbeitet. Unter anderem gibt es ein komplett neues Userinterface.

Das Eclipse-Projekt Orion will die Entwicklungsumgebung in den Browser verlagern. Der Client und die dazugehörigen Werkzeuge basieren auf Javascript, der Server ist in Java geschrieben.

Ab sofort ist ein Login für die Kommentarfunktion von Golem.de auch mit Accounts von Drittanbietern möglich. Neben OpenID werden unter anderem auch Google, Facebook und Twitter unterstützt.

Mozilla will mit F1 die Verbreitung von Webseiten über soziale Netzwerke vereinfachen und dabei zugleich die das Web überflutenden Share-Buttons überflüssig machen.

Pünktlich hat das Diaspora-Team eine Entwicklerversion des freien sozialen Netzwerks veröffentlicht. Diaspora soll mit Hilfe der Gemeinschaft reifen. Für die nächste Alphaversion im Oktober ist eine Facebook-Integration geplant - und Übersetzungen.

Das Open-Bank-Projekt will für mehr Transparenz bei Finanztransaktionen sorgen, um Korruption und Misswirtschaft zu verhindern. Das Berliner Unternehmen Technical Solutions Berlin (TESOBE) will dazu ein Framework entwickeln, das Zugang zu den Transaktionen bietet.

Facebook hat eine Betaversion seines Entwicklerpakets für Android veröffentlicht. Android-Entwicklern soll es damit einfacher fallen, Facebook in ihre mobilen Anwendungen zu integrieren.

David Recordon, der schon für frühere OpenID-Spezifikationen verantwortlich war, hat unter dem Namen OpenID Connect einen Entwurf für die nächste OpenID-Generation vorgelegt. Damit wird OpenID auf Basis von OAuth 2.0 umgesetzt, was die Implementierung erleichtern und neue Möglichkeiten schaffen soll.

Mit dem Open-Graph-Protokoll will Facebook eine neue Generation sozialer Netze starten: Das offene Protokoll soll die Verbindungen zwischen Menschen und Dingen über mehrere Webseiten ermöglichen. Zugleich führt Facebook mit Social Plugins einen Like-Button für das gesamte Netz ein, startet mit dem Graph API ein komplett neu entwickeltes API und unterstützt künftig OAuth.

Mit der Open Web Foundation soll ein Rahmen für die Entwicklung von Webspezifikationen aus der Community heraus geschaffen werden. Ähnlich wie die Apache Software Foundation soll auch die Open Web Foundation Projekten einen rechtlichen Rahmen geben, so dass sich diese auf ihr eigentliches Ziel konzentrieren können.

Google erweitert sein OpenID-API um zwei neue Funktionen: So erlaubt Google nun den Austausch einiger weniger Nutzerdaten und kann die Anmeldung an Seiten Dritter in einem Pop-up abwickeln.