<HTML>
<HEAD>
<TITLE>Re: [OpenID] Live Icons for visual recognition of IDP logos</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>It&#8217;s definitely a situation to avoid unless you want to end up like those crazy &#8220;share&#8221; buttons (think ShareThis, AddtoAny, etc). They&#8217;ve found themselves trying to please too many different people by constantly adding social networks and bookmarking sites to their buttons that they&#8217;ve had to resort to things like scrolling windows, and (I think this is actually rather smart) remembering what providers individual users use most often.<BR>
<BR>
I think it&#8217;s hard to imagine an OpenID logo based log-in box that wasn&#8217;t composed of either OPs who have business arrangements with the RP (gasp!) or, and perhaps more realistically, the OPs with the largest mutual user bases with the RP.<BR>
<BR>
-Jonathan<BR>
<BR>
<BR>
On 4/1/09 9:15 PM, &quot;Andrew Arnott&quot; &lt;<a href="andrewarnott@gmail.com">andrewarnott@gmail.com</a>&gt; wrote:<BR>
<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Honestly, Peter, the belly-up OP is what scares me the most about OpenID.  And I really like OpenID.  As large and well-written as myopenid.com &lt;<a href="http://myopenid.com">http://myopenid.com</a>&gt; &nbsp;seems to be, I'd never recommend my less-tech-savvy family use it over yahoo.com &lt;<a href="http://yahoo.com">http://yahoo.com</a>&gt; &nbsp;or google.com &lt;<a href="http://google.com">http://google.com</a>&gt; &nbsp;as an OP because I'm not convinced myopenid.com &lt;<a href="http://myopenid.com">http://myopenid.com</a>&gt; &nbsp;will be around for 25 years.  That's why I use my &quot;vanity&quot; url.  It's not for vanity at all... it's for my own identity protection.  But the vanity url has to be at my own domain name so that no belly-up company can take down my identity. That obviously isn't a solution that will work for my friends and family.<BR>
<BR>
One other problem with listing lots of popular OPs at an RP, and that is that a user will learn to rely on his OP being shown, and even if the OP doesn't go belly-up, if it disappears from an RP's list of logos, many users will not know how to login any more and assume they're locked out.  Bad scenario.<BR>
<BR>
Personally, I'm uncomfortable with the idea that I'm logging in with OpenID in order to <I>avoid</I> a username/password and account recovery process at an RP, and yet that RP offers an email recovery for that account.  That feels insecure to me.  I want to separate my all-unlocking email address from all my other web accounts. If someone compromises my email address, I'd really rather they not gain access to all my web accounts at the same time.  So I don't want RPs to offer an account recovery option if I use OpenID to log in.  Let account recovery be an OP issue.<BR>
<BR>
Now if the OP goes belly-up, or locks the user out of their account for any random reason, what recourse does the user have?  Well, in the real world we have government that can help us prove our identity to various parties if we lose our driver's license or something.  Perhaps we need a trusted entity like that for the Internet. (I can already hear many of you screaming).<BR>
<BR>
An alternative to relying on an OP or running your own vanity URL is hosting your own identity on your own box.  Too complicated for the average joe?  Not so much if you use InfoCard.  InfoCard elegantly puts complete identity control in the user's hands, and without any risk of ever having it revoked by someone else.  There are a couple of problems with InfoCard as it stands today though that I see: infocards are not <I>easily </I>transportable to other computers (yet), and if they are lost without a backup, they're gone forever and so is your access to Internet sites.  <BR>
<BR>
Since I don't have the perfect solution for either side, DotNetOpenAuth's openid login popup will probably feature a couple of major OPs, an OpenID logo, and an InfoCard logo, allowing the user to pick what they're most comfortable with.<BR>
<BR>
--<BR>
Andrew Arnott<BR>
&quot;I [may] not agree with what you have to say, but I'll defend to the death your right to say it.&quot; - Voltaire<BR>
<BR>
<BR>
On Wed, Apr 1, 2009 at 5:50 PM, Peter Williams &lt;<a href="pwilliams@rapattoni.com">pwilliams@rapattoni.com</a>&gt; wrote:<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><FONT COLOR="#1F497D">Think about the message its sending.<BR>
</FONT><BR>
<FONT COLOR="#1F497D"> <BR>
</FONT><BR>
<FONT COLOR="#1F497D">Who would want to put their family photos on a site they may not be able to access tomorrow (when some OP goes belly-up)?<BR>
</FONT><BR>
<FONT COLOR="#1F497D"> <BR>
</FONT><BR>
<FONT COLOR="#1F497D">Surely an RP needs to assure its users that there exists the means to replace the OP? The dotcom bust taught us that lots of service  companies do infact go belly-up, in the usual boom/bust cycle.<BR>
</FONT><BR>
<FONT COLOR="#1F497D"> <BR>
</FONT><BR>
<FONT COLOR="#1F497D">Would be strange if the UCI mission of openid facilitates data and identity portability, but then the failure engineering of the overall service still means you can STILL easily lose access.<BR>
</FONT><BR>
<FONT COLOR="#1F497D"> <BR>
</FONT><BR>
<FONT COLOR="#1F497D">Presumably, the RP might retain  the users email address(es) from the sreg handoff, so it can send access-recovery URLs  granting the users access WITHOUT using any of registered OP(s) for the account.<BR>
</FONT><BR>
<FONT COLOR="#1F497D"> <BR>
</FONT><BR>
</SPAN><FONT SIZE="2"><SPAN STYLE='font-size:10pt'><B>From:</B> <a href="general-bounces@openid.net">general-bounces@openid.net</a> [<a href="mailto:general-bounces@openid.net">mailto:general-bounces@openid.net</a>] <B>On Behalf Of </B>Andrew Arnott<BR>
<B>Sent:</B> Wednesday, April 01, 2009 5:39 PM<BR>
<B>To:</B> Allen Tom<BR>
<B>Cc:</B> general<BR>
<B>Subject:</B> Re: [OpenID] Live Icons for visual recognition of IDP logos<BR>
</SPAN></FONT><SPAN STYLE='font-size:11pt'><BR>
 <BR>
<BR>
<FONT COLOR="#1F497D"> <BR>
</FONT><BR>
<FONT COLOR="#1F497D"><B><I>[Peter Williams] <BR>
</I></B></FONT><BR>
whether they trust them to just not go belly-up and thereby locking out their users from their accounts at that RP, some trust should be implied by an RP listing OP logos.  <BR>
<BR>
 <BR>
<BR>
 <BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
<BR>
<HR ALIGN=CENTER SIZE="3" WIDTH="95%"></SPAN></FONT><SPAN STYLE='font-size:11pt'><FONT FACE="Arial">_______________________________________________<BR>
general mailing list<BR>
<a href="general@openid.net">general@openid.net</a><BR>
<a href="http://openid.net/mailman/listinfo/general">http://openid.net/mailman/listinfo/general</a><BR>
</FONT></SPAN></BLOCKQUOTE>
</BODY>
</HTML>