 Hallo und herzlich willkommen zur Gulasch-Programmier-Nacht-Märchen-Stunde. Es ist nicht der letzte Tag des Tages, das wäre eigentlich der passende Zeitpunkt. Nichtsdestotrotz, ihr habt wahrscheinlich alle nach dem Nordseits den Herr der Ringe gelesen, die meisten von euch zumindest nicht, da gibt es ja eine Szene mit Sprichfreund und Trittein. Wer sich noch erinnern kann, als er oder sie klein war, die Geschichten aus Tausend und einer Nacht, sesame öffnet dich. Die ganzen Märchen sind voll mit verschiedenen Referenzen auf Authentifizierung, auf Autorisierung und diese Brücke zwischen IT und Märchenland wird uns jetzt die Tatjana schlagen. Bitte begrüßt mit einem großen Applaus unsere wunderbare Tatjana. Danke, heil. Auch von mir noch mal ein herzlich willkommen. Man sieht, wir sind in der Märchenstunde angekommen, Märchenhafte Protokolle. Und ich möchte euch auf eine Reise mit in die Märchenwelt nehmen und dabei so ein bisschen Authentifizierung und Autorisierung erklären, um das Ganze ein bisschen greifbarer zu machen. Warum machen wir das Ganze überhaupt? Könnte man jetzt auch sagen, interessiert ja keine Authentifizierung und Autorisierung. Es ist halt einfach so, dass heutzutage eigentlich in so ziemlich allen Technologien in allen Bereichen, die wir so benutzen im Alltag, sei es jetzt zum Shopping online oder für E-Mail oder wenn wir in Social Communities unterwegs sind, auf Wikis unterwegs sind, überall wird eine Authentifizierung benutzt, weil man möchte nicht, dass jeder den Account benutzen kann. Man möchte nicht, dass jeder mit seiner Kreditkarte bezahlen kann. Dafür braucht es eine Authentifizierung. Das gleiche gilt eben auch bei den immer mehr hochpoppenden digitalen Devices und Smart Home Technologien, die wir so haben. Das Problem dabei ist, für die meisten von uns ist das so eine schöne große Karte, unentdeckten Landes, bei dem wir eben nicht wissen, was hinten im Hintergrund passiert. Wir geben irgendwo vielleicht ein Username ein und ein Passwort. Und dahinter passiert Magic und plötzlich dürfen wir irgendwas machen und dürfen was bezahlen und es wird Geld abgehoben. Und wir wissen eigentlich so gar nicht, wie sind wir denn da jetzt hingekommen, weil das passiert alles im Hintergrund. Und in der Regel so der normale User, der bekommt das nicht mit, der weiß nicht, was da passiert. Der sieht das auch nicht. Das heißt, diese Landkarte von X-Wegen, die es gibt und X-Zielen, die wir erreichen möchten, die will ich mit euch heute ein bisschen erkunden. Das heißt, ich bin eure gute Fee auf der Reise. Und wir machen uns ein bisschen auf den Weg in so ein Wald der Begrifflichkeiten sozusagen, machen da so ein paar Irrungen und Wirrungen und kommen vielleicht auch irgendwann mal wieder zurück. Wir geben uns dann ein bisschen in eine entfernte Galaxie und kommen dann irgendwann mal in einem Schloss an, in dem ganz viele Räume sind, in dem ganz viele magische Gänge sind und Irrwege, die man machen kann und wo man vielleicht hin will und vielleicht möchte man irgendwann mal zum Schatz kommen. Das ist so unser Plan für heute. Tja, was ist Authentifizierung? Die begegnet uns eigentlich auch hier und jetzt und in jedem Kontext, den wir so haben. Und das fängt schon damit an. Wir hatten jetzt eben gerade hier einen Herald stehen und er hat euch gesagt, hey, da kommt jetzt die Tatjana auf die Bühne. Und ich sage euch vielleicht, hey, ich bin die Tatjana mit X-Nachnam und ihr nehmt das jetzt einfach mal hin. Aber wer sagt denn, dass ich Tatjana bin? Vielleicht bin ich ja auch Silvia oder Alex. Ich weiß es ja nicht. Jetzt könnte ich natürlich hingehen und sagen, hm, ich kann mich euch gegenüber authentifizieren. Ich zeig euch meine Visitenkarte. Sagt vielleicht im Business Kontext der eine oder andere. Ja, akzeptiere ich. Du bist die Tatjana und Bissprogrammiererin. Sagt der nächste, hm, ja, ne, finde ich nicht so cool. Zeig mir mal deine ID. Das heißt, ich habe eine ID, die mir von irgendeinem Staat ausgehändigt wurde, weil ich zum Beispiel eine Geburtsurkunde vorgezeigt habe oder mich auf irgendeine andere Art und Weise authentifiziert habe, gesagt, also nachlegen, beweisen konnte, dass ich Tatjana Berger bin. Das heißt, ich kann mir diese ID dann überall hingehen und kann sagen, ich bin Tatjana Berger. Und das akzeptiert dann vielleicht auch der eine oder andere. Und der nächste sagt dann wieder, hm, ja, könnte ja sein, du hast das ausgedruckt und hast es gefälscht und wer weiß, hm, ne, gilt alles nicht. Ich möchte, dass jemand anderes sagt, du bist die Tatjana. Das heißt, vielleicht sitzt hier einer im Publikum und sagt, ja, ich weiß, das ist die Tatjana. Vielleicht sitzt derjenige im Publikum, um glaub zu wissen, dass ich die Tatjana bin, weil ich ihr halt ähnlich sehe und er spricht mich anders und sagt, hey, du bist doch die Tatjana. Er heißt, ne, oder ich sage, ja, bin ich, weil ich halt einfach mal so puh. Und wie kann das rausfinden, indem er mir eine Frage stellt und sagt, hey, die Tatjana weiß genau, was auch immer, dass sie dann und dann dort und dort einen Vortrag kalt, dass wir wissen vielleicht noch mehr, aber sie weiß vielleicht auch, wo sie geboren ist oder sie weiß, was ihr Lieblingshaustier ist oder ihre liebste Fee. Und wenn ich diese Frage beantworten kann, dann sagt er, ja, das ist die Tatjana und wir glauben das jetzt alle, weil ich hab gesagt, das ist die Tatjana. Das wären so drei Möglichkeiten. Und da sind wir jetzt auch schon bei den drei Kategorien der Authentifizierung. Wissen, den Besitz und die Inherenz. Wissen, das kann man auch an einem Märchen zeigen. Also abgesehen davon, dass wir jetzt eh gerade gesagt haben, okay, wir wissen das, weil dann ein Herrall da gesagt hat, das ist die Tatjana und ich hab es gesagt und nach, keine Ahnung. Wissen ist halt Information. Das heißt, zum Beispiel in einem Märchen, das wir alle kennen, Alibaba und die 40 Räuber, wobei kennt das