BrowserId de Mozilla: OpenId bien hecho que probablemente llega tarde

El recién anunciado BrowserId de Mozilla recuerda y mucho a un estándar muy comentado por estos lares, OpenId. Como aquél, la apuesta es por un sistema de identificación distribuido, pero con varias diferencias clave: es el navegador quien maneja la identidad del usuario con los sitios web que visita (lo que mejora con mucho la usabilidad, talón de aquiles de Openid) y son los proveedores de correo quienes hacen también el papel de «proveedores de identidad».

En teoría, BrowserId sería un OpenId con una experiencia de usuario mucho mejor, delegando gran parte del trabajo que hacía el usuario en el navegador y el proveedor de correo. El problema está en que además de estos dos actores (browser compatible y proveedor de correo implantando la tecnología), los sitios web deberían adaptarse para integrarlo. Y esto supone tener que poner de acuerdo a mucha gente frente a sistemas que se están imponiendo, como Facebook Connect, basados en APIs propietarias pero que tienen más retorno a priori al «sembrar enlaces» hacia la web que lo adopta. Mozilla plantea escenarios para BrowserId en caso de que el proveedor de correo no lo soporte (que un tercero provea de identidad) y para los navegadores que no implementen las librerías necesarias (plugins para ellos), pero esto no hace sino complicarlo y sigue resolver el problema de reprogramar las webs.

Ojalá tengan suerte, pero mi impresión a bote pronto es que BrowserId probablemente llega tarde y que al menos durante unos años seguiremos con sistema de identificación propietarios en lugar del deseable estándar abierto que supondría esta iniciativa de Mozilla. Eso a no ser que dos actores como Google y Microsoft se sumaran al proyecto y lo integraran en GMail, Chrome, Hotmail y Explorer.

PD: Mozilla se planteó integrar Openid en el navegador en 2007, pero finalmente decidieron que no era buena idea.

¿Facebook como único servicio de identificación y comentarios de usuarios?

El movimiento de Facebook con Connect para articularse como sistema de identificación por excelencia en la web se ha visto reforzado con el lanzamiento de su sistema de comentarios para terceros. Se plantea como alternativa a los sistemas de comentarios nativos de los gestores de contenidos y a otros como Disqus o Intense Debate que mencionamos cuando aquello de «la dispersión de los comentarios en los blogs«.

La propuesta de valor está clara por parte de Facebook: un sistema de comentarios muy bien hecho, que te sale gratis y te añade visibilidad en su servicio de red social mediante el reflejo de la actividad. Su ganancia no es menos evidente, supone un refuerzo para ser no sólo el sistema de identificación y de «grafo social», sino que también en su rol de «acaparador de la conversación», aspecto en el que Twitter cada vez es más importante por su carácter abierto.

El debate aquí para muchos soportes es si empieza a merecer la pena mantener sistemas de registros propios, de gestión de contactos, de comentarios… Para muchas páginas empieza a resultar seductor entregarse por completo a los brazos de Facebook, delegar en él la identificación de los usuarios, su capa social y ahora también el sistema de comentarios. Ahorro en desarrollo de sistema propio, en almacenar muchos datos y se potencia que los usuarios les den visibilidad en Facebook. Sin embargo, no deja de ser un arma de doble filo: muchos usuarios no quieren mezclar actividad personal en la red social con la de otros sitios o ni siquiera quieren tener una cuenta en Facebook. Seguir la senda de «sólo Facebook» supondría empujarles a cambiar de criterio o darlos por perdido en cuanto a su actividad en el sitio… todo ello sin perder de vista de que los usuarios de Facebook son siempre más de Facebook que del sitio que integra sus tecnologías.

El nombre en la URL de Facebook y la identidad online

Nuevo diseño de Facebook

Facebook anunció ayer que ofrecerá a los usuarios «vanity URLs«, es decir, que la dirección web sea amigable y contenga el nombre del usuario: algo del tipo facebook.com/antonio.ortiz. Cada usuario podrá elegir según orden de petición y se podrá personalizar al gusto, por lo que se plantea toda una disputa cuando se ponga en marcha, el próximo sábado a las 6:00 de la mañana, horario español. Las empresas pueden ir reservando sus marcas para evitar que sean ocupadas por otros.

