Sëbastian’s Blog

Wer vor einigen Monaten in den Technologie-Teilen der amerikanischen Zeitungen gelesen hat, der hat vermutlich von der Netzneutralität bereits gehört. Auch die Telekom Austria hat bereits öffentlich überlegt, auf die Netzneutralität zu pfeiffen, und Google & Co für die Finanzierung der Milliarden-Investitionen, die regelmäßig zu tätigen sind, heranzuziehen.

Die Argumentation der Telekom-Konzerne ist recht simpel: Wieso, liebe KundInnen, sollen wir euch zahlen lassen? Lasst doch Google bezahlen, das ist viel fairer!

Die Telekom Austria beziffert das weltweit notwendige Investitionsvolumen auf ca. 150 Milliarden Dollar, eine enorme Zahl, die sicher Eindruck schindet.

Die dahinterstehende Rechnung allerdings ist eine dumme. Was stellt sich die Telekom Austria vor, dass sie Google abknöpfen will? Sagen wir mal, sie wollen 10% des Umsatzes von Google, also 1 Milliarde Dollar für das Jahr 2006.

Diese eine Milliarde Dollar bringt also ca. 1/6% des Investitionsbetrages. Werden unsere DSL-Tarife dann um 1/6% billiger? Toll - das ist es, was ich schon immer wollte.

Und selbst wenn das fair und vertretbar wäre - was ist mit den vielen kleinen Start-Ups, die aufgrund der niedrigen Einstiegskosten schneller und innovativer den Markt verändern können? Was wäre mit YouTube? Hätte ich meine auf Hobby-Basis erstellte Community betreiben können?

Eines ist sicher: Würden die Internet-Firmen dafür bezahlen, wie stark ihre Seiten frequentiert werden, dann gäbe es kein YouTube, keine Hobby-Projekte und generell ganz einfach wenigere Seiten.

Abgesehen davon ist es ein enorm aufwändiger administrativer Aufwand, diese Gebühren einzukassieren. Und was passiert, wenn es nicht klar ist, woher der Traffic kommt? Geht man nach dem Herkunftsprinzip der Web-Angebote? Dann haben wir innerhalb kürzester Zeit Hostingparadiese (im Gegensatz zu Steuerparadiesen), wo die Preise niedrig sind. Oder nach der Herkunft der Benutzer? Ist auch schwer möglich und schwer nachweisbar.

Netzneutralität ist unbedingt notwendig, wenn wir weiterhin eine innovative Internet-Industrie haben wollen. Dieses eine Prozent höhere Interkosten sollte uns Benutzer das schon wert sein.

Am 10. Februar war ich in Genf, um mich mit Robert Scoble zu treffen. Wir machten ein Interview, waren Abendessen und hatten ziemlich viel Spaß.

Hier ist das Resultat:

http://flickr.com/photos/mister3h/sets/72157594537894245/

Eric Schmidt, Google’s CEO, hat im März 2006 angekündigt, aus Google eine 100-Milliarden-Dollar-Firma zu machen. Dabei ließ er offen, ob er damit die Marktkapitalisierung oder den Umsatz meinte - wenige Wochen später erreichte Google dann einen Marktwert von mehr als 100 Milliarden Dollar - das kann es also nicht gewesen sein.

Schon damals hab ich vermutet, dass ein großer Teil dieser 100 Milliarden nicht nur aus Werbung, sondern aus Gebühren für die Benutzung der Google-Services für Unternehmen resultieren werden.

Heute hat Google “Google Apps Premium” angekündigt, eine Kombination aus Gmail, Google Talk, Google Calendar, Start Page, Docs & Spreadsheets und Page Creator. Außerdem - und hier wirds interessant - gibt’s neben dem üblichen Control Panel eine API, um diese Anwendungen direkt ins existierende Intranet zu integrieren

Der Kostenpunkt liegt bei 50 Dollar pro User & Jahr, also einem eher günstigen Preis, verglichen zu einer Vollversion von Microsoft Office, für 500 Dollar.
Das Produkt hat zwar nicht alle Funktionen von Microsoft Office, für 90% der Anwender dürfte es aber mehr als genügen, und wenn nur noch 10% der Angestellten einer Firma eine Microsoft Office-Vollversion brauchen, kann ziemlich viel Geld gespart werden.

Es ist davon auszugehen, dass diese Anwendungen noch erweitert werden, schon länger wird eine Diagramm-Unterstützung für Google Spreadsheets erwartet, und auch für ein Präsentationsprogramm gab es schon erste Hinweise im Quellcode.

