Onleihe HTTPS

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

    • Offizieller Beitrag

    Hallo Ibiza123,


    Die Anmeldeseite selbst ist nicht verschlüsselt. Korrekt.
    Dies hat jedoch nichts damit zu tun, wir danach weiter mit den Daten verfahren wird, dazu habe ich bereits ausführlich geschrieben.


    Wir gehen die Umstellung zu HTTPS an, wo wir diese angehen können. Das war bereits ohnehin geplant und muss nun lediglich neu priorisiert werden, da - wie verschiedentlich erwähnt - wir die Unsicherheit sehr wohl wahrnehmen. Bei mehr Sicherheit sind jedoch auch die Bibliotheken noch an einigen Stellen gefragt, eine Übergangs- oder Zwischenlösung bezüglich HTTPS wird es nicht geben.


    Freundliche Grüße
    divibib-Support

  • Wir gehen die Umstellung zu HTTPS an, wo wir diese angehen können.


    Wenn ihr das Frontend, also nur den Teil, der bei euch liegt, mit https ausstattet, tritt die Warnung nicht mehr auf, weil ihr ja das Login durchreicht. Wäre das evtl eine betriebliche Lösung?


    An der Sicherheit des Logins ändert das gar nichts, aber das ist ja auch nicht nötig.

  • Hi dividib-support


    Der Aufbau der Anmeldemaske erfolgt ja unverschlüsselt (http) 8o


    Sollte sich bereits beim Aufruf der Anmeldeseite ein Angreifer "zwischenschalten" , kann jeder nachfolgende Schritt, wie die verschlüsselte Übertragung der Daten an die dividib Server, beeinflusst bzw. mitgelesen werden. Ihr System erfüllt damit u.U. nicht die Vorgaben des IT-Grundschutz des BSI.


    Deswegen weisen die Browser zurecht darauf hin, dass die Eingabe von streng vertraulichen Daten (nach ISO 2700x sind das Benutzer und PWD) riskant ist, da nicht sichergestellt werden kann, dass bereits der Aufbau der Anmeldeseite nicht manipuliert wurde.


    Sie können verschlüsslen wie sie wollen. So lange der erste Seitenaufruf unverschlüsselt bleibt, sind alle nachfolgenden Maßnahmen nur lindernd, nicht verhindernd.


    Ihr Hinweis, die Warnung des Browsers zu ignorieren, ist in Anbetracht der stetig zunehmenden IT Manipulationen sehr kontraproduktiv für die Sensibilisierung der Benutzer.


    Bitte stellen Sie das System komplett auf https um. Schon alleine um sich als Unternehmen zu schützen.


    gruß

    portboy

  • Die divibib ist längst dabei. Das umstellen aller Server auf https geht nur leider nicht von heute auf Morgen, das dauert ein bisschen länger. Soweit mir die Informationen vorliegen, sollte die Umstellung Anfang kommenden Jahres bzw. im Frühjahr abgeschlossen sein.

    Korrigiert mich divibib, wenn ich mich irre.

    "The right man in the wrong place can make all the difference in the world." - G-Man, 2004