Länge: 0h54m40s (48.5 MB), Download MP3

Viel Spaß beim hören

OAuth 2 Draft: http://www.ietf.org/id/draft-ietf-oauth-v2-05.txt
Einführung: http://hueniverse.com/2010/05/introducing-oauth-2-0/

Warum OAuth 2.0?

• Probleme mit mobilen Applikationen
• Probleme mit Javascript-Applikationen
• Problem mit Architektur, da nur peer-to-peer
• Signature Base String zu kompliziert

Die Geschichte

OAuth WRAP

OAuth WRAP – ein Versuch, es neu machen, zunächst unter anderem Namen, dann unter OAuth
fliesst in OAuth 2.0 ein

OAuth 2.0

• Nicht kompatibel zu OAuth 1.0
• Es wird nur optional signiert (dann aber nur per SSL)
• Nicht nur 1 Flow sondern mehrere. Gemeinsamkeit: Es kommt ein Access-Token hinten raus
• Es gibt ein Refresh Token
• Der Aufruf von “protected Resources” ist immer gleich.
• erweiterte Architektur

Terminologie

• resource server
• protected resource
• client
• resource owner
• authorization server
• access token
• bearer token

Die Flows

• User-Agent Flow
• Web Server Flow
• Device Flow
• Username and Password Flow
• Client Credential Flow
• Assertion Flow

Viel Spaß beim Hören:

Länge: 1h2m29s (54.7 MB), Download MP3

News

• Google  unterstützt noch mehr Microformats (hCalendar, hRecipe) und Microdata
• Mozilla veröffentlicht AccountManager http://mozillalabs.com/blog/2010/04/account-manager-graduates-from-labs/ http://hacks.mozilla.org/2010/04/account-manager-coming-to-firefox/
• Webfinger für WordPress: http://wordpress.org/extend/plugins/webfinger/

Facebooks Ankündigungen

http://blog.facebook.com/blog.php?post=383404517130

• Open Graph Protocol: http://opengraphprotocol.org
• Social Plugins
• Graph API
• Insights for Domains
• Instant Personalization
• Developer TOS: 24h-Limit ist weg, aber keine Nutzung in Ad-Networks

Probleme Open Graph

• Seltsamer Name
• Benutzt RDFa
• Viele Informationen müssen aber mehrfach eingegeben werden, z.B. title
• Aber vielleicht gut zur Verbreitung des Semantic Web?
• Mischmasch von Namespaces und nur Facebook-zentrierte Dinge?

Privacy?

Vor allem Instant Personalization und “Referrer” bei Like-Button. Was genau speichert Facebook.

Anderes Problem: Zentralisierung

GigaOM on Instant Personalization
http://gigaom.com/2010/04/22/facebooks-instant-personalization-is-the-real-privacy-hairball/

Christoph Kappes auf CARTA über Zentralisierung
http://carta.info/26360/facebook-ein-sonderfall-im-oekosystem-des-internets/

Chris Messina:
http://factoryjoe.com/blog/2010/04/22/understanding-the-open-graph-protocol/

But, here’s the rub: rather than using data that’s already on the web, everyone that wants to play Facebook’s game needs to go and retrofit their pages to include these new metadata types. While they’re busy with that (it should take a few minutes at most, really), is it at all likely that they won’talso implement support for Facebook’s Like button? Isn’t that the motivation for supporting the Open Graph Protocol in the first place?

Here’s the rub though: those Like buttons only work against Facebook. I can’t just be signed in to any social web provider… it’s got to be Facebook. And on top of that, whenever I “like” something, I’m sending a signal back to Facebook that gets recorded on both my profile, and in my activity stream.