Mi impresión es que Facebook quiere reforzar su rol como proveedor de identidad online. Antes de estas «URLs con el nombre del usuario» dio dos pasos en esa misma dirección, Facebook Connect para poder utilizar su usuarios en webs de terceros a modo de identificador y permitir hacer público el perfil, con lo que podemos presentar nuestra dirección en Facebook como «nuestra casa en la web», incluso a quien no esté registrado en la red social.

Facebook partía de una situación de desventaja como proveedor de identidad online respecto a modelos «abiertos a todo el mundo por defecto» (abiertos no en el sentido de «estándar» sino en el de «visibles para cualquiera en la web»), como son Twitter, el el perfil de Google o, incluso, los proveedores de OpenId. También tiene sus puntos fuertes: más de 200 millones de usuarios, la mayoría con sus datos reales en su perfil. Y a esos es a los que quiere cuidar y tratar bien con una URL a su medida: para que la identidad en internet esté ligada a su usuario Facebook.

Artículo relacionado: El nuevo Facebook, Twitter y el estatus.

Perfil personal en Google en los resultados de búsqueda

perfil

Creo que durante el día de hoy vamos a asisit a un rellenado masivo del perfil de usuario en Google. ¿El motivo? Pues el anuncio de que se le dará especial visibilidad en los resultados del buscador cuando se consulte acerca de una persona. Como dicen en su blog, esto te da «cierto control» de lo que va a encontrar la gente cuando te busque en Google, aunque de entrada estos enlaces al perfil de usuario en Google se colocan abajo de la lista de resultados.

Claro que esto de añadir el perfil personal en Google en los resultados de búsqueda va más allá de «mejorar dichos resultados». Tiene de entrada, varias aspectos a considerar:

  • Refuerza el posicionamiento de Google en la lucha por la identidad online. Hasta ahora rellenar el perfil era algo directamente inútil, Google ha usado el mayor incentivo que tiene, de rellenarlo depende cómo salgas en los resultados, en la puerta de acceso de la mayoría de la población conectada a internet.
  • No se puede dejar de ver como un movimiento para minimizar el valor de quienes tienen hoy por hoy mejor posición en el mercado de la identidad digital, sobre todo Facebook. ¿Por qué sale en los resultados destacado el perfil en Google y no el de Linkedin o el público en Facebook, que hoy por hoy tienen mucho más valor?. Al menos añaden unos enlaces para buscar información extra en otros sitios, pero la apuesta es sin duda «Google-céntrica»
  • Google está haciendo dos cosas en esta apuesta: usar su dominio en un mercado – las búsquedas – para asaltar otro como es la identidad online. También está favoreciendo de nuevo los resultados que mantienen al visitante en sus propiedades, algo que va en contra de su «visión primigenia».
  • Lo más importante de todo, hasta cierto punto Google cambia sus reglas – el algoritmo sagrado cuyos resultados no se alteran manualmente – pon unas un tanto cuestionables. Señala Batelle que el posicionamiento inicial vendrá dado por el grado de completitud del perfil. Hay muchos «Antonio Ortiz», saldrá primero el que haya dado más datos en su perfil de Google.

Es de esperar que Google apueste por conocer mejor al usuario y por posicionarse en la lucha por la identidad digital de los mismos, pero algunos de los pasos que ha dado son cuando menos, contraproducentes. Que la calidad de un resultado depende de haber rellenado un perfil cuando en otros sitios hay información de mucho valor que no se tiene en cuenta es probablemente el mayor sacrifio de Google en la calidad de los resultados de su historia.

Por cierto, de momento afirman que sólo aparecerá en Google Estados Unidos. En SeL hacen un análisis a fondo.

Twitter y su sistema de identididad digital basado en oAuth

Identificación con Twitter

Movimiento interesante y necesario de Twitter, articular un sistema de identidad digital que permite a sitios de terceros identificar a los usuarios con la cuenta Twitter pero sin acceder a la contraseña de los mismos. Esto es posible gracias al uso del estándar OAuth, que va camino de convertirse por fin en la referencia como estándar abierto para que una aplicación web (cliente) pueda acceder a la información de un usuario en otra (proveedor) sin tener que informar a la primera del usuario y contraseña. Más información sobre el movimiento en R/W, Hueniverse. Un ejemplo de implementación lo tenemos en FileSocial.