Ich versuche gerade, mich durch die technischen Spezifikationen von OpenID Authentification 1.1 zu wühlen, um herauszufinden, wie das konkret funktioniert, was man tun kann, um den OpenID-Login möglichst bequem zu gestalten und - was die Gefahren von dezentralem Identity-Management ist.

Funktionsweise

(In dem Beispiel ist www.looocal.com die Seite, auf der man sich einloggen will, und sebastian.moser.name der OpenID-Provider, bei dem meine ganzen Logins gespeichert werden.)

1. Ich gehe auf www.looocal.com
2. Ich klicke auf “Einloggen”
3. Ich sehe das OpenID-Formularfeld mit dem OpenID-Icon ().
4. Ich gebe sebastian.moser.name ein
5. Ich werde auf den OpenID-Provider weitergeleitet und dort gebeten, mein Passwort einzugeben.
6. Ich will mich das erste Mal auf www.looocal.com einloggen, deshalb werde ich gefragt, auf welche meiner Daten, die unter sebastian.moser.name gespeichert sind, ich www.looocal.com Zugriff geben will. (Ich sehe auch, welche Datenfelder an www.looocal.com gesendet werden müssen.)
7. Ich erlaube www.looocal.com den Zugriff auf die Daten, die gebraucht werden, und klicke auf “Weiter”.
8. Ich werde auf www.looocal.com zurück geleitet und bin eingeloggt.

Wichtig ist hier, dass das Passwort immer erst auf der Seite des OpenID-Providers eingegeben wird, nie auf der Homepage, auf der man sich einloggen/anmelden will.
Usability

Logischerweise muss man die Seite des OpenID-Providers besuchen, um sich auf einer Seite anzumelden, die OpenID verwendet. Das ist aber eigentlich ziemlich kacke, weil man dadurch das User Interface des Projekts, das man besuchen wollte, verliert.

Um das zu vermeiden, wäre es eine Möglichkeit, das Login-Fenster des OpenID-Providers in einen IFrame zu laden, der mittels JavaScript und einer halbtransparenten PNG-Grafik über die restliche Seite geblendet wird.
Damit verhindert man zwar nicht, dass die OpenID-Seite völlig anders aussieht als beispielsweise www.looocal.com, aber wenigstens merkt das zukünftige Mitglied, dass der ganze Prozess mit www.looocal.com zu tun hat.

Eine andere Möglichkeit wäre auch, den OpenID-Provider in ein Popup-Fenster zu laden, das automatisch wieder geschlossen wird, sobald der Login-Vorgang abgeschlossen ist.
Das wäre technisch einfacher, ist aber weniger elegant.

Gefahren

Wenn auf nur einer einzigen Seite die Identitäten für viele verschiedenen Seiten gespeichert werden, ist diese Seite natürlich um so mehr anfällig für Phishing-Attacken. Das ist das große Problem am grundsätzlichen OpenID-Konzept, da gibt’s nichts zu beschönigen.

Die Lösung sind zwei verschiedene Ideen:

• Personalisierte Login-Seite

  Die Seite wird mit verschiedenen Dingen personalisiert, zum Beispiel einem Profilfoto (Das seinerseits wieder von den verschiedenen Seiten verwendet werden könnte…), Einfärbung der Loginseite, etc. Die MySpaceifizierung des Identity Managements, sozusagen.

• Browserbasiertes OpenID

  Wenn ich das Identity Management nur noch Browserbasiert mache, mit einer UI, die als Add-On in die Browser integriert wird, umgehe ich nicht nur das Phishing-Problem weitgehend, sondern auch das Problem des unterschiedlichen User Interfaces.
  Die grafische Oberfläche des Browsers ist völlig unabhängig von den Websites, es wird dabei nichts verwechselt, dadurch gäbe es auch weniger Verwechslungen.
  Die Kommunikation mit dem OpenID-Provider könnte dann rein über eine API ablaufen.
  Damit das realisierbar ist, müssten aber alle Browser-Hersteller zusammen arbeiten. Bei einer offenen API sehe ich kein Problem bei Mozilla, Opera und allen anderen Alternativ-Browsern, die Frage ist aber, ob Microsoft ein Plug-In zur Verfügung stellen würde, und die Frage ist auch: Wie schnell?

