Googles profiler kan nu bruges som OpenID

Det var da en afskygelig tanke at Google eller andre blot ved at påstå at de er dig, skal kunne logge ind som dig.

OpenID ligesom hele SAML-tanken lider under nogle bundnaive opfattelser af sikkerhed som primært begrundes i kommercielle interesser og convenience - men intet som blot tilnærmelsesvis burde komme i betragtning ud fra en holdbarhedsbetragtning.

Et site som accepterer den slags sikkerhed er jo grundliggende utroværdige fordi de har en politik som siger at andre frit kan udgive sig for at være dig blot fordi de påstår det - du har ingen kontrol og det inviterer til svindel og misbrug.

Stoler du ikke på din OpenID udbyder? Så find en anden.

Problemet er den grundliggende fejl - at skulle "stole" på. Nej. Det hører ingen steder hjemme. Du skal selv have nøglekontrol.

Der er vel ikke den store forskel på at den side du logger ind på misbruger dine data og at Google logger ind for dig og misbruger dine data?

Læs lige den igen og tænk dig om inden du fortsætter den linje.

HVIS vi kunne stole på at den pågældende service KAN og VIL beskytte og undlade at misbruge dine data, så ville der ikke være det store problem. Men det kan vi ikke og dermed er vi nødt til at gå tilbage og designe modellen UDEN denne antagelse.

Google er blot et (af flere) eksempler på systematisk misbrug.

Problemet er at "sikkerheds"-teknologier som specielt SAML men også OpenId er designet til at fratage dig kontrollen og ligge den på en eller anden server som ikke kan sikres.

Tillid er ganske enkelt en luksus, man ikke kan tillade sig - men teknolidesignet antager nærmest uendelig tillid uden grundlag.

Problemet er det herskende teknologiparadigme som kun fokuserer på funktionalitet og fuldstændigt glemmer de basale sikkerhedskrav. Det er som kynikere som producerer uden at tænke på miljø eller om produktet er skadeligt for forbrugeren.

Det er ikke sikkert at du dør af det i dag, men stadigt flere dør helt sikkert af det i morgen.

Jeg har brugt Google som OpenId Provider i over et år.

Folk overlever de værste steder - det betyder ikke at de lever godt eller holdbart, blot at de overlever.

Det er lidt det samme som med Finanskrisen - indtil braget rammer, så kan alle rende rundt og bilde sig ind at systemet virker. Men hvis renten er alt for lav og risikovilligheden er alt for høj, så ender det uundgåelgit galt - enten i små brud som rammer nogen hårdt eller akkumulerende i stadigt større katastrofer.

Og vi skal ikke vente på "sikkerhedsbrud" - modellerne dræner samfundet ved at sælge ud af forbrugernes dataprofiler til stadigt mere omfattende misbrug på forbrugerens og samfundets bekostning.

Hvis jeg nogensinde får den mindste chance for at sandsynliggøre at Google har (mis-)brugt min OpenID, tørrer jeg al min gæld af på dem, førend du kan nå at sige "1-årigt Flexlån".

God erstatning for sikkerhed - "Jeg vil sagsøge dem".

Hvor mange domme for misbrug af dine data er det lige, Google eller andre er dømt for - i forhold til hvor systematisk og eksponentielt akkumulerende det finder sted.

Martin

Tillid er det samme som risikovillighed - og risiko er en knap faktor.

Hvis risikoen > accept af risiko = "mistillid"
Hvis risikoen < accept af risiko = "tillid".

Google sælger ikke tillid, fordi de har intet at have tilliden i. Google sælger historier som forvrænger din risikoopfattelse - og stor respekt fordi de er ret gode til at forvrænge opfattelsen.

Du skal skelne mellem magten over dine data og selve servicen. Servicen er den du køber -. kvalitet vs. pris. Problemet er din betaling er lig magten over dine data lig risko for dig. Værdien er præcis lige misbruget - du er den eneste til at betale. Du kan ikke estimere denne værdi fordi du ikke kan gennemskue de bagvedliggende processer og hvordan din afgivelse af data som en boomerang vender tilbage og rammer dig i nakken.

Jeg har tillid til at Google ikke vil misbruge min OpenID. Ikke fordi jeg er specielt naiv eller har specielt høje tanker om Google, men alene fordi Google er en forretning, der kun kan tjene penge hvis man kan have tillid til at de forvalter éns data ordentligt. Og bagved tilliden ligger der også en risikovurdering: Selv hvis Google skulle misbruge de informationer jeg har lagret hos dem, så er mit "tab" ikke noget der kan vælte mit liv - til gengæld er den "gevinst" Google kan opnå langt mindre end det goodwill- og tillidstab de vil indkassere ved misbruget.

Det eneste du har opnået herved er at dokumentere at du er naiv i din opfattelse af Google. Google lever af at misbruge dine data = sælge dem til brug udenfor kontekst mod dig. Med den konsekvens at du handler eller forhandler inoptimalt for dig.

Du betaler selv mere end den "gratis" værdi du får.

Martin skrev

Tillid er det modsatte af risikovillighed. Tillid er en blød værdi, en følelse, en tro på at man kan stole på nogen eller noget, uden det går galt. Risiko og risikovillighed er en kvantificerbare størrelser som du kan sætte procenter og beløb på, og en viden om at ting kan gå galt.

Det er en udbredt opfattelse som dækker over at nogen gerne vil opfattes som tillidsværdige. Men det er meningsløst fordi der eksisterer ikke uendelig tillid - selv din spouse vil du kun udvise begrænset tillid og en virksomhed ligger langt under hendes niveau.

Men tillid er ligesom estimering af risiko ikke en absolut størrelse uafhængig af kontekst. Det er en subjektiv størrelse givet kontekst og er eksplicit direkte forbundet med din subjektive opfattelse af risikoen relativt til den risiko du er villig til at løbe i den helt konkrete sammenhæng.

Din subjektive risikovillighed i den konkrete kontekst givet den konkrete modpart og din konkrete risikoestimering er præcis den "tillid", som du har - hverken mere eller mindre.

Mennsker vurderer risiko konstant, men digitale risici er helt nye størrelse som de færreste har forudsætningerne for at kunne vurderer - og derfor er samfundet så langt bagud med at få sat den teknologiske udvikling tilpasset og underlagt den sociale udvikling.