Y, claro, esto nos lleva a volver sobre el tema de la la lucha por la identidad online del usuario, una batalla en la que sin duda el producto de referencia – nos guste más o menos – es Facebook Connect, pero también tenemos OpenId y Google Friend Connect. Hay varios puntos a considerar creo en este movimiento:

  • Twitter necesitaba un sistema de identificación para terceros que no exigiese la entrega del usuario y contraseña a los mismos, todo un problema de seguridad que van a a arreglar con el empleo de OAuth. De entrada se trata de salvaguardar el ecosistema, sin duda uno de los activos más importante para Twitter, en este sentido considero que el movimiento era imprescindible para Twitter.
  • Al contrario que OpenId o Google Friend Connect, integrar el sistema de identificación digital de Twitter tiene una ventaja para los sitios que lo elijan: pueden ganar visibilidad y tráfico gracias a la integración. Ese es el principal activo de Facebook Connect: si lo integro en mi web, las actividades de los usuarios aparecerán en su newsfeed, trayéndome tráfico.
  • La apuesta por un estándar abierto indica a las claras la vocación «amigable para desarrolladores» por parte de la gente de Twitter, en contraposición a la visión de Facebook que apuesta por un API propietaria en lugar de por un estándar abierto.

En todo caso, a día de hoy Facebook sigue haciendo valer su masa de usuarios como gran valedora de su propuesta de sistema de identificación online. A día de hoy todo esto puede parecer una competencia de retorno incierto para los proveedores de identidad, pero creo que es un tema nuclear: centralizar las acciones online de los usuarios tiene un valor potencial incalculable, como también lo tiene estar integrado en servicios de terceros. Hoy te ofrecen un servicio de identificación, mañana un servicio de publicidad personalizada.

Sitio oficial: Sign-in-with-Twitter.

Identidad real en internet o uso de seudónimos

Inteco ha publicado un «estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online» este mes. Aunque todavía no he sacado tiempo para leerlo a fondo, hay una recomendación que repiten y que me ha llamado poderosamente la atención:

Se recomienda a todos los usuarios recurrir al uso de seudónimos o nicks personales con los que operar a través de Internet, permitiéndoles disponer de una auténtica «identidad digital», que no ponga en entredicho la seguridad de su vida personal y profesional. De esta forma, únicamente será conocido por su círculo de contactos que conocen el nick que emplea en Internet.


Lo que plantean es ofuscar la identidad real en internet y que, en lugar de nuestro nombre, empleemos algún tipo de seudónimo, algo que me parece terriblemente contraproducente. De hecho estoy convencido de que hay más seguridad en los entornos en los que, como en las redes sociales, se tiende a unificar la identidad real y la identidad online. En un grupo en el que todos se conocen y trata de introducirse alguien sin foto y sin firma, es cuando salta la alarma, si todos van a llamarse «flipao84», ¿de verdad habrá más seguridad? ¿cómo nos encontramos si usamos seudónimos? ¿que hay de la marca propia, hay que construirla sobre un nick necesariamente? ¿son más seguros los chats de IRC en los que nadie usa su verdadero nombre? ¿en serio?

No pongo en duda de que es necesario tomarse el tema de la seguridad y la privacidad en internet en serio (sobre privacidad hemos hablado un rato por aquí), de hecho colaboro con el blog de seguridad de Inteco, pero tengo muy serias dudas de que el camino sea abogar por separar la identidad digital de la identidad real. De hecho, creo que la tendencia es justo la contraria, hacia que el fenómeno de poner tus datos verdaderos en redes sociales se va extendiendo hacia el resto de la web.

La lucha por la identidad online del usuario. Tendencia 2009

google friend connect

Un identificador único para recorrer la web, utilizar y personalizar servicios y compartirlos con mis contactos. Hace poco menos de diez años, el mundo se llevaba las manos a la cabeza (Joel Spolsky) porque esa era la propuesta de Passport – hoy rebautizado como Windows Live Id – de Microsoft: era dejar en manos de un único proveedor la identificación online de los usuarios, otorgándole el gran poder que suponía almacenar todos estos datos. Passport fracasó y a día de hoy Windows Live Id se utiliza sólo en los servicios online de Microsoft, pero echando un vistazo al estado actual de la web, casi habría que pensar que fueron unos adelantados a su tiempo: su fracaso se debió a anticiparse a la era en que se aceptaría bastante más a los grandes concentradores centralizados de datos y a que se confiabamucho menos en Microsoft de lo que se hace ahora en Facebook o Google.