jeder? Wer kennt's nicht? Also Alibaba und die 40 Räuber, da kennt jeder zumindestens den bekanntesten Satz. Und zwar ist da eine große Schlucht, da reiten 40 Räuber auf Pferden durch die Schlucht, halten vor, ja, in einem Gebirge, was auch immer. Und einer von denen ruft, Sesam öffne dich. Die Schlucht öffnet sich, sie reiten rein in eine Höhle und haben dort ihren Schatz. Weil die ist super abgelegen und vermeintlich kennt es keiner und also können sie ihre Schätze dort ablagern. Und sie sind ja auch die einzigen, die das Sprichwort dafür kennen. Blöd nur, dass Alibaba, der Holzfeller, dort halt eben gerade unterwegs war, zufällig das Ganze gehört hat und sagen kann, ich kann's auch und ich kann die Höhle auch leer machen. Das ist also Wissen. Was ist Besitz? Besitz, Excalibur? Sagt euch das was? Nicht. Also Excalibur ist die Geschichte von König Arthos. Das heißt, wir haben einen wunderschönen Hügel, in dem Merlin ein Schwert versenkt hat, nämlich das Excalibur. Und er sagt, nur der einzig wahre König, der, der uns alle regieren darf, nur der, der das rausziehen kann, der ist es. Und dann kommt halt so ein kleiner Junge daher, zieht es raus und sagt, ich hab das Schwert, ich hab Excalibur, ich darf euch regieren. Das ist Besitz. Inherenz ist, wenn wir uns anhand von Gesichtsmerkmalen, von Fingerabdrücken, von Dingen, die uns irgendwie inne sind, also die uns ausmachen, die den Körper von uns ausmachen und damit authentifizieren können. Und das ist halt bei der kleinen Meerjungfrau, wunderschöner Fischschwanz. Damit erkennt sie jeder. So, dann kommen wir direkt zum nächsten. Was ist denn Autorisierung? Jetzt wissen wir, wie wir uns authentifizieren. Und wir können sagen, das ist Tatiana, das da hinten ist vielleicht Peter und weiß nicht, die kleine Meerjungfrau sitzt da hinten, hat rote Haare, wer weiß. Und was bringt uns dann Autorisierung? Das heißt, wir hatten jetzt das Beispiel mit Sesam Öffnetig und Ali Baba und es kam irgendeiner daher und hat gesagt, Sesam Öffnetig und konnte alles rausnehmen. Aber die Räuber wollten das ja eigentlich nicht. Das heißt, wir brauchen noch eine Autorisierung. Das heißt, wir haben die Autorisierung, die mit den richtigen Wissen auch wirklich den Zugang noch dazu bekommen. Da gibt es auch ein einfaches Märchen, mit dem man das schön veranschaulichen kann. Und zwar gibt es die Schöne und das Biest. Und da ist es ja so, dass die Schöne zum Tausch für eine Rose von ihrem Vater an das Biest sozusagen ausgehändigt wird. Und das Biest sagt halt, ah du bist so eine Schöne, du bist natürlich so toll. Du darfst überall in meinem Schloss herumlaufen und alles benutzen. Das ist einmal die Ressource, die ich dir freigebe. Also ich autorisiere dich dazu, das Schloss so zu benutzen, wie du möchtest. Und das andere ist eine Aktion, die ich dir erlaube. Das heißt, eine Autorisierung für eine Aktion. Und das ist dann, wenn sie sagt, ich habe Heimweh, ich will nach Hause und sie sagt, okay, du darfst jetzt nach Hause gehen. Ich habe über Authentifizierung und Autorisierung gesprochen. Aber irgendwie haben wir dabei eine Sache vergessen. Und zwar, was ist denn Identität? Denn selbst wenn wir wissen, dass ich Tatiana bin und wir wissen, dass ich vielleicht Tatiana Berger heiße mit Nachnamen und wir vielleicht auch wissen, dass hier jetzt gerade im Raum jemand sagt, wer sagt denn, was mich ausmacht, wer ich bin und dass es keinen Double von mir gibt. Und da gibt es eine einfache Art, Google-Suche aufzumachen, seinen Namen einzutippen und zu sagen, hey, werde ich dann gefunden. Blöderweise werde ich gefunden. Aber davon abgesehen findet man eben auch ganz, ganz viele andere Menschen. Und jemand, der mich nicht kennt könnte halt basieren. Ein bisschen doof. Das heißt, wir müssen uns auch darauf einigen, wie wir eine Identität definieren. Also wie wir sagen können, das ist die Person, die wir jetzt meinen und von der wir auch die Zugangsdaten haben möchten, damit sie irgendwas auf irgendwas zugreifen kann oder irgendwas machen kann. Also was ist eine Identität? Ich erkläre es mal an Scheheresade. Das ist aus Tausenden einer Nacht eine Figur, eine Hauptfigur im Endeffekt. Und zwar ist sie die Tochter eines Visiers, die eben das ganze Geschehen von Tausenden einer Nacht mitbekommt. Das heißt, da gibt es ein König, der wurde von seiner Frau betrogen, die hat mit einem Sklaven geschlafen und dann sagt er, ich traue jetzt keiner einzigen Frau mehr. Die sind alle böse. Und dann heiratete eine Frau und er sagt, das hatte ich mal Spaß. Jetzt kann die wieder weg. Und die sagt, das kann so nicht weitergehen, weil sie ist nämlich die Tochter eines Visiers. Bekommt das mit und sagt, ich bin eine intelligente Frau, ich mach das anders. Sie ist gleichzeitig, also sie heiratet den König, wird die Königin und seine Frau und weil sie es schafft, in Ansicht zu binden mit den Geschichten, die sie immer erzählt. Sie ist am Abend eine Geschichte und am nächsten Morgen verrät sie ihm nicht das Ende, aber das ist spannend und er möchte das weiter wissen, also lässt er sie leben. Das schafft sie über tausend und eine Nächte. Gebärt ihn dazwischen drei Kinder, wird Mutter. Und wie gesagt, im ganzen Geschichten Erzählerin. Das heißt, sie hat irgendwie verschiedene Attribute von Tochter, Mutter, dann ist sie irgendwie eine Romanfigur, eine Geschichtenfigur, sie hat ein Bild, sie hat ein Aussehen, sie hat vielleicht ein Besitztum und sie hat wahrscheinlich auch noch Attribute, so etwas wie Intelligenz, weil sonst wäre die Geschichte ja nicht eingefallen. Das sind alles Dinge, die sie umspannen, die alle zu ihr gehören. Innerhalb der Geschichte hat sie ja auch Zutgritzrechte. Sie darf in Haare, darf da aber nicht mehr raus. Das ist halt auch bestimmte Rechte, aber eben auch Pflichten und sie hat eben auch Sachen, die sie begrenzen. Das gehört alles zu einer Identität dazu. Und es ist alles in einer Entität gebunden, das heißt