Meteor-Bibliothek 0.5.0 führt sichere Passwort-Authentifizierung ein

Die in Javascript geschriebene Bibliothek Meteor führt in der neuesten Version 0.5.0 die bereits länger erwartete Authentifizierung von Clients ein. Bislang durften Clients nämlich ohne weiteres Änderungen an der Datenbank vornehmen, was die Bibliothek für den produktiven Einsatz unbrauchbar machte. Trotzdem gab es um das Meteor-Framework schon bei seinem Erscheinen einen großen Hype, der mit Finanzierungsrunden von insgesamt 12 Millionen US-Dollar einher ging. Verschiedene Industriegrößen bescheinigen dem Framework eine segenbringende Wirkung für alle künftige Webentwicklung, so etwa Dustin Moskovitz, der Mit-Gründer von Facebook, oder Garry Tan, der Gründer von Posterous.

Konkret bietet Meteor auf Client- und Serverseite dieselben Javascript-APIs, die etwa Live-Updates von Seiten, die direkte Änderung von serverseitigen Daten durch den Webclient und sogar Updates des im Browser laufenden Codes ermöglichen.  Mit Version 0.5.0 können Programmierer nun auch wirklich Webanwendungen schreiben, die sich für mehrere Anwender eignen, die Meteor als eigene Accounts verwaltet. Zur Authentifizierung verwendet Meteor das Secure Remote Password Protocol, das sich speziell für den Austausch von Authentifizierungsinformationen über ungesicherte Kanäle eignet. Ein "Man in the Middle" kann selbst mit einem abgehörten Passwort alleine noch nichts anfangen. Bei der Entwicklung des Protokolls an der Uni Stanford wurde insbesondere darauf geachtet, dass keinen patentierten Verfahren zum Einsatz kamen.

Auf der Meteor-Seite zum neuen Release findet sich unter anderem auch ein Screencast, der die neuen Authentifizierungsverfahren beschreibt.