Warning: Some posts on this platform may contain adult material intended for mature audiences only. Viewer discretion is advised. By clicking ‘Continue’, you confirm that you are 18 years or older and consent to viewing explicit content.
Von vielen Seiten werden die Rufe nach Online-Alterskontrollen lauter. Forscher beäugen das Instrument im Auftrag der Grünen im EU-Parlament aber skeptisch.
Es reicht, dass dir ein Zertifikat ausgestellt wird, mit welchem du dich beim IdP anmeldest. Das enthält eine Zufallsnummer, die dich mit deinen Daten verbindet. Knackt jemand den IdP, bekommt er nur Nummern in Verbindung mit Geburtstagen.
Und dann leaken die Zufallsnummern, die Allen anderen dann erlauben, sich Tokens zu generieren, was uns dann wieder zu Schülern bringt, die auf dem Pausenhof Authentifizierungstokens tauschen.
Gesetze müssen befolgt werden. Auf technischer Ebene könnte man OIDC und JWT oder PASETO nehmen, dafür gibts fix fertige Libraries, das ist trivial und bereits heute weit verbreitet.
Gesetze befolgen ist bei so manchem Service im Internet optional. Die Großen werden damit kein Problem haben, aber viele kleine Blogs und dergleichen werden das entweder nicht umsetzen können oder wollen. Eine Token-basierte Authentifizierungsinfrastruktur aufzubauen ist außerdem weitaus aufwändiger, als Webseiten dazu zu verdonnern, sich mit tags vernünftig zu flaggen. Und wie gesagt, Jugendschutzprogramme gibt es schon zu Hauf, ob die jetzt eine urlin ihrer Whitelist suchen oder den Header nach tags crawlen wird für die sehr wenig unterschied machen.
Und dann leaken die Zufallsnummern, die Allen anderen dann erlauben, sich Tokens zu generieren, was uns dann wieder zu Schülern bringt, die auf dem Pausenhof Authentifizierungstokens tauschen.
Nein. Die Signatur wird durch private Schlüssel erstellt, nicht durch die Nummer im Zertifikat. Der private Schlüssel wird in einem HSM gespeichert.
Gesetze befolgen ist bei so manchem Service im Internet optional.
Und dann leaken die Zufallsnummern, die Allen anderen dann erlauben, sich Tokens zu generieren, was uns dann wieder zu Schülern bringt, die auf dem Pausenhof Authentifizierungstokens tauschen.
Gesetze befolgen ist bei so manchem Service im Internet optional. Die Großen werden damit kein Problem haben, aber viele kleine Blogs und dergleichen werden das entweder nicht umsetzen können oder wollen. Eine Token-basierte Authentifizierungsinfrastruktur aufzubauen ist außerdem weitaus aufwändiger, als Webseiten dazu zu verdonnern, sich mit tags vernünftig zu flaggen. Und wie gesagt, Jugendschutzprogramme gibt es schon zu Hauf, ob die jetzt eine urlin ihrer Whitelist suchen oder den Header nach tags crawlen wird für die sehr wenig unterschied machen.
Nein. Die Signatur wird durch private Schlüssel erstellt, nicht durch die Nummer im Zertifikat. Der private Schlüssel wird in einem HSM gespeichert.
Natürlich, aber das ist eine andere Diskussion.