in einer Person gebunden. In dem Fall einer Person. Bei uns im realen Leben könnte man jetzt auch sagen, das wäre jetzt ich als Speaker hier bei dem Talk, habe aber auch eine Identität als ehemalige Studentin, habe eine Identität als Angestellte und so weiter und so fort. Dann kommen wir aber auch schon zum nächsten Thema. Und zwar, wir wissen jetzt, was Authentifizierung ist, was Autorisierung ist, wir wissen, was eine Identität ist und jetzt wollen wir das Ganze irgendwie mal ein bisschen zusammengießen und wir sagen, das sind ja einzelne Komponenten. Und wenn jeder irgendwie was anderes akzeptiert, also der eine hat meine Physikant akzeptiert, der nächste hat meine ID akzeptiert und wieder einer hat gesagt, hey akzeptiert dich nur, wenn mich, wenn jemand anderes dich vorstellt. Das Gleiche ist natürlich bei der Autorisierung, der eine sagt halt, okay, ich akzeptier, wenn du ein Schlüssel hast, andere sagt, wenn du ein Passrace hast oder was auch immer. Da das alles aber so unterschiedlich ist, brauchen wir ein Standard. Das heißt, irgendwas worauf wir uns alle einigen und sagen, okay, das ist der Weg, mit dem wir alles zulassen. Das nennt man im Endeffekt eine Kommunikationsprotokolle oder genauer gesagt, Kommunikationsprotokolle, weil das sowieso der Bereich ist, nein, nicht weil, sondern das ist halt der Bereich, in den ich reingehen möchte. Das heißt, Kommunikationsprotokolle, das ist immer auf welche Art und wie wir mit jemandem, welchem Format wir mit jemandem kommunizieren. Das heißt, es sind zwei Identitäten, die wollen irgendwie Informationen austauschen, die müssen sich darüber einigen, wie sie es machen, wie sie akzeptieren an Antworten. Das kennen wir auch aus dem Märchen. Also, das Prinzip des Protokolls mit, wie kommuniziere ich, und zwar sind wir da wieder bei Schnewittchen und zwar die Stiefmutter von Schnewittchen. Die hat ja so ein, etwas, was sie jeden Abend macht, das heißt, sie steht vor ihrem Spiegel und sagt zu dem, Spiegel ein Spiegel einanderwand, wer ist die schönste im ganzen Land? Sie benutzt also wenn wir mal auf Technologie wechseln, ein Header, sie sagt Spiegel ein Spiegel ein, das ist die Ansprache und sie übermittelt ein Body und zwar sagt sie, wer ist die schönste im ganzen Land? Und sie erwartet auch immer die gleiche Antwort zurück, nämlich du bist die schönste im ganzen Land und wenn sie die falsche Antwort zurückbekommt, ist sie böse und sagt, ne, das wollte ich jetzt nicht hören. Genau, die böse Hexe. Damit kommen wir auch schon zum allerersten Protokoll. Das hatten wir schon mal angerissen ganz am Anfang in der Einführung und zwar Basic Authentication ins bloß nicht erschrecken, das ist ein, also für die Unwissenden unter uns, das ist ein Datenflussdiagramm oder ein Netzwerkdiagramm. Das heißt, wir haben uns einmal unsere Alice und den Bob, das könnte man jetzt sagen, auch als Alibaba sagt, oh, der sagt noch nicht meinen Usernamen, er sagt einfach nur das Passwort und das Tor sagt, jop, ist okay, kannst reinkommen. Das Ganze passiert bis 64 encoded in der Basic Authentication. Wenn man das über HTTPS überschickt oder übersendet, bedeutet das wenn wir wieder mal zu Alibaba gehen. Im Endeffekt Alibaba benutzt türkisch, iranisch, was auch immer, arabisch irgendwie so was aus dem Kulturkreis, wo es herkommt und sagt, Sesam, öffne dich. Ein unfähiger Dritter sitzt daneben, kriegt es vielleicht gar nicht mit, weil er gar nicht dort ist, versteht es nicht, weil er die Sprache nicht kann. Aber jemand, der eben die Fähigkeiten hat, zufällig dort vorbeikommt, einfach nur aussprachen, Jungs und Dollarei, hört es, versteht es, kann es anwenden. Das ist ein Problem bei Basic Authentication. Da gibt es noch eine andere Form. Die heißt the Jest Authentication. Wieder ein bisschen anderes Protokoll. Was da noch dazwischen passiert ist, man hat sich gedacht, naja gut, man kann das Ganze ja noch ein bisschen absichern. Also wird Bob, unser Tor, das gibt eine Nance zurück und ein Opaq. Nance ist einfach irgendeine Schiffe, die er ausgewürfelt hat. Alibaba nimmt das Ganze und verpackt es auf eine bestimmte Art und Weise. Und sonst war es das festgelegt, je nachdem, mit welchem Algorithmus man arbeiten möchte. Da gibt es natürlich eine Vorgabe in dem Protokoll und er packt das zusammen und sagt, ich habe hier einen User-Namen. Den hat er beim ersten Mal nicht mitgeschickt. Er hat er erst mal nur gesagt, ich möchte mich überhaupt mit the Jest Authentication identifizieren. Der User-Namen, die Nance im Original, das Opaq, die Response, ein Synons und ein NC. Das heißt, die Response in dem Falle, also der Body, das Data, was er im Endeffekt zurück schickt, also unser Passwort, das schiffriert er in der bestimmten Art und Weise. Das heißt, das wird mit einem Hash durch, also mit der Nance in den Hash verwandelt, das schiffriert er zurück. Und unser Tor oder unser Schlucht, wie auch immer, kann das Ganze wieder deschiffrieren und kann dann sagen, hey, super, akzeptiere ich, du darfst rein. Das NC ist einfach etwas, um hoch zu zählen, wie häufig die Nance benutzt wurde und anhand dessen kann das Tor sagen, hey, das wurde jetzt zweimal benutzt, schickt das zurück, ich wurde zweimal benutzt, und Alibaba weiß, das war dazwischen keiner sonst, der mich oder meinen Passrace auch mal benutzt hat. Klingt irgendwie erst mal ein bisschen netter, als nur das einfache, ich gebe dir mein User nach dem Passwort und jeder versteht es, hat aber eben auch zum Nachteil, dass es, im Endeffekt ist es so, wer halt die Nance abfängt und den ganzen Traffic abfängt, der kann das Ganze wieder schön deschiffrieren und die Schlucht kann das ja auch nur auflösen, indem sie die Nance wieder nimmt und das entschlüsselt. Das heißt entweder sie speichert das Passwort, also sie merkt sich das in Klartext oder aber sie geht hin und speichert sich das als in der Schiffrierung, aber auch die ist ja wieder lösbar, da ist ja