  OpenID wird jetzt zu einem Trend - wenn Microsoft bis zum Internet Explorer 8 wartet, bis OpenID fix integriert wird und es ca. 2 Jahre dauert, bis sich die Version dann auch breitflächig durchgesetzt hat, hat OpenID noch einen sehr langen Weg zur breiten Marktdurchdringung vor sich…

Windows CardSpace ist meiner ersten Erkenntnis nach ein rein Client-seitiges Authentifizierungs-System. Ich werde natürlich auch darüber schreiben.

PS: Über ein Thema zu schreiben hilft ungemein viel dabei, ein Problem oder eine Technologie besser zu verstehen. Sollte jeder Programmierer manchmal machen.

Im Rahmen meines neuen Haupt-Projektes habe ich mich über die Möglichkeiten von dezentralen Identity-Management-Lösungen informiert.

Aber vorher: Was sind diese dezentralen Identity-Management-Lösungen, oder Single Sign-On-Services, eigentlich?
Jeder, der im Internet aktiv ist, merkt, dass man sich für jede Website neu anmelden muss, am besten für jede Website ein eigenes Passwort hat, und dann auch überall einen anderen Benutzernamen. Das ist kompliziert. Ich verwende zur Zeit vier verschiedene Benutzernamen (”Sebastian”, “Mister3h”, “SebastianMoser” und “Sebastian.Moser”), dazu verschiedene Passwörter - da verliert man leicht den Überblick.

Single Sign-On-Lösungen sollen dieses Problem beheben, in dem man nur noch eine ID hat, mit der man sich auf allen verschiedenen Websites anmelden kann. Dabei kann man steuern, welche Informationen für diese Websites zugänglich sind, und muss alles nur einmal angeben.

Meiner Erkenntnis nach gibt es in diesem Markt zur Zeit zwei Hauptlösungen:

• OpenID: Eine freie Lösung, die jeder selbst hosten kann, oder natürlich einen Provider (MyOpenID, FreeYourID) verwenden kann, der das fertig zur Verfügung stellt (was für weitere Verbreitung natürlich der einzige gangbare Weg ist).
  Diese Lösung ist in letzter Zeit dank Unterstützung durch AOL, Microsoft, Yahoo! und jetzt auch digg stark in den Medien vertreten.
• Windows CardSpace: Wie der Name schon sagt, ist das die Lösung von Microsoft, die mit dem neuen Windows Vista mitgeliefert wird. Ich hab mir das System noch nicht genauer angesehen.
  Dieses System ist zwar nicht so stark in den Medien vertreten, da es aber im neuen Betriebssystem von Microsoft mit eingebaut ist, wird ihm definitiv auch ein Teil dieses zukünftigen Marktes gehören, speziell im Mainstream-Bereich.

Diese Systeme werden immer wichtiger, auch weil Firefox 3 plant, Single Sign-On-Lösungen zu unterstützen. Dafür war man schon mit Microsoft in Kontakt.

Während bei Windows CardSpace der Erfolg relativ vorhersehbar ist, braucht OpenID schon etwas mehr. OpenID ist kein wirklich cooler Name, und “MyOpenID” ist auch nicht gerade das gelbe vom Ei. Das große Problem ist nämlich, dass man bei OpenID eine URL als “Benutzernamen” erhält, zum Beispiel so, je nach Provider:

• sebastian.moser.myopenid.com
• myopenid.com/sebastian.moser

Das ist absolut uncool, schwer zu merken und einfach schlecht.

Auf TechCrunch hab ich allerdings vor einigen Tagen einen Artikel über FreeYourID.com, einem Service, der für seine Mitglieder eine .name-Domain registriert. Meine neue OpenID sieht jetzt wie folgt aus:

• sebastian.moser.name

DAS ist intelligent, einfach zu merken, und halbwegs cool. Keine unnötige zusätzliche Domain (myopenid.com), nichts. Natürlich ist das nicht kostenlos, die Domains kosten ja Geld. Aber für die ersten 90 Tage ist es kostenlos, danach kann ich immer noch entscheiden, ob ich den Service weiter benützen will.

Vielleicht hilft das auch, den eigentlich ziemlich unerfolgreichen .name-Domains ein bisschen Aufschwung zu geben.

Viacom, die Firma hinter MTV, Viva, Comedy Central und anderen, die letzte Woche Google/YouTube aufgefordert hat, 100.000 ihrer Videos zu löschen, hat einen Vertrag mit Joost angekündigt, um das Projekt mit ihren Inhalten zu beliefern.

Schön, dass Viacom schlussendlich doch den Sinn und die Chance in der Online-Distribution sieht, traurig allerdings, dass sie die größte Video-Sharing-Seite dabei weiter außen vor lässt.

