[Openstandaarden] nieuws van het front (over hotmail etc.)

[Peter Vandenabeele]

On Sun, Jan 30, 2005 at 01:35:05AM +0000, Peter Dedecker wrote:
> Peter Vandenabeele wrote:
> >* de reden om een hotmail e-mail adres op te geven is niet zozeer om
> >  te e-mailen, maar wel als praktische ID voor msn chat. En dat werkt
> >  _alleen_ met een hotmail/msn adres (zegt mijn dochter). Dat is de 
> >  reden waarom die hotmail adressen daar zo'n hoog percentage halen.
> 
> Dat was vroeger zo, dat je MSN enkel kon gebruiken met hotmail. 

Ik begrijp uit verschillende publieke en private reacties inderdaad
dat dit nu niet meer zo is ...

Maar ... veel mensen (niet de gemiddelde OS.be lezer, maar wel de gemiddeld
chattende 15 jarige of 30 jarige), weten dit nog niet en gaan er simpel van
uit dat je een hotmail adres en een M$ Windows computer nodig hebt om met 
hun vrienden te kunnen chatten en ik zou zelfs vrezen dat sommige
politici die zich met deze materie bezighouden dit nog niet eens weten.

Als we nu eens een propere tekst opstellen die dit mooi toelicht, in
verstaanbaar Nederlands (en we vragen onze Waalse collega's om
medewerking voor een Franse vertaling) en dan sturen we dat properkes
op naar alle parlementairen, met het aanbod daar uitleg bij te geven
via zoveel mogelijk kanalen die ze verkiezen (telefoon, e-mail, een
persoonlijk bezoek, ...) dan zullen er toch wel een paar luisteren,
hoop ik ? 

De insteek moet niet een zijn van een "politiek pamflet", maar wel een 
van "gratis tutorial". Als er echt veel interesse is, kunnen we ook 
echt een (gratis) workshop organiseren, waar we op een kwalitatieve 
en informerende (niet belerende) manier die Open Standaard aspecten 
toelichten. En daarvoor is een werkende, vlotte demo van een aantal 
technieken ook hard nodig.

Laat me eens iets proberen:


{Geachte heer _____ | Geachte Mevrouw _____},

Lid van het {Federaal parlement | Vlaams parlement},

Namens openstandaarden.be wil ik U graag informeren over de verschillende 
technische mogelijkheden in verband met Instant Messaging (chat) en
e-mail en de risico's van de huidige dominantie van Microsoft op dit vlak.

Het zal U niet ontgaan zijn, dat een groot aantal computergebruikers zich 
volledig aan hun hotmail of msn adres binden voor wat betreft hun 
online-identiteit. Deze online-identiteit gebruiken ze dan frequent als 
online-identiteit voor chat (meestal msn) en e-mail (meestal hotmail). 

Een frappant voorbeeld was bijvoorbeeld recent dat 28 van de 30 contacten 
van een stage waarop mijn oudste dochter (16 jaar) zich had ingeschreven, 
zich met een hotmail of msn adres identificeerden voor hun online-identiteit. 
Ook binnen de scholen en chat groepen voor volwassenen, heeft msn en hotmail 
als online-ID een verontrustend dominante positie verworven.

Deze evolutie is zeer zorgwekkend, omdat hiermee een buitenlandse, commerciele 
firma een zeer sterke controle krijgt (niet eens onder audit van de overheid) 
over de online-identiteit van de Belgische burgers (inclusief mijn kinderen, 
maar ook vele andere honderdduizenden Belgen). Nu lijkt dat misschien nog 
onschuldig, maar naarmate online transacties en online communicatie (chat, 
e-mail) belangrijker worden als deel van het maatschappelijk bestel, wordt 
het zeer zorgwekkend om dit volledig door een buitenlandse, commerciele 
firma te laten controleren.

Er zijn minstens even goede open alternatieven, die voor de burgers meer
transparant zijn en ook die controle door een buitenlandse commerciele
groep wegnemen. Een eerste belangrijke stap is de beschikbaarheid van
een open, gestandaardizeerd protocol voor chat (jabber), dat al enkele
jaren bestaat en minstens gelijkwaardige functionaliteit biedt op het
vlak van chat. Recent heeft belnet (een organisatie die door de overheid
wordt gesubsidieerd en gecontroleerd) hiervoor een publieke server
opgezet. Voor jabber zijn verschillende aantrekkelijke clients voor
o.a. Microsoft Windows, Apple Macintosh en Linux beschikbaar. Omdat 
dit een open protocol is, kan eenieder ook betere clients ter beschikking 
stellen en is dit protocol door de overheid en de burgers te auditen. 