dieser Algorithmus dahinter. Dann gab es ein paar intelligente Menschen, die haben sich gedacht, das geht auch besser und haben OS1 entwickelt. Da haben wir jetzt wieder andere Begrifflichkeiten, das heißt wir haben einmal den Consumer, den Authorization Server und wir haben unseren User. Der Consumer, also ich erkläre euch jetzt erstmal die Grafik und dann gehen wir weiter, der Consumer, Moment, das sieht man nicht, der Consumer stellt eine Anfrage an den Authorization Server und sagt, hier, da gibt es jemanden, der möchte irgendwie was mit mir machen und ich möchte erstmal wissen, ob er das überhaupt machen darf. Er bekommt ein Request-Token zurück, das gibt ihm erstmal noch gar kein Recht, das ist einfach nur ein Zeichenfolge, dem Authorization Server etwas sagt. Die wird wieder zurückgeschickt an den User vom Consumer und dann kommt ein Request-Token, wenn du irgendwas mit mir machen möchtest, dann musst du erstmal deinem Authorization Server sagen, dass A, du die richtige Person bist und B, du was auch immer machen darfst. Das heißt der User geht zum Authorization Server, authentifiziert sich und autorisiert sich und dann wird das Request-Token, ein autorisiertes Request-Token jetzt zurückgeschickt zum Consumer. Kann mir diesem Request-Token, also dem autorisierten Request-Token eine erneute Anfrage an den Authorization Server stellen und in dem Fall sagen, hey, gib mir jetzt noch ein Access-Token. Also, wir wissen jetzt, das funktioniert, jetzt möchte ich gerne meine eigene Idee haben, mit der ich immer wieder bei dir anfragen kann und immer wieder Sachen von dir bekommen kann an Daten. Klickt irgendwie ein bisschen trocken, ist irgendwie ein bisschen, naja, also ich weiß nicht, wer jetzt rausgeht und sofort das wiedergeben kann, das ist irgendwie ein bisschen trocken. Also gucken wir uns das anders an. Wir fügen mal ein paar Figurchen hinzu und sagen, wir haben einen Mann von euch aus linken Seite, der hat eine Heiratsabsicht und sagt, hey, ich gehe mal zum Vater der Braut oder der Gewolten und frage, darf ich die Dame heiraten, denn sie gefällt mir gut und er sagt, hm, kannst du es mal versuchen, aber du musst erst mal die Braut fragen oder meine Tochter. Das heißt, er hat wieder den Auftrag, er geht zur Tochter und sagt, hey, Tochter, finde ich cool, würde ich gerne heiraten, Papa sagt, du musst ihm erst mal genehmigen. Tochter geht zum Papa, sagt finde ich cool den Mann, möchte heiraten. Sagt der Papa, okay, lieber Breutige, jetzt darfst du loslegen und damit weiß er, okay, loslegen heißt jetzt er, ich muss erst mal irgendwie austarieren, wann wollen wir heiraten, was muss dafür erst mal über die Seite wachsen und naja, vielleicht muss ich doch irgendwie noch ein bisschen was tun, vielleicht Dayton oder so. Eventuell. Das heißt, er fragt noch mal beim Papa an und er sagt, ja, ja, ja, hier hast du deinen Access-Token, komm, leg los, auf geht's, to die. Und damit haben wir einmal unser Access-Token bekommen und O aus eins benutzen. Also ein, hm, ich will mal sagen ein traditioneller Tag, ich hoffe nicht, dass jeder von euch da durch muss. Aber auch das hat so seine, hm, ich will mal sagen Tücken. Und deswegen gab es da noch mehr interessante Menschen, die sich gedacht haben, hm, das geht auch anders. Es kam auf den Plan O aus 2.0. Es wurde komplizierter und es gab mehr Spieler sozusagen. Das heißt, wir haben angefangen, wir haben einen User aus owner, das ist jetzt wieder der, im Zweifel der User, der den Aufruf einer Webseite oder ein Service über ein User-Agent macht. Das heißt, die User-Agent, in dem Fall wäre zum Beispiel ein Browser. Der Browser macht ein redirect zu einer client-Application. Das ist der Browser, schickt uns ja noch weiter zu was auch immer wir an Service aufrufen wollen. Und diese client-Application sagt dann damit du mich benutzen kannst, musst du erstmal einen Authorization Grant-Request machen. Der User-Agent schickt also an den Authentication Server sein Grant-Request und sagt, hey, ich würde mich gerne hier bei dir autorisieren. Dafür muss er die User Credentials mit schicken. In dem Fall O aus 2.0 sagt, hm, ne, nix mit Authentifizierung. Das ist ja was schon im Browser, im User-Agent, was mitgeschickt wird magisch. Und ich will nur noch von dir die Autorisierung. Also wenn ich dir etwas gebe, also ich gebe dir den Schlüssel, du kennst den Schlüssel, du sagst, ja, jetzt darfst du das Tor öffnen. Der Authorization Server gibt damit dann einen Authorization Code zurück an den User-Agent. Er sagt, ja, der darf zugreifen. Der kann diesen Authorization Code, den er an den Client weitergibt. In diesem Authorization Code kann der Client dann wieder zum Access-Token-Request, also ein Access-Token-Request schicken an den Authorization Server und kann dort ein Access-Token bekommen. Also am Ende sind wir wieder wie bei O aus 1. Wir haben ein Access-Token, was dann von der Client-Applikation benutzt werden kann. Das Ganze ist also noch komplizierter geworden, aber das können wir lösen mit etwas Ähnlichem wie einem Märchen, also etwas, wovon vielleicht der eine oder andere hier im Saal schon mal geträumt hat oder sich als Märchen vorgestellt hat und zwar fügen wir ein bisschen Galaxie dazu. Wir wollten schon immer Astronaut werden und wollten schon immer mit der SpaceX fliegen. Also gehen wir zum Reisebüro unseres Vertrauens und sagen ich würde gerne auf den Mars. Da fliegen wir zwar noch nicht hin, aber da würde ich gerne hin. Das Reisebüro sagt, hey, das ist okay. Mach ich für dich, für Geld geht alles. Aber dafür muss ich jetzt erstmal anfragen bei SpaceX, ob die das mit dir machen wollen. SpaceX sagt, ja, okay, machen wir, aber wir brauchen dafür erstmal die Erlaubnis von der NASA, weil irgendwie jeden Hochpumpen dürfen wir auch nicht. Zack wieder zurück zum Reisebüro. Das Reisebüro sagt, okay, dann frage ich jetzt mal bei der NASA an. Da fragt bei der NASA an, sagt, hier, ich