Der Grund dafür ist vermutlich, dass die geschätzten Einnahmen pro Seher/in auf YouTube bei ca. 0,10 Dollar liegen, während bei traditionellem Fernsehen die Einnahmen bei 0,3 Dollar liegen. Selbst wenn also Joost nie ein Puplikum der Größe von YouTube hat, sind sie für Inhalte-Lieferanten relevant.

Die Frage ist: Hat das Zukunft? Auf Video-Sharing-Seiten wie YouTube muss Viacom die Kontrolle über die Inhalte aufgeben. Es ist leicht, Videos herunterzuladen, zu sharen, etc. Dafür ist es aber auch leichter, andere Leute einfach den Link zum Video zu schicken.
Bei Joost gibt’s kein Video-Sharing, keine Möglichkeit, Links zum Video zu verschicken, dadurch weniger Community und vermutlich auch ein langsamer wachsendes Puplikum. Dafür hat Viacom die volle Kontrolle, kann jederzeit eine Zugriffsstatistik erstellen und braucht keine Angst vor Kritik in der Kommentar-Sektion haben, die es dort gar nicht gibt.

Das wirklich traurige daran ist, dass Viacom zu ignorant ist, Kritik als kostenlose Meinungsumfrage, und Freiheit als Distributionskanal zu sehen.

Für unser neues Projekt, looocal, das ich mit meinem Cousin über eine Entfernung von mehreren hundert Kilometern entwickle, verwenden wir verschiedene Dinge, um das Projekt vernünftig planen zu können.

• Instant Messaging
• Voice over IP
• Planungs-Dokumente
• To Do-Listen
• Meilensteine
• E-Mails

Das alles haben wir bis vor wenigen Tagen mit Google-Produkten gemacht:

• Google Talk: Instant Messaging & VoIP
• Google Docs: Planungs-Dokumente
• Gmail: E-Mails

Nur die To Do-Listen und eine Verwaltung der Meilensteine - das haben wir mit Papier, Writeboards oder sonstigen Lösungen gemacht.

Seit gestern arbeiten wir nur noch mit einer Web-basierten Software der Firma 37signals, genannt Basecamp. Die Firma ist in jeglicher Hinsicht interessant, angefangen deshalb, weil sie sich von Anfang an selbst finanziert hat, durch ein ziemlich gutes Buch, Getting Real, bis zur Tatsache, dass sie ganz einfach ziemlich geniale Produkte machen, die durch vier Sachen brillieren:

1. Einfachheit
2. Perfekte Integration der Produkte
3. Gratis-Versionen mit eingeschränkten Nutzungsrechten
4. Geschäftsmodell (Wer will schon sein Projekt Management auf einer Online-Plattform einer Firma machen, die jeden Tag Pleite gehen könnte?)

Die verschiedenen Module von Basecamp sind so gut integriert, dass das Arbeiten damit einfach ein Traum ist. Außerdem haben sie das Konzept der To Do-Listen ziemlich genau so umgesetzt, wie ich es immer wollte, aber bisher noch nicht gefunden habe. (Man glaubt gar nicht, wie schwierig es offensichtlich ist, so etwas einfaches richtig zu machen.)

Das lustige ist aber, dass Google wie schon gesagt fast alle diese Funktionen ebenfalls bietet, abgesehen von Kleinigkeiten. Nur sind die Funktionen dort nicht gut integriert und kombiniert.

Ich denke aber, dass Google daran arbeiten wird, und Mashups schaffen wird, die angefangen bei Projektmanagement auch andere Bereiche besser und nützlicher abdecken könnten.

Google Reader, der RSS-Reader der Wahl von Robert Scoble und vielen anderen, hat bisher keine Statistiken dazu veröffentlicht, wie viele Google-Mitglieder einen Blog lesen. Seit heute ist das anders: Google’s “Feedfetcher” übergibt im User Agent ab sofort auch die Anzahl der Leser/innen.
Ich hab aus Interesse gestern die Anzahl der Leser von TechCrunch angeschaut - es waren ca. 195.000. Heute sind es 271.000. Wahnsinn: 28% der TechCrunch-Leser verwenden den Google Reader.

