IETF startet Standardisierung von OAuth

Die Internet Engineering Task Force (IETF) startet eine neue Arbeitsgruppe zur Standardisierung von OAuth. Das Authentifizierungsprotokoll soll den Zugriff auf private, beim Service Provider liegende Ressourcen von Nutzern sicherer machen. Beim 73. IETF-Treffen in Minneapolis erläuterten die OAuth-Entwickler das Konzept (PDF-Datei). Die Delegierung von Autorisierung sei ein zentrales Thema für die kommenden Jahre, sagte Lisa Dusseault, eine der IETF-Leiterinnen für den Bereich Applikationen.

Motiv für die Entwicklung von OAuth war die im Web 2.0 verbreitete Tendenz, persönliche Passwörter preiszugeben, um etwa den Zugriff eines Print-Services auf die eigene Flickr-Datenbank zu ermöglichen, sagte Blaine Cook, einer der Entwickler, gegenüber heise online. Bei OAuth nimmt der Service Provider des Nutzers Anfragen auf den Datenzugriff entgegen und reagiert mit einer Abfrage für die Freigabe beim Nutzer. Sobald der Nutzer die Freigabe der Datenauswahl erlaubt hat, sendet der Provider ein Token an das anfragende Unternehmen. Erst mit diesem Token kann der anfragende Dienstleister dann auf die freigegebenen Daten zugreifen.

Die Aussicht auf einen einheitlichen, weit verbreiteten Standard und damit mehr Akzeptanz hat Yahoo, Google, Myspace, AOL und andere dazu gebracht, OAuth zu unterstützen (PDF-Datei). Bestehende eigene Protokolle für die Authentifizierung wie BBAuth, FlickrAuth oder AuthSub fanden kaum Verbreitung.

Die Partner im OAuth-Konsortium nutzen das Protokoll für verschiedene Dienste. Das Finanzmanagement-Portal Wesabe zieht alle finanziellen Ausgaben und Einnahmen des Nutzers zusammen, GoogleHealth ermöglicht Ärzten etwa den Zugriff auf die Medikation eines Patienten. Je nach eigenen Anforderungen setzten die Anbieter auf verschiedene Verschlüsselungsverfahren bei der Übersendung des Tokens. Wesabe verläßt sich auf SSL-Verbindungen und schickt Klartext. Google setzte anfangs bevorzugt auf HCMA-Sha1, befand aber das Signaturmanagement wegen seiner Komplexität zu abschreckend und nutzt jetzt verstärkt RSA-Sha1 für die Applikationsdesigner.

Die OAuth-Entwickler wurden von der IETF gefragt, ob sie bereit seien, ihr bisheriges Standardverfahren im Zweifel auch komplett zur Disposition zu stellen. "Solange Einigkeit herrscht, dass ein geänderter Vorschlag das Problem besser löst, sollten wir das machen", so Cook. Immerhin bringt das IETF-Siegel dem Standard am Ende mehr Legitimation. Dafür sind Cook und Larry Halff, einer der Koautoren, bereit, sich auf das IETF-Verfahren einzulassen. "Wir würden gerne OAuth über die Web-2.0-Welt hinaus verbreiten."

Die zunehmende Bedeutung der Delegierung von Rechtemanagement wurde auch in der Geopriv-Arbeitsgruppe der IETF diskutiert. Sie denkt darüber nach, ob es auch für Lokationsmeldungen ein Delegationssystem geben sollte, damit etwa der Pizzadienst seine Pizza an die richtige Adresse bringt. Die Realität sei schon jetzt, dass die Nutzer häufig gar nicht erfahren, dass ihre Lokationsdaten an zahlende Konsumenten und Unternehmen weitergereicht wurden, sagte Jon Pesterson, einer der Leiter des Bereichs Real-time Applications and Infrastructure Area in der IETF. Auch in der Geopriv-Arbeitsgruppe sahen viele Entwickler eine dringend Notwendigkeit für entsprechende Standards. (Monika Ermert) / (anw)