(OpenLike: http://openlike.org/)

Instant Personalization opt out guide:

http://librarianbyday.net/2010/04/protect-your-privacy-opt-out-of-facebooks-new-instant-personalization-yes-you-have-to-opt-out/

Viel Spaß beim hören:

Länge: 0:57h (49.8 MB), Download MP3

(weiter unten gibt es auch noch zwei Videos)

News

• CCC und Innenminister fordern Datenbrief: http://www.ccc.de/datenbrief
• http://openidentityexchange.org/ (Drummond Reed darüber: http://datawithoutborders.net/dwb12/)
• Karlsruhe kippt Vorratsdatenspeicherung
• Action Streams:
  • http://www.readwriteweb.com/archives/action_streams_a_new_idea_for_social_networks.php
  • http://www.gravity7.com/blog/media/2010/02/action-streams-blue-sky-proposal.html
  • http://wiki.activitystrea.ms/Actions
• Facebook-Chat via XMPP: http://blog.facebook.com/blog.php?post=297991732130

Thema: XMPP

“XMPP is to Jabber as HTTP is to the Web.” – Peter Saint-André

• langlebige TCP-Verbindung
• 2 XML-Streams: Client-Server und Server-Client
• Die einzelnen XML-Snippets nennen sich Stanzas
• Verschiedene Typen: message, presence, iq
• XMPP ist dezentral
• Client/Server-Architektur, aber auch federated
• ähnlich IRC bzw. E-Mail von der Dezentralität her
• user@server.tld sind bare JIDs
• user@server.tld/<resource> sind full JIDs
• Dadurch kann man mehrfach eingeloggt sein
• Da gibt es auch noch eine Priorität, denn Kontakte schreiben zuerst normalerweise an die Bare JID.
• Man kann auch direkt an die full JIDs schicken (passiert nach Gesprächsbeginn normalerweise dann automatisch durch den Client)
• “Transports” können als eine Art Gateway zu proprietären IM-Netzwerken verwendet werden
• Installationen:
  • Ursprungsserver: Jabber.org
  • Google Talk
    • Jede E-Mail-Adresse ist ein XMPP-Account
  • LiveJournal
  • GMX/Web.de/1&1
    • Jede E-Mail-Adresse ist ein XMPP-Account
  • talkr.im
• Server:
  • ejabberd
  • Openfire
  • Tigase
  • Prosody
• Was für Clients gibt es? Beispiele:
  • Psi
  • http://www.pidgin.im/
  • Adium, iChat
  • Miranda
  • Gajim
  • Empathy
  • bald: Swift (swift.im)
  • –> http://xmpp.org/software/clients.shtml
• Sehr stark und einfach erweiterbar (z.B. mit Namespaces)
  • Viele der wichtigen Features sind “Erweiterungen”
  • Community-getriebener Prozess der Standardisierung
  • XSF (XMPP Standards Foundation) leitet die Standardisierung
• Beispiele für Erweiterungen
  • Multi-User Chat (MUC)
  • PubSub
  • PEP (Personal Eventing Protocol)
  • Jingle (Voice-Chat)
  • Service Discovery
  • BOSH: XMPP über HTTP
    • ermöglicht Web-Clients, die ausschließlich in JavaScript geschrieben sind
  • Location-Infos
  • –> http://xmpp.org/extensions/
• Client-Bibliotheken für sehr viele Sprachen verfügbar, Beispiele:
  • JavaScript: Strophe.js
  • PHP: xmpphp
  • C: libstrophe
  • Java: Smack
  • Python: SleekXMPP; Twisted
  • Ruby: XMPP4R
  • –> http://xmpp.org/software/libraries.shtml

Diverses

• OAuth über XMPP http://notizblog.org/2008/07/24/oauth-ueber-xmpp-jabber/
• AOL und XMPP http://notizblog.org/2008/01/18/aol-will-xmppjabber-einsetzen/
• WordPress und XMPP http://notizblog.org/2009/09/14/xmpp-pubsub-on-wordpress-com/
• XMPP Standards Foundation: http://xmpp.org/
• Einführung in XMPP: http://www.slideshare.net/remko.troncon/xmpp-101 bzw. http://metajack.im/2010/02/16/xmpp-101-a-video-from-the-xmpp-summit/ (OGV, HTML5/Firefox)

OneSocialWeb

• Einführung in OneSocialWeb (deutsch): http://notizblog.org/2010/02/11/onesocialweb/
• OneSocialWeb: http://onesocialweb.org/
• Das Draft-Protokoll: http://onesocialweb.org/docs-protocol.htm

Und dann noch…

• Twitter Konferenz: http://chirp.twitter.com/
• IdentityCamp Mannheim: http://www.identitycamp.de/

Viel Spaß beim anschaun:

Vielen Dank auch an Henry Story, dem geistigen Schöpfer von FoaF+SSL, der uns im IRC-Chat mit Rat und Tat zur Seite stand.