Wanneer nodig kunnen de burger en de overheid ook kiezen om deze 
communicaties voor extra veiligheid te versleutelen of een harde 
authenticatie toe te passen voor men op het chat kanaal komt (dit
bijv. om dus kinderen en jongeren te beschermen tegen ongepaste
contacten met verkeerd ingestelde volwassenen).

Op het vlak van die online-indentiteit, is bijv. het verkrijgen van 
een jabber-ID bij belnet een oplossing die al een stuk neutraler is dan 
die verantwoordelijkheid bij een (buitenlandse) commerciele firma neer te 
leggen. 

Het voorstel om hiervoor de federale eID te gebruiken, wijzen we dan weer 
sterk van de hand, omdat het niet gewenst is om voor een online-ID 
dergelijke harde en legale associatie tussen online-ID en fysische 
persoon (= eID) te maken. Voor je online-ID, wil je wel een soort garantie 
dat je online-ID gekoppeld blijft aan 1 en dezelfde persoon (die persoon 
die het paswoord kent of de sleutel op zijn computer heeft), maar je 
wil die toch ook een stuk anoniem houden omdat je niet noodzakelijk voor 
alle zaken die je online zegt of doet direct hard verantwoordelijk gesteld 
wil worden. 

Een andere bezorgdheid betreft het feit dat het gebruik van eID als 
online-ID misschien alleen voor een beperkt aantal gesloten systemen 
geimplementeerd zal worden en op die manier nog verder de dominantie 
van die gesloten systemen zal bevorderen.

We menen dus dat het optimaal is om een stuk technische bescherming van
je online-ID te hebben, zodat het niet makkelijk te stelen is, maar _ook_ 
de mogelijkheid van anonimiteit. Het gebruik van de officiele eID als 
harde associatie voor "softe en ongebonden" communicatie zoals chat en 
informele e-mail is dus ook niet de optimale oplossing. 

Onze voorstellen zijn de volgende:

* het initiatief van belnet om een open, niet commerciele jabber server
  op te zetten moet sterk ondersteund worden.

* de overheidsdiensten (in hun interactie met de burger) en het onderwijs 
  moeten bij voorkeur gebruik moeten maken van diensten van belnet en andere 
  open dienstverleners en van open protocollen, om de overheidsdiensten en 
  de Belgische burgers niet nog verder in een nieuw monopolie van Microsoft 
  op het vlak van online ID vast te betonneren.

* het gebruik van eID als online-ID lost volgens ons dit probleem niet op.
  Het gebruik van een goed beveiligde, op neutraal terrein geplaatste
  server (zoals die van belnet), is een stap in de goede richting.

Graag staan we ter beschikking om U hierover meer toelichting te geven.
Deze toelichting kan zowel de diep technische als de meer praktische
aspecten behandelen.

We willen gerust voor u of uw IT gerichte medewerkers een vrijblijvende
demonstratie en een toelichting geven over de verschillende aspecten 
van online-ID, chat met open protocollen (jabber) en aspecten van 
veiligheid die hiermee verband houden.

Hoogachtend,


xxxxxxxx

contact:

gsm : xxxxxx
tel : xxxxxx
fax : xxxxxx

e-mail : xxx at xxxxx

adres: xxxstraat
       xxxxxxx

++++++++++++++

> >   prive-persoon of andere firma, of zelfs een vzw dat domein had, 
> >   zou je die authenticatie dan meer vetrouwen ?? En ik zie ook
> >   niet direct hoe je die chat authenticatie kan doen zonder
> >   enige vorm van centrale authenticatie ... Je wil tenslotte wel
> >   weten dat achter abc_def altijd dezelfde persoon zit, eventueel
> >   zonder dat iemand de associatie met de echte persoon kan
> >   traceren of hard bewijzen (het concept om dat met harde
> >   door de staat uitgegeven eID's te gaan linken lijkt me
> >   heeeel vreemd. Virtuele anonimiteit is juist de sterkte
> >   van dat medium .... maar je wil wel niet dat iemand je nick
> >   afpickt, zelfs in zo'n half anonieme community). 
> 
> Snap ik niet zo goed.  Eens ze de account aangemaakt hebben (controle 
> via mail naar "oude" hotmailadres) verloopt de verdere authenticatie 
> toch gewoon via username/pw?  