Bei Google Operating System ist’s noch krasser - da verwenden gar 75% der Leser Google Reader. Ok, bei diesem Blog geht’s primär um Google-Produkte, aber 75% ist selbst dafür ziemlich viel…

Um so mehr ist es Schade, dass Google nicht wirklich viele Ressourcen in dieses Produkt investiert…

Wer die Entwicklung der nächsten Version des Firefox-Browsers verfolgt, hat vielleicht schon gelesen, dass neben anderen Dingen mit Hochdruck daran gearbeitet wird, dem Firefox die Unterstützung von Offline-Anwendungen zu ermöglichen. Das geht hauptsächlich durch einen lokalen Speicher, den die Seiten belegen können.

Chris Double, ein Vertragsmitarbeiter der Mozilla Corporation aus Neuseeland arbeitet mit den Machern von Zimbra zusammen, um Zimbra als Referenz-Anwendung Offline-fähig zu machen.

Hier ist das beeindruckende Demo zu finden.

Mozilla will diese Funktionen standardisieren, die Chancen dafür stehen recht gut, wenn die Funktionen in Zusammenarbeit mit den anderen relevanten Browser-Herstellern (Apple, Microsoft, Opera) entwickelt werden.

Man stelle sich nun die Möglichkeiten vor, die diese Offline-Funktionen schaffen. Stellt euch ein Gmail vor, wo man die letzten 100 E-Mails auch Offline lesen kann, und E-Mails, die Offline geschrieben werden, automatisch verschickt werden, sobald wieder eine Verbindung besteht.
Oder Google Text & Tabellen, wo alle Dokumente auch Offline zur Verfügung stehen. Oder natürlich auch die Produkte anderer Firmen. Die Möglichkeiten sind schier grenzenlos.

Und wer befürchtet, dass Mozilla damit die Monopolbildung von Google unterstützt, beachte, dass dank der niedrigen Einstiegskosten nicht nur die Chancen für Google steigen, Microsoft im Heim-Office-Bereich zu schaden, sondern auch für andere Firmen, wie Zimbra oder Zoho.

Am Wochenende war ich in Genf, um mich mit einigen Leuten der LIFT07 zu treffen. Leider konnte ich nicht direkt zur Konferenz fahren, was ziemlich cool gewesen wäre, doch ich war arbeitsbedingt verhindert. Womit wir beim Thema “Der Zivildienst erschwert mir eine sehr wichtige Zeit.” wären, zu dem ich aber später nochmal extra was schreiben werde.

Am Samstag abend ging’s erst zum Interview mit Robert Scoble, Vize President of Media Development bei PodTech, und Gastgeber der ScobleShow das im Laufe der Woche online gehen wird (und definitiv mit einem Extra-Beitrag belohnt wird).

Danach sind wir (Robert, seine Frau Maryam und ich) zum Dinner mit den Organisatoren der LIFT07 und anderen Leuten gegangen, darunter einige der Sprecher undandere einzelne Teilnehmer. Das Essen war fabelhaft, wir wurden sogar eingeladen (was mir ein noch größeres Loch in der Geldbörse erspart hat).

Unsere Gesprächsthemen waren viele:

• Flickr, soweit ich das mitbekommen hab einstimmig, die Übernahme (bzw. das Schnäppchen) des Jahrzehnts
• Namensfindung, und was dabei beachtet werden muss (wobei der Name des Restaurants, “La Broche”, auf portugisisch so viel wie Blowjob bedeutet, und das “Vista” im neuen Windows auf Litauisch “Hühnchen”) - die ScobleShow hat dazu ein Interview mit dem Mann, der WiFi seinen Namen gegeben hat.
• Ob Predigten als Podcasts auf YouTube veröffentlicht werden sollten.
• Welche Chance YouTube-Konkurrenten auf Dauer haben.
• Ob unsere persönlichen Helden nicht schlussendlich doch nur Menschen sind, und ob wir nach dieser Erkenntnis enttäuscht oder noch stolzer auf unsere Helden sind.
• Und so weiter - an alles kann ich mich dummerweise dank sehr, sehr gutem Wein nicht mehr so richtig erinnern.

Jedenfalls kann ich jedem nur raten, einmal im Leben Robert Scoble zu treffen. Dieser Mann ist einfach sensationell, und ist sich nicht zu blöd dafür, seine Zeit für jemanden zu opfern, den er nicht kennt, und von dem er überhaupt nichts weiß.

Der Samstag Vor- und Nachmittag sowie der gesamte Sonntag war übrigens von meist schlechtem Wetter geprägt, weshalb ich kaum Lust hatte, Genf großartig zu besichtigen. Trotzdem sind 100 Fotos rausgekommen. Falls ich einen Teil davon online stelle, werd ich das sicher hier noch schreiben.