Länge: 0:55h (47.5 MB), Download MP3

News

• Google Buzz
• Liste der offenen Standards
• Salmon-Protokoll
• PubSubHubbub

Shownotes

(Vielen Dank an Mario, der die Shownotes zusammengestellt hat)

• dezentralisiertes Authentifizierungsprotokoll
• One-Click-SignOn (kein Username, kein Passwort)
• WebID: Ein URI als ID für deine Person (LinkedData)
• 100% Standardbasiert: REST, RDF, LinkedData, SSL, X509
• Alle Vorteile von Semantic Web Technologies: strikte Semantik, Erweiterbarkeit (Namespaces), Reasoning (OWL)
• Web of Trust

Use Cases

• neben einfachem Login
• Web site personalization
  • Profil (FOAF) portabel und unter Kontrolle des Users, import mit nur einem Klick (FOAF+SSL Login)
  • Einfaches Kommentieren (keine Eingabe von persönlichen Daten mehr notwendig)
• Distributed Access Control
  • Zugang nur einer bestimmten foaf:Group gewähren
  • Rule Based Access Control: Komplexe Policies möglich (bsp. nur Freunde von bereits vorhandenen Usern erhalten Zugang, dies macht jeglichen Invitation-Mechanismus obsolet)
  • Komplexität der Policies lediglich durch Aussagekraft von RDF/OWL beschränkt
• Distributed Social Networks
  • auch hier komplexe Rollen und Zugangsbeschränkungen möglich

Details

• Was braucht ein User um sich einzuloggen?
  • X509-Zertifikat (normalerweise direkt im Browser installiert)
  • FOAF-File (öffentlich auf einem bel. Server, LinkedData)

• SSL (RSA)
  • Zertifikate häufig nur, um Server gegenüber Client zu authentifizieren
  • jetzt: Browser besitzt self-signed Zertifikat und authentifiziert sich gegenüber dem Server
  • X509-Zertifikat enthält Link zur WebID (und damit zum FOAF-File) (im Feld “X509v3 Subject Alternative Name”)
  • Der Public-Key des Zertifikats muss mit dem im FOAF-Profil identisch sein
• Protokoll
  • User klickt auf Login-Button
  • Server eröffnet SSL Handshake und verlangt Zertifikat vom User
  • Server holt sich das FOAF-Profil des Users (überprüft den Public-Key auf Gleichheit)
  • nun sind weitere beliebige Autorisierungsschritte anhand des FOAF-Profils möglich (Web of Trust)
• Wie erstelle ich mir ein Zertifikat?
  • z.B. HTML5 <keygen>-Tag (Firefox, Opera, Safari, Chrome) (http://test.foafssl.org/cert/)
  • mit ActiveX für IE
  • zur Not Serverseitig, allerdings Security Risk weil der Server dann den Private Key kennt
• Gibt es bereits Server-Implementierungen?
  • Ja, einige, z.B. für PHP, Python, Java, Apache Modul
• Browser-Support:
  • Firefox und Fennec
  • Opera
  • Safari, iPhone (mit bugs)
  • Chrome
  • Internet Explorer >= 6

Links

• Hauptseite Wiki: http://esw.w3.org/topic/foaf+ssl
• Mailing-List http://lists.foaf-project.org/mailman/listinfo/foaf-protocols
• Paper: FOAF+SSL: RESTful Authentication for the Social Web – http://dig.csail.mit.edu/2009/Papers/SPOT/foaf-ssl-spot2009.pdf
• Vergleich OpenID vs. FOAF+SSL http://blogs.sun.com/bblfish/entry/what_does_foaf_ssl_give
• Das ganze funktioniert sogar mit dem iPhone: http://blogs.sun.com/bblfish/entry/one_click_global_sign_on
• xfn ontology: http://vocab.sindice.com/xfn#
• vcard ontology: http://www.w3.org/Submission/2010/SUBM-vcard-rdf-20100120/
• foaf+ssl als Alternative zu OAuth: http://blogs.sun.com/bblfish/entry/sketch_of_a_restful_photo
• FOAF & SSL: creating a global decentralised authentication protocol: http://blogs.sun.com/bblfish/entry/foaf_ssl_creating_a_global
• foaf+ssl: adding security to open distributed social networks: http://blogs.sun.com/bblfish/entry/foaf_ssl_adding_security_to

Da Sebastian leider keine Zeit hatte und es sich zu dritt einfach schöner podcastet haben wir uns Carsten (Podcarsten) Pötter zur Verstärkung eingeladen.