hab XYZ, ich geb dir die ID, also mal wieder irgendwie den Personalausweis, was auch immer an Kram gebracht wird. NASA sagt, ja, kenn ich, der darf das. Geht wieder zurück zum Reisebüro und das Reisebüro schickt diese Authorisation, also die Erlaubnis ins Alt geschossen zu werden. Zurück an das SpaceX. Und das sagt dann, okay, jetzt hab ich zwar die Erlaubnis, ich weiß, der darf das, der kann das bezahlen, alles tut die. Aber jetzt brauche ich halt auch noch eine Startzeit und ich brauche vielleicht auch irgendwie ein Zeitpunkt und die Erlaubnis, den da hin zu karen und was auch immer. Eine Zutrittseidee, also geht er wieder zu NASA und sagt, jetzt gib mal bitte ein Access Token oder diese Person, damit ich das hochschieße darf. Das einmal in kürze OAuth2. Beziehungsweise OAuth2 im Authorisation Grant, also Authorisation Code Grant, weil das OAuth2 hat verschiedene Arten, also insgesamt ein Zvier, wie es angewendet werden darf und die zweite ist der Implicit Grant, da sieht man, das ist schon etwas abgespeckter, das ist im Endeffekt reduziert auf, wir haben den Implicit Grant Request vom User Agent an den Authorisation Server mit den User Credentials und der gibt den Access Token zurück an den User Agent und dann gibt es nicht nochmal die Abfolge zwischen dem, der Client Application und dem Authorisation Server um an das Access Token zu kommen, das heißt, das Access Token verbleibt beim User Agent. Das gibt es nochmal das Resource Owner Password Credential, das heißt, das ist so, dass der Resource Owner direkt bei der Applikation seine Credentials eingibt, das heißt in dem Fall Bankautomaten zum Beispiel, gebe ich direkt meine Credentials ein und die werden weitergegeben an den Authorisation Server und dann gibt es sofort ein Access Token. Im Zweifel heißt es, ich vertraue wer auch immer die Client Application ist und das heißt eben auch, wenn wir jetzt mal irgendwie die böse Hexe nehmen, die böse Stiefmutter oder was auch immer aus dem Märchen ich gebe irgendjemanden meine Zugangsdaten und habe das wundervolle Blinde vertrauen, dass damit nichts Böses getan wird. Ja und dann gibt es auch noch die Client Credentials Grant wenn es einem aufgefallen ist, sieht irgendwie die Quantitation aus. Wird auch immer noch ein Username und Passwort drüber geschickt. Ist halt TLS drum herum. Okay, machen wir es ganz ein bisschen sicherer. Aber insgesamt, also die 3 weiteren Formen von OAuth sind im Endeffekt eine Abwandlung von Sesam Öffnetig werden in der Regel auch nicht empfohlen die zu benutzen und das ist auch das, was am meisten man nutzt, wird der Authorisation Code Grant sein. Weil es dort eben eine ausgewogenere Abfolge gibt beziehungsweise auch klarer ist, wer was bekommt. Wir hatten Access Turken, wir hatten Authorisation Turken. Es wäre jetzt sehr langweilig, wenn wir an der Stelle schon fertig wären und sagen würden, damit haben wir die Welt jetzt gerettet. Die gute Fee war unterwegs, hat uns alle bezaubert, wir sind alle autorisiert und es gibt keine böse Menschen dazwischen. Das ändert sich auch nicht, weil es ist immer das gleiche von der Abfolge her. Ist halt leider nicht so der Fall. Und deswegen gibt es noch andere Formen oder neue Formen, die jetzt gerade rauskommen, vor allen Dingen um die Probleme zu lösen, oder was das Problem ist, aber Lösungen zu finden für Cloud, ich habe verschiedene Identität, also nein, ich habe eine Identität, aber verschiedene Accounts, ich habe verschiedene Zugriffe, verschiedene Zugriffsrechte, irgendwie will ich überall hin. Firmen schließen sich zusammen, plötzlich hatte ich zwei Accounts, plötzlich bin ich in einem zusammen, wie soll das funktionieren? Da hat man sich gedacht, da gibt es sowas, das nennt sich Federation. Das heißt, ich bin immer noch der Resource Owner, ich bin immer noch der User, ich besitze meine Identität. Ich rufe für eine Web-Applikation auf, die irgendwie woanders ist, und die Web-Applikation sagt, hm, kenn ich nicht, geh mal wieder zurück zu dem, der dich kennt, also dem Authorization Server, der zufällig auch bei dir zu Hause in deinem Dorf steht. Dort gibt es einen Authorization Code, der an den Web-Applikation zurückgeht und damit kann der dann sagen, hey, okay, und jetzt authentifizieren wir das mal bei einem Trusted Broker, das heißt, irgendwie eine Instanz, die bei mir steht, also Resource Owner und Authorization Server befinden sich in Dorf A oder sagen wir mal in Vorzeit und Web-Applikation und Trusted Broker sitzen in Cards vor und die sagen, wir vertrauen einander, aber nur wenn wir die richtigen Wege gehen. Das heißt, wir haben also unseren Authorization Code bekommen, sagen, jetzt authentifizier dich bitte mal in Cards vor, er bekommt zurück eine Assigned Assertion, die kann er dann wieder mit einem Code an den Authorization Server schicken und bekommt dann ein Access-Token zurück und damit haben wir es geschafft, dass ich, die ich in Vorzeit bin, in Cards vor authentifiziert wurde und damit in Cards vor eine Web-Applikation oder bei irgendeinem Service dort Zugriff bekommen. Das heißt, es gibt ein Access-Token, was dann benutzt wird mit meiner Authentifizierung und Authorisierung. Jetzt hatten wir ja schon das Spiel der Märchen schon ein paar Mal. Wer kann denn so spontan eine Idee haben, was da so dahinter an Märchen versteckt ist. Da jemand eine gute Idee dazu? Oh je, sind alle ein bisschen müde von der Sonne. Aber im Prinzip hatten wir das ja schon. Wir haben zwei Instanzen, also Pforzheim und Karlsruhe und wir möchten authentifiziert werden und das Gleiche ist, auch wenn zum Beispiel, wenn wir an die NASA denken, wir haben halt die NASA und es gibt da die ESA und es gibt vielleicht noch irgendwann mal eine Weltraum- Weltbehörde und die schließen alle zusammen und sagen, ihr habt jetzt verschiedene Identitäten und ihr kennt Astronauten A bis Z. Aber ich möchte jetzt einfach Astronaut nach oben schießen und ich möchte nicht von