La lucha por ser el «single sign-on» de la web tiene a varios actores destacados, con diversidad de estrategias. Por un lado tenemos a OpenId, un sistema de identificación distribuido que ofrece varios aspectos muy interesantes: estándar abierto que cualquier puede adoptar y multitud de proveedores, por lo que no hay una empresa que centralice. ¿Su mayor desventaja? Es complicado conseguir una buena experiencia de usuario (de entrada el identificador es una URL), que cualquiera pueda ser un proveedor causa desconfianza en algunos usuarios y, hasta ahora, son muchos los que se postulan como proveedor (puedes utilizar su cuenta como un OpenId para identificarte en otros servicios) que como consumidor (aceptan identificadores OpenId sea cual sea su procedencia).

Y luego tenemos a la nueva propuesta centralizada que tiene visos de ser una de las tecnologías más importantes de 2009 en la web, Facebook Connect. Parte con la gran ventaja de salir con 150 millones de usuarios registrados y un esquema, a priori, bastante interesante para las webs de terceros que lo adopten: acceder al newsfeed en Facebook y que el usuario no sólo no necesita registrarse sino que trae su perfil relleno y sus contactos. Por tanto, no sólo provee de sistema de identificación, ayuda a hacer más social la página que lo adopte. ¿Problemas? En realidad, casi las mismas pegas que podíamos ponerle a Passport, se trata de un proveedor de identidad centralizado, con tecnología propietaria, un gran captador de datos a los que poner en valor.

multilogin facebook google openid

Como a casi cada movimiento de Facebook, tenemos reacción de Google. En esta ocasión con Google Friend Connect, una propuesta menos centralizada y en la que Google ejerce el papel de hub entre la web cliente y varios proveedores de identidad (entre los que está cualquier OpenId). A día de hoy se antoja como más fácil de instalar, pero también menos potente que Facebook Connect. Existen otras propuestas como la de MySpace, pero creo que tienen poco que hacer ante las que hemos comentado.

La competencia por proveedor de sistema de identificación a servicios de terceros no es trivial, de hecho puede ser un impacto en la línea de flotación de Google. Lo razonable es que en 2009 veamos a Facebook ofreciendo un sistema de publicidad personalizada a los que hayan adoptado su sistema, en competencia directa con AdSense. Y no sólo eso, cuanto más útil sea para el usuario la cuenta en tu servicio, mayor apego y más datos que recolectas.

¿Qué perspectivas tenemos ante este 2009? Los que hemos apostado por OpenId tenemos que seguir haciendo un ejercicio de revisión y de mejora de la experiencia de usuario. Por planteamiento, sigo siendo un defensor de esta tecnología, pero no dejo de observar como Facebook Connect se antoja como un actor ineludible como proveedor de identidad online. Como casi nunca es buena idea descartar a Google, entiendo que vamos a un escenario con login multisistema, en servicios de terceros te podrás identificar con tu cuenta de Facebook, con tu Flickr (es un OpenId), con Gmail o casi con cualquier otra, traer tus contactos y tu perfil de los mismos y establecer un flujo en ambas direcciones.

Por cierto, también es uno de los temas del año para unblogenred.

Snowl, Aurora, OAuth, OpenId y el futuro del navegador web

Aurora

El futuro del navegador web es el tema «estrella» de la semana merced a Aurora y Snowl, dos proyectos de la fundación Mozilla. El primero lo encontramos en la factoría de ideas de Mozilla Labs, abierta a propuestas externas para reflexionar alrededor de la nueva generación de navegadores. Desde Adaptative Path presentan Aurora, apenas un boceto, siquiera una «prueba de concepto» de lo que podría ser el navegador del futuro.

Aurora muestra un cambio radical en la experiencia de usuario del navegador web, que podría definir en tres variables: aplicaciones ricas en internet (las RIA), una experiencia social y utilización de la localización del usuario. Sin duda un planteamiento impecable, por mucho que se aleje de una propuesta asumible hoy en día, ¿qué tecnologías vamos a utilizar para las RIA? ¿quien albergará mis contactos? ¿bajo qué estándares se comunicara este futuro navegador con las distintas aplicaciones? ¿y ellas entre sí? ¿cómo y dónde se gestionará la privacidad de mi localización? Son todos temas que hemos ido comentando a lo largo de los últimos dos años y que reflejan en cierto modo hacia donde se encamina nuestra experiencia de la web.