Viel Spaß beim hören

Länge: 1:03h (54.1 MB), Download MP3

News

• Chris Messina geht zu Google
• OpenID Connect
• neues OpenID Foundation Board
• LexisNexis ist Sustaining Member der OIDF
• Ping Identity ist am 13.1. als Sustaining Member der OIDF beigetreten
• VZ-Netzwerke mit OpenID Login
• Google vs. China:
  • Jonathan Zittrain
  • Scoble 1
  • Scoble 2
  • TechCrunch
  • netzwertig
• Facebook Privacy
• Facebook Employee Interview
• Drummond on Facebook
• What’s going on with OAuth (towards 2.0)

In der Weihnachts-Folge sprechen Matthias und ich (Christian) nochmal über die OpenWeb-Geschehnisse der letzten Wochen und geben einen kleinen Ausblick auf die Themen die nächstes Jahr relevant sein könnten. Viel Spaß beim hören!

Länge: 1:35h (82.4 MB), Download MP3

News:

• Facebooks Privacy Changes
• Realtime bei Twitter und MySpace
• Googlephobie in Deutschland / ITGipfel / LeWeb
  • Artikel Spiegel
  • Artikel Welt online
• Google kauft EtherPad
• EtherPad wird Open Source
• Neue APIs bei MySpace (Realtime Stream API)
• Open Government Directive in den USA
• OpenID Elections
• Dataportability: Neues Board und Antworten auf Fragen der FCC
• Kritik an der OpenWebFoundation
• Yahoo! implementiert Facebook-Connect
• VZ-Connect
• FriendFeed wird erster OAuth-WRAP Provider
• Joseph Smarr wechselt zu Google

Ausblick:

• Kauft Google Twitter?
• Cloud Computing?
• Echtzeitweb?
• Real-Time Collaboration
• Wird Privatsphäre wieder IN sein?
• Was folgt aus IT-Gipfel?

Länge: 1:16h (67,5 MB), Download MP3

Links

• Data Without Border Podcast
• Politfunk.de
• Datenleck bei schülerVZ
• Salmon Protocol

Alle weiteren Links findet ihr ja in den alten Episoden!

Wir erklären, was Google Wave eigentlich ist und im Groben, wie es funktioniert. Wir klären auf über Waves, Wavelets, Blips, Documents, Wave Server, Wave Clients, Robots, Gadgets und embedded Waves. Oder versuchen es zumindest

Länge: 1:23h (74,1 MB), Download MP3

Die Slides zum Podcast

Links

• Die Google Wave-Hauptseite mit dem Demo
• Eine kürzere Videoeinführung in Google Wave
• Informationen von Google zum Wave-Protokoll
• Eine Auflistung der genutzen Protokolle und ein Diagramm dazu
• Beispiel-Code für einen Python-basierten Google Wave Robot
• O’Reilly’s Einführung zu Google Wave
• Informationen zu Robots
• Der Source-Code des Servers und eines Beispiel-Clients
• Microblog zum deutschen Wavecamp

Länge: 1:00h (51,6 MB), Download MP3

Shownotes

• Facebook und Web.de sowie GMX verbünden sich
• Personas (Installation)
• Recordon geht zu Facebook
• meta.tagesschau.de
• gematik Infopost
• neues URI-Schema: acct
• WebFinger-Intro
• Der soziale Steuerfahnder
• SSO für Google’s Chrome OS?
• eBay gibt Mehrheit an Skype ab
• Google Wave öffnet sich für Google Apps

Die Video-Aufnahme des Podcasts gibt es ebenfalls, nämlich hier!