Entwicklungsleiter distanziert sich von Web-Authentifizierung OAuth 2.0

Der Web-Authentifizierungsdienst OAuth 2.0 entwickelt sich in die falsche Richtung. Der aktuelle Entwurf sei unsicher und allzu breit, sagt sein Erfinder und Entwicklungsleiter Eran Hammer-Lahav. Er kommt zu dem Schluss, es handle sich um ein „schlechtes Protokoll“, und zieht sich deshalb aus dem Projekt zurück.

„Im Vergleich zu OAuth 1.0 ist die Spezifikation 2.0 komplexer, weniger interoperabel, weniger nützlich, unvollständiger und vor allem weniger sicher“, schreibt Hammer-Lahav in einem Blogeintrag. „Ich habe meine Rolle als führender Autor und Bearbeiter aufgegeben, meinen Namen aus dem Entwurf zurückgezogen und die Arbeitsgruppe verlassen. Die Entscheidung, die Leitung des Projekts nach fünf Jahren zu abzugeben, war qualvoll.“

OAuth dient dazu, einer Anwendung oder Website begrenzten Zugriff auf eine andere zu geben, um die Zahl der nötigen Nutzernamen und Passwörter zu verringern. Beispielsweise könnte eine fremde Bildbearbeitungs-App damit Bilder auf dem Flickr-Konto des Nutzers einstellen. Version 1.0 stammte von 2007. Der Nachfolger 2.0 sollte eigentlich Ende 2010 abgeschlossen werden. Es steht jetzt vor der Fertigstellung, hat sich aber laut Hammer-Lahav aufgrund der Prioritäten der in der Internet Engineering Task Force (IETF) mitarbeitenden Firmen noch einmal verschoben.

„Kern des Problems ist ein starker, nicht zu überbrückender Konflikt zwischen dem Web und Unternehmenswelten. In der IETF-Arbeitsgruppe für OAuth war das Web zunächst stark vertreten. Als sich die Arbeit mehr als ein Jahr hinzog, traten die Web-Leute aus – und mit ihnen sämtliche Mitglieder der OAuth-1.0-Community. Es gab nur noch Unternehmensvertreter … und mich“, schreibt Hammer-Lahav. „Das Resultat ist wie ein von einem Komitee entworfener Flickenteppich aus Kompromissen, der vor allem Unternehmen nützlich ist.“

Bedenken haben aber auch andere. Tim Bray, der seit Kurzem bei Google für Fragen rund um Online-Identitäten zuständig ist, schreibt: „Die kommenden Techniken, OAuth und Freunde, sind viel zu schwer für Entwickler; es braucht bessere Werkzeuge und Dienste, wenn wir dieses ganze Internetzeug reibungsloser und sicherer machen wollen.“ Bray hatte an der Entwicklung von XML mitgearbeitet, bevor er für Googles Android-Community zuständig war.

Auf Hammer-Lahavs Blogeintrag reagierte auch Ian Hickson mit einem Kommentar, der für den „Living Standard“ von HTML zuständig ist. Er äußert sich kritisch über die Arbeit der IETF: „Ich wünschte, du hättest diese Erfahrung gemacht, bevor du mich dazu überredet hast, WebSocket in die Hände der IETF zu geben. Da passierte das gleiche, und am Ende zog ich meinen Namen aus dem Entwurf zurück. Was für ein Desaster.“ WebSocket beschleunigt die Kommunikation zwischen Browsern und Servern.

[mit Material von Stephen Shankland, News.com]