dem die Authentifizierung bekommen und ich möchte auch nicht von dem die Authorisierung machen müssen, sondern du sagst mir, ob ich den jetzt nach oben schießen darf. Und zwar, NASA ist für die Leute zuständig, die anderen sind für die zuständig, aber irgendwie noch nicht so ganz zu wem der gehört. Da gibt es jetzt verschiedene Ausprägungen davon, wie das umgesetzt wurde. Eine ist zum Beispiel SAME, für die ich aber nicht so sehr eingehen möchte, weil ich möchte euch lieber so die neuste zeigen, sondern das neueste Protokoll, was jetzt am meisten in den Einsatz kommt, was zum Beispiel auch von Amazon benutzt wird und das ist Open ID Connect. Das heißt, das ist jetzt der neuste Wurf für die intelligenten Menschen, die gesagt haben, hey, wir probieren mal wieder was Neues aus, vielleicht wird das jetzt sicherer. Wir haben ein User, der sagt, zu einer Relaying-Party ich möchte Open ID machen und da gibt es verschiedene Möglichkeiten. Es gibt zum einen die Möglichkeit, dass der, die Relaying-Party sagt, okay, du gibst mir deinen Open ID-Kennung und ich kümmere mich darum, dass es nicht so gut ist, oder aber du sagst mir direkt, wer dein Provider ist. Das heißt, ich laufe zu der Relaying-Party und sage Facebook, Google, wer auch immer, ist mein Relaying-Partner, Provider. Damit weiß dann die Relaying-Party, ich gehe zum Open ID-Provider deiner Wahl und sage, ich bin ein intelligenter Relaying-Party, das heißt, wir lernen uns erst mal kennen, wir tauschen uns aus, geben Kies hin und her, damit wir wissen, was ist unsere geschützte Kommunikation und wie können wir Daten hin und her austauschen. Wenn die Verknüpfung dann aufgebaut ist durch den Austausch, dann passiert ein Redirect des Users zum Open ID-Provider und der User meldet sich beim Provider seien es Vertrauens mit seinem Usernam die Antwort an. Das heißt, er gibt sonst keine mehr seine Zugriffsdaten hin. Damit weiß der Open ID-Provider, okay, das ist jetzt der User und der hat die Berechtigung dazu gegeben, dass zum Beispiel auf die Mail-Namen zugegriffen werden darf auf den Vornamen, aber eben nicht auf den Nachnamen, schickt das wieder zurück an die Relaying-Party, weil die kennt er ja noch, schickt das mit einem Key zurück, den er vorher mit der Relaying-Party ausgemacht hat. Und die Relaying-Party prüft mit diesem Key die Daten, die man ankommt und sagt, ja, das ist richtig signiert, das ist richtig gehäscht, der Inhalt ist verliebt, den akzeptiere ich so. Und kann dann damit einen Service dem User anbieten, weil er jetzt weiß, ich habe da ja jemanden, dem ich vertraut hab, ich bekomme jetzt die Daten, die ich brauche und kann mit diesen arbeiten, ohne dass ich nochmal zusätzlich irgendwelche Passwörter oder was Abfrage vom User. Das heißt, der ganze Prozess wurde etwas leichter gemacht oder etwas leichtgewichtiger gemacht. Auch da wieder, wir haben jetzt drei Parteien, die miteinander kommunizieren, wobei der eine ist derjenige, der sagt, du bist richtig, der eine ist der, der sagt, ich bin die und die und ich will das und das und der nächste, der sagt, okay, ich akzeptiere das. Das hatten wir auch schon ganz am Anfang und zwar ist das im Prinzip auch das, was mit dem Publikum passiert. Ich sage, ich bin Tatiana und ich möchte jetzt hier einen Talk halten und möchte euch irgendwas erzählen. Das Publikum muss das Ganze akzeptieren. Also, irgend einer dazwischen sagt, ja, die ist das, ein Zweifel der Herald, sagt, ja, die ist das und die darf das machen und ist somit der OpenID Provider und ihr akzeptiert es, weil er hat mich ja vorher vorgestellt. Genau. Das Ganze gibt es nochmal in etwas Dümmer. Das heißt, also, das war jetzt keine Wertung, nicht falsch verstehen, die RelyingParty ist einfach Dümmer. Das heißt, die sagt, hm, ich kann diesen Key austauschen, die Verknüpfung mit dem OpenID Connect Provider kann ich nicht ausführen, weil meine Intelligenz ist einfach begrenzt. Das heißt, die überspringt diesen Schritt und sagt, direkt mache ein redirect, authentifiziere dich User und autorisiere bekommt dann mit einem redirect den Key zurück und sagt an der Stelle, okay und jetzt validiere ich, oder validier du OpenID Connect Provider die Signatur, die du mir geschickt hast und ich akzeptiere das dann einfach. Das heißt, die Prüfung der Daten übernimmt nicht die RelyingParty sondern sie überlässt das wieder dem OpenID Connect. Ich glaube so, so im Prinzip auch ohne Wertung kann man sehen auch das hat wieder ein Problem und zwar vertraue ich irgendwie also ich frage bei einer dritten Instanz und vertraue der dritten Instanz ohne selbst zu prüfen, das ist so in etwa wie wenn ich eine Businesskarte bekomme, also eine Visitenkarte und sage ich vertraue der und ich frage vielleicht noch jemand anderen und sage, stimmt die denn, aber ich frage eigentlich ja nur, ob es das Unternehmen gibt und so, aber ich frage keinen im Unternehmen und ich kann selbst auch nicht prüfen ob die Person die ist, die da auf der Karte steht. Das war einmal so der kurze Abriss und ein schneller durch so einige der bekannten Protokolle die momentan so im Einsatz sind und die hinten dran funktionieren paar mal habe ich euch schon gesagt wo das vielleicht mal eingesetzt wird so was wie bei Facebook oder bei Amazon das Ganze wird mittlerweile immer häufiger und überall implementiert und man sieht es halt einfach nur nicht mehr weil wenn man es sieht, erkennt man es nicht immer direkt dieser OpenID Connect Flow mit dem Identity Provider das ist das, was wir so von Google eigentlich tatsächlich kennen das heißt, wir gehen irgendwo hin und das heißt, dann willst du dich mit diesem Account anmelden, dahinter steht ein Provider der diese Identität hortet und sagt ich stelle sicher dass das diese Person ist und ich habe vielleicht sogar Kreditkartendaten und wenn die Person sagt, du darfst die benutzen dann gebe ich dir die Kreditkartendaten aber ich bin der Verwalter dieser Informationen das