Ja. Maar dan ben je dus wel plots de accuraatheid van een database van 
duizenden externe mensen aan het managen. En als daar een fout in sluipt
en een of andere "bad guy" slaagt erin om via een lek in dat systeem aan 
de chat te raken met kinderen, dan heb je toch wel een zekere impliciete 
verantwoordelijkheid ...

> Ik zou het enkel zien als chatID en niet 
> meer dan dat hoor.

Dat is het hele probleem, enerzijds dat M$ die nu beheert, maar dat een
alternatief dat niet vanuit de staat komt, ook niet evident is (omdat je
dan als entiteit die verantwoordelijkheid moet nemen en betrouwbaar moet
zijn).

> >* meer features via de nieuwe operator
> >
> >   Hier maken we nog het meeste kans. Kids zijn zeer gevoelig 
> >   aan fancy features (zoals die simpele multi-user networked games
> >   en die 'winks' die recent in msn 7 geloof ik erbij zijn gekomen.)
> >
> >   Als we daar een aantal fun features in een goede jabber client 
> >   kunnen toevoegen hebben we een voorsprong, die ze toch minstens
> >   een keer met een alternatief voor msn in aanraking zal brengen.
> 
> Maakt idd een goeie kans.  In onze studentenvereniging had ik al wat 
> zitten denken aan zulke uitbreidingen voor het geval we een jabberserver 
> zouden opzetten (wat er nog niet van gekomen is en wat alsmaar 
> uitgesteld wordt), zoals bijvoorbeeld een jabber-abonnement op de 
> nieuwste posts in de fora van de vakken die je volgt.  Een ander idee 
> was liedjes aanvragen op de studentenradio via Jabber (een botje dat de 
> ontvangen requests opzoekt in de DB en de mogelijkheden terugstuurt).
> 
> We moeten echt wel eens nadenken over het ontwikkelen van 
> Jabber-communitysites met allerlei diensten en spelletjes.  Een eerste 
> schot: zou het niet leuk zijn om een site op te richten waar je online 
> kan schaken tegen een ander en tegelijk chatten via jabber? 

Online gaming (zelfs heel simpele games) is IMO de key om dit te halen
(het voorbeeld dat ik al heb aangehaald is dat banale mijnenveger
spelletje dat mijn dochter speelt en die "winks" die ze heel cool
vinden). Dit moeten we doen.

> Je geeft 
> uiteraard je jabberID in om in te loggen, de ander krijgt je ID ook te 
> zien en kan je toevoegen aan je lijst.  Dat kan via een website gebeuren 
> of via een extension van bijvoorbeeld gaim.  Of ons forum bijvoorbeeld: 
> nu veranderen sommige topics wel in een chat, we zouden moeten de 
> mogelijkheid bieden om prive-berichten te sturen over jabber.  Indien de 
> jabberserver er toch zou komen bij ons, zou een unieke login/jabberID 
> wel eens tot de mogelijkheden kunnen behoren.  Maar ik zeg het, het 
> tijdsgebrek is ontzettend groot bij ons. 

Telt jullie dag maar 23 uur ;-) ?

> Bovendien hebben we nu ook niet echt een machientje over om op te spelen, 
> maar dat komt misschien wel na dit jaar (we krijgen dan wat speelgoed van 
> de unief die een paar pc-klassen vernieuwt :-))

Bandbreedte lijk me meer het probleem. En vooral, je wil voor toch wel
ergens een entiteit met een lange, stabiele verwachte levensduur om je
jabber-ID te beheren. Moet je voor spelletjes ook niet een soort
centrale, trusted server hebben die niet te "cheaten" is ?

> >Ik hoop echt dat we iets kunnen bedenken om dit nieuwe monopolie
> >van M$ (op feitelijke electronic ID's voor de halve wereldbevolking)
> >te verhinderen voor het te laat is.
> 
> Het is geen eID geworden en zal het ook niet meer worden.  Passport is 
> afgeschreven geraakt en je kan MSN-en met een ander adres.

Dus niet nodig om me zorgen in te maken ? Ik heb de indruk van wel.
Wacht tot ze dit met online shopping gaan koppelen, dan brengt het
echt veel geld op.

Peter