¿Cuál sería el planteamiento ideal? Personalmente apostaría por un runtime para aplicaciones ricas en internet que sea abierto, estándares OpenId u Oauth integrados en el navegador para identificarnos en la web y acceder a los datos que tengamos en nuestras aplicaciones, sitios sociales interoperables con portabilidad de datos real y un navegador que ofrezca una buena experiencia sin perder su rol neutral y basado en estándares abiertos, como debe ser la web.

Por otro lado, esta semana ha visto la luz Snowl, una extensión que apuesta por convertir Firefox en el centro de las comunicaciones en la red con un rol que va más allá del de navegador web. La extensión que podemos instalar es apenas un prototipo, pero muestra el concepto que persigue implementar:unificar la recepción de todo tipo de mensajes, desde correos electrónicos o canales RSS hasta mensajes en twitter o respuestas en foros. Ofrece dos vistas de uso, una más parecida a un gestor de correo y otra similar a un lector RSS en versión «river of news».

De momento Snowl es algo a lo que echar un vistazo y poco más. A serios problemas de implementación hay que unir que conceptualmente es bastante discutible, los sitios tipo Twitter admiten una experiencia interactiva muy diferente que la lectura RSS y construir un interfaz capaz de distinguir la importancia de cada mensaje y se adapte al tratamiento que se puede dar a cada uno… complicado.

En todo caso, uniendo Aurora y Snowl tenemos un escenario interesante por parte de la fundación Mozilla. Una apuesta por la innovación abierta para el futuro del navegador web (justo hoy alianzo publica algunos casos de éxito de esta filosofía), algo muy necesario tras los años oscuros en los que Explorer reinó en solitario y que va a traer esta segunda guerra de los navegadores.

Os dejo con el primer vídeo de Aurora, el resto se puede ver en adaptivepath.

Oauth, identificación abierta

OauthPara valorar en su justa medida OpenSocial, creo que hace falta echar un vistazo a Oauth, un estándar abierto cuyo último borrador fue lanzada hace apenas un mes. Oauth define un mecanismo para que una aplicación web (cliente) pueda acceder a la información de un usuario en otra (proveedor) sin tener que informar a la primera del usuario y contraseña.

Imaginemos que queremos programar una aplicación tipo «página de inicio para el usuario», en la que este pueda añadir sus fotos de Flickr. Para ello utilizaremos el API de Flickr, le pediremos el nombre de usuario y contraseña al usuario y armaremos dicha página. En este tipo de situaciones es en el que Oauth tiene sentido, comunicaciones entre aplicaciones web en la que hay acceso a datos de usuario. La idea es que la aplicación cliente (en este ejemplo nuestra página de inicio) no tenga acceso al nombre de usuario y contraseña del usuario. Dicho de otro modo, Oauth es una metodología para identificación mediante APIs genérica y de implementación gratuita. Si estas cansado de servicios que te piden el usuario de Gmail o Hotmail para proveerte de tal o cual funcionalidad, ya puedes ir viendo por donde puede estar la utilidad de un protocolo como Oauth.

Por supuesto ya hay un montón de estándares cerrados que hacen esto, por ejemplo Google AuthSub o las APIs de Flickr y Facebook, pero la idea tras Oauth es unificar en un estándar abierto de forma que este tipo de comunicaciones entre aplicaciones web (bueno, el cliente puede ser web o de escritorio) no se articulen mediante protocolos propietarios.

Inmediatamente uno piensa en OpenId, pero Oauth no sustituye este estándar para identificación de usuarios, sino que lo complementa. De hecho, los usuarios nunca «ven» nada relacionado con Oauth, situado en el nivel de comunicación entre aplicaciones. De hecho, gran parte de la gracia de Oauth es que el usuario controle a qué datos acceden terceras aplicaciones. Siguiendo con el ejemplo de Flickr, se podría establecer qué tipo de fotos sí y cuáles no desde el servicio proveedor y los clientes no podría obtener nada más.

Como dato curioso, detrás de Oauth están Pownce, Twitter, SixApart, Jaiku, Flickr, Ma.gnolia y Google entre otros, aunque este último parece que no lo soporta en OpenSocial de entrada. Entiendo que el motivo es que no hay una versión final del estándar todavía.

Más información en su sitio oficial, que tiene blog. En español hay referencias en eConectados y La cofa.