heißt, auch da haben wir wieder jetzt sind wir im Schloss angekommen wir haben dort eine böse Hexe sitzen vielleicht auch eine Nette vielleicht auch einen König und der hat eine Schatzkammer in der ganz viele Informationen drin sind und sagt wenn du den richtigen Schlüssel bringst oder wenn du die richtige Person bist dann kannst du das aufmachen oder kannst ein bestimmtes Töhrchen für jemanden öffnen und damit lassen wir immer wieder Leute nicht zu uns aber zu anderen denen wir die Aufsicht über unsere Daten geben das so und damit ich mich eigentlich schon am Ende angekommen jetzt hätte ich danke euch, dass ihr mich auf meiner Reise begleitet oder auf unsere Reise und wenn ihr mögt also ich habe jetzt noch Gelegenheit Fragen zu stellen, ich glaube ein bisschen Zeit haben wir noch und ansonsten für im Nachgang falls ihr euch nicht traut im Publikum zu sprechen oder aufgezeichnet werden wollt könnt ihr mich auch über die folgenden Kanäle erreichen eingeschaut vielen, vielen herzlichen Dank jetzt habe ich endlich verstanden wie das mit dem Heidatsantrag funktioniert ich habe mittlerweile aus dem Publikum einen Mikrofon-Troll requiriert das heißt wenn jetzt Fragen an die wunderbare Tatjana dass ich jemals davon aussehe hat sie nicht impersoniert, sondern ist es wirklich also wenn ihr Fragen an die Tatjana habt jetzt bitte kurz Hand heben und mein wunderbarer Mikrofon-Troll kommt zu euch bringt euch das Mikrofon für die Frage nicht laufen, da passieren Unfälle erstmal Danke für den Vortrag, war super du hast ja Sammel übersprungen und bei Sammel ist ja so, dass du zuerst so eine Vertrauens- Beziehung aufbaust zwischen der einen Partei der Anwendung und dem, sagen wir mal, Identity-Probeiter wie ist das bei OpenID Connect kann da jeder kommen kann man da vorhin das auch irgendwie einschränken also ich sage ich, also ich als ich vertraue nur diesen Anwendungen oder würdest du mich user überlassen im Endeffekt ist es so dass jeder der diese API die ja dahinter steht nutzen kann also wer sich anmeldet also bei Google ist es zum Beispiel so, du musst dich ja anmelden damit du diese API benutzen kannst in der Anfrage hin checken kannst das heißt du hast eine client ID mit der du sagst, hey ich bin jemand der bei dir anfragen darf es gibt aber natürlich auch offene APIs wo du überhaupt eben dich nicht anmelden musst und das ist so ein in der Regel die richtige Implementierung ist ein Identity-Probeiter auf der einen Seite und auf der anderen hast du ein client der registriert ist beim Provider und eben dort die Anfrage stellen darf wenn du jeden zulässt sollte vielleicht nur das Rezeptbuch dahinter liegen weitere Fragen Hände hoch wir haben einen wunderbaren Mensch der diesen ganzen Authentifizierungso auf OpenID so super anschaulich erklären kann jetzt ist eure Chance zu fragen es gibt keine dummen Fragen fragt für Freunde bitte ich frage halt nochmal was anderes bei OpenID Connect ist jetzt nur Authentifizierung und es ist auch nur noch einmal die Sache ich bekomme kein Key mit dem ich dauerhaft was anfragen könnte das ist halt der OpenID Connect macht beides also du kannst dich sowohl authentifizieren als auch autorisieren wobei es erlaubt verschiedene Möglichkeiten sozusagen das heißt du könntest OpenID Connect auch nutzen um zum Beispiel SAML zu integrieren weil der OpenID Connect Provider der kann verschiedene Sachen verstehen also das was er zulässt kann dann zum Beispiel auch sagen er akzeptiert ein RIS A Key oder ähnliches es hängt also vom Provider ab was der zulässt im Endeffekt kann ich damit auch ein Key bekommen mit dem ich mehrere Anfragen stellen kann später also von welcher Seite her mehrere Anfragen wie es bei Oout auch der Fall ist da krieg ich ein Access Key mit dem kann ich später Anfragen stellen gibt es das auch wenn es um die gleichen Daten geht also wenn ich als User gesagt habe dieser Kleint der darf meine E-Mail-Adresse und meinen Vornamen abfragen dann darf ich immer wieder die E-Mail-Adresse und diesen Vornamen abfragen allerdings habe ich ein Access-Token eine Ablaufzeit haben kann das sind alles Bereiche im Protokoll die man eben definieren kann man darf das Access-Token refreshen es läuft nach so viel Zeit ab und ähnliches ich kriege aber immer nur die Daten die ich als User freigegeben habe das heißt wenn jetzt der Kleint sagt jetzt möchte ich aber den Nachnamen haben dann muss der User nochmal gefragt werden und der wird dann wieder an den Provider weitergeleitet muss beim Provider die Erlaubnis geben also die Autorisierung geben bleib mal hinten leider bleib soll ich jetzt also ich wollte fragen gibt es eine Technologie die sozusagen wo ich in der Praxis mein eigener Identity-Provider sein kann ich frage deswegen weil ich habe vor 10 Jahren mal ein OpenID-Server für mich selber nur aufgesetzt der hat eine Weile funktioniert und dann irgendwann haben die Services das nicht mehr erlaubt dass ich mir eine eigene URL eintragen kann das Problem ist der Kleint es kommt darauf an wie der Kleint damit umgeht wenn er sagt du suchst einen Provider aus aus der Liste die ich dir hier nenne dann sind das die akzeptierten da kann man ja nicht da gibt es keinen Klartext wo man noch was eintragen kann und dann funktioniert das natürlich nicht das ist wahrscheinlich die Art die sich auch eher durchsetzen wird weil das für den User einfach am leichtesten ist also man hat ein Logo das kenne ich, klickt drauf, funktioniert vertraue ich vielleicht auch der Person eventuell die Vertrauensfrage stellt sich ja immer aber die stellt sich eben auch für den Kleint auch der Kleint sagt ja vielleicht ich vertraue einem Amazon dass die Kreditkarten-Daten valide sind und wirklich der Person gehören die diesen unbekannten Provider wer weiß wer das ist bitte schon kannst du was sagen über Banküberweisung im Inland oder im Ausland das war der Unterschied wenn ich eine Banküberweisung auslöse im Inland ist es nicht genau das gleiche wenn ich es ins Ausland auslöse okay das ist jetzt wieder so ein es ist zu allgemein im Endeffekt die Frage ist wird das Mikron näher zum Mund sonst hört man dich nicht das Geld wird ja nur eine Zahl die übermittelt wird ja und wenn die Übermittlung erfolgt ist es ja sofort am anderen Ende dort richtig naja sofort derzeit ist es offensichtlich so ist es jedenfalls mein Wissenstand wenn man eine Auslandsüberweisung tätigt außer europäisch dann kostet die Geld dabei ist der elektronische Vorgang kein anderer als wenn man es im Inland macht kannst du zu dem Thema was sagen also ich kann grundsätzlich was dazu sagen dass das Problem ist also die Protokolle die ich so bisher gezeigt habe von den ich erzählt habe das ist so das letzte ist der neueste Stand der Technik da kommt dann noch Uma vielleicht aber das haben eben nicht alle umgesetzt und gerade die Banken arbeiten häufig auf die Sprachen wie Kobol die schon 30 Jahre alt sind und gerade die Bankautomaten arbeiten noch da drauf und die haben häufig einfach noch sehr alte Protokolle sehr inflexible Systeme das heißt dieses so einfach und schnell und alle machen das gleiche ist halt eben nicht gegeben und es gibt auch nicht den Standard der weltweit für alle Banken gilt das ist halt dann wieder das nächste also da müsste es noch ein schönes Protokoll geben was dann auch wirklich alle implementieren und alle auf gleiche Weise implementieren weil das ist nämlich wieder das nächste wir einigen uns auf ein Protokoll aber wie das jeder implementiert kann auch unterschiedlich ausfallen und gut natürlich wollen die also dass die Banken dafür Geld wollen das ist ja ein Geschäftsmodell und solange denen keiner auf die Finger haut werden sie auch machen egal wie viel es kostet wäre ja auch ein schönes Thema für die nächste GPN wie funktioniert denn eigentlich so eine Überweisung im Innen- und Ausland und warum dauert das länger als 10 Sekunden das würde auch mehr als eine Stunde füllen glaub ich auf jeden Fall darf ich eine Antwortfrage stellen weil du hast jetzt alles immer mit dem Browser erklärt wie schaut denn das aus wenn ich diese modernen Mobile Apps hab die jetzt zu ihm sind ja da ist es halt wir gehen nochmal einen Schritt sogar noch zurück weil wir haben nicht nur Apps wir haben auch Devices das heißt in der Regel es ist ja tatsächlich so zum Beispiel mit Android da haben wir halt diesen Google Account der uns überall authentifiziert und bei Apple das ist eben die Schlag-Bicht-Hot-Apple-ID und da übernimmt das Device häufig für uns schon eine Authentifizierung zumindestens für die Produkte die in dieser Community sozusagen oder in diesem Bereich dazugehören und wenn wir dann noch eine andere Applikation dazunehmen dann übernimmt auch wieder wenn wir mal bei Android bleiben Google als unser Identity Provider der schluckt wieder alle Daten dazu von der App und sagt hey ich synchronisier die für dich auf allen Devices und dein Device ordne ich deiner Identität zu also wenn du das schon mal einer mitbekommst das ist eigentlich ein super Beispiel für SingleSign on und was es da alles sonst noch so gibt weil man hat halt bei Google so eine Liste von allen Geräten die einem zugeordnet sind und wenn ich mich jetzt plötzlich mit einem anderen Computer anmelde dann sagt das den kenn ich noch nicht aus verschiedenen Gründen und sagt auf meinem Handy bitte erlaube dem Gerät dass das jetzt auf dein Konto zugreift und das funktioniert eben auch mit den Techniken von OpenID Connect da kommt jetzt auch UMA noch dazu was leider noch nicht so wirklich viel implementiert wurde das ist eine Abwandlung von OpenID Connect oder eine Weiterführung wo es darum geht die User-Resourcen also die Daten bestimmten Entitäten freigeben zu können und zwar je nach Datenbereich im Endeffekt und das ist auch was was dann wiederum in den Banken eventuell genutzt wird irgendwann mal in 10-15 Jahren und das gleiche macht das gleiche macht auch Echo also sie benutzen eigentlich in der Regel die neuesten Applikationen benutzen in der Regel Identity Provider wenn ich eine E-Mail hab von Google und meld mich über mein Computer an dann funktioniert es wenn ich dann aber woanders an einem anderen Standort bin beispielsweise ein Hotel dann funktioniert es nicht sondern ich müsste eine Telefonnummer angeben zum Beispiel und warum ist das so kannst du dazu was sagen das hat was damit zu tun also es hat weniger mit dem Protokoll selbst zu tun sondern damit zu tun was Google damit macht und zwar macht es eine Risikoanalyse im Endeffekt das sagt wie kann ich denn irgendwas dir zuordnen und das macht es zum Beispiel über eine IP Zugangspunkt GPN was auch immer alles an Daten was es irgendwie bekommen kann im Zweifel wenn du dein Laptop hast ein Browser hat auch sehr viele Daten das passiert zum Beispiel auch schon wenn du zu Hause mit einem anderen Browser dich einlogst dann sagt es auch das funktioniert jetzt gerade nicht weil es hat sich etwas geändert einfach beim Handy und der Telefonnummer da ist es so mittlerweile mit den Smartphones wird davon ausgegangen in der Familie aus man leidet es einem Freund wer verleiht sein Smartphone irgendwie seltener man tauscht es oder man handelt es auch nicht man hat selten ein Smartphone und das benutzt der Partner noch mit oder die kleine Tochter vielleicht noch eher aber auch da wird schwierig aber man hat halt ein Gerät was für einen alleine gilt deswegen wird die Telefonnummer so gerne genommen oder das Smartphone so gerne genommen weil das relativ eindeutig und damit kannst du also so sicherstellen oder sagen ja, das ist der Account der zu mir gehört sonst noch Fragen wahrscheinlich auch Fragen zu Märchen sind auch erlaubt oder? wenn ich sie kenne ja sonst hätte ich jetzt noch eine letzte was ist dein Lieblingsmärchen? es ist ein Wittchen definitiv habe ich auch ein paar mal benutzen dann sage ich vielen herzlichen Dank Tatjana, Dankeschön Danke