Fragen und Diskussion zu: Die Onleihe und HTTPS

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • Hallo,


    ich möchte mich kurz auf die veröffentlichte Info zum Thema https beziehen.


    Grundsätzlich finde auch ich es gut, wenn rechtzeitig zu Themen und Warnungen bzgl. Sicherheit Stellung genommen wird,
    und gerade in Fällen wie bei Firefox und der neuen extrem auffälligen Warnmeldung aufgeklärt wird. Diese Meldung wird

    übrigens auch bei https-verschlüsselten Seiten angezeigt - abhängig vom verwendeten Zertifikat und der verwendeten

    ausstellenden Authority.


    In solchen Fällen finde ich eine Stellungnahme, wie hier erfolgt, auch sinnvoll. Nicht so bei Onleihe!


    > Es hat sich allerdings seit Erscheinen dieser Meldung von unserer Seite nichts geändert, d.h. es ist insbesondere nicht unsicherer geworden.

    Das ist schlecht. Denn wenn sich nichts geändert hat, ist es auch nicht sicherer geworden.

    Und von einem 'schlechten' Zustand als akzeptable Default-Lösung auszugehen, die allgemein toleriert ist, ist sicher keine ideale Lösung.

    Gerade deshalb weist Firefox ja auch so vehement auf den Zustand hin.


    Die Frage also: warum ändert sich nichts?


    > Grundsätzlich können Sie diese Meldung für die Onleihe ignorieren.

    Warum? Der Hinweis ist berechtigt.


    > Die Übertragung der Anmeldedaten an unsere Systeme ... erfolgt weiterhin verschlüsselt per HTTPS

    Dann würde sich Firefox nicht beschweren.


    > Es ist für den Browser jedoch nicht feststellbar, dass lediglich die Anmeldemaske als solche HTTP ist.

    'lediglich die Anmeldemaske'?

    Also 'lediglich' der einzige Teil, bei dem laut Ihrer Information das Kennwort im Klartext übertragen wird.

    Wenn es später gehashed per HTTPS übertragen wird, ist das unerheblich. Das schwächste Glied ist die Anmeldung
    mit den Credentials im Klartext. Genau hier *muss* verschlüsselt gearbeitet werden.

    Kette und schwächstes Glied ... ;)


    > Es gab bereits vor dieser Meldung Überlegungen, die Onleihe komplett auf HTTPS umzusetzen und aufgrund der

    > Unsicherheit, die durch diese Meldung entstanden ist, bewerten wir das Thema selbstverständlich neu.

    Das ist gut! Zumal eine Umstellung selbst bei Dutzenden betroffener Systeme nicht wirklich ein Problem ist.

    Die Kosten sind nicht untragbar und liegen bei deutlich unter 100 EUR je Jahr.


    > Eine Umstellung ist jedoch keinesfalls kurzfristig oder für einzelne Onleihen umsetzbar.

    Warum nicht? Aus Erfahrung weiß ich, dass ein Zertifikat innerhalb eines Tages (teilweise in Stunden oder Minuten)

    beschaffbar ist. Die Installation liegt im Bereich von Minuten - bei kleinere Problemchen im Bereich von Stunden.

    Im 'Worst Case' müssen die kommunizierenden Systeme https enabled werden - aber da sie das laut Ihrer Auskunft

    sowieso bereits sind: wo genau liegt das Problem?


    Kann man unterstützen? Gerne auch ehrenamtlich.


    Um das Ganze einzuschätzen: hier geht es nicht um wahnsinnig sensible Daten - keine Bankgeheimnisse oder private Daten.


    ABER: wenn die Credentials in falsche Hände gelangen, kann das den Nutzern ggfs. eine Klage wg. Verletzung des Urheberrechts einbringen.

    Und das muss einfach nicht sein.


    Bitte überdenkt die Situation zügig - eine Site im Jahr 2017 sollte https gesichert sein ...


    Viele Grüße

    Antifrust.

  • Administrator: Da hat sich tatsächlich ein Fehler eingeschlichen.


    Der vollständige Absatz lautet:

    Zitat

    Die Übertragung der Anmeldedaten an unsere Systeme, sowie die Datenübertragung zwischen divibib und den Bibliotheken erfolgt weiterhin verschlüsselt per HTTPS, sofern uns eine solche Schnittstelle vorliegt. Es ist für den Browser jedoch nicht feststellbar, dass lediglich die Anmeldemaske als solche HTTP ist.


    Da fehlt ein S: "als solche HTTPS ist."


    Was man bei nicht-böswilligem oder nicht-flüchtigen Lesen aber auch bemerken könnte.

  • Hallo Annanymous,


    Punkt 1: ich hab das weder 'flüchtig' noch 'böswillig' gelesen.

    Und der Satz als "Es ist für den Browser jedoch nicht feststellbar, dass lediglich die Anmeldemaske als solche HTTP ist." ergibt im Kontext einen Sinn.

    Die Formulierung "Es ist für den Browser jedoch nicht feststellbar, dass lediglich die Anmeldemaske als solche HTTP*S* ist." ergibt keinen Sinn, da dann die Relativierung mit "weiterhin verschlüsselt mit HTTPS" unnötig wäre.

    So viel jedenfalls zu meiner Sicht und meinem Verständnis des Textes. Das mögen andere anders sehen.

    Und wenn das ein Tippfehler wäre: er ist so entscheidend, dass man ihn längst hätte korrigieren können ;)


    Punkt 2: wenn ich "https://www.onleihe-rlp.de/rlp/frontend/login" eingebe, erhalte ich keine Verbindung. Ohne das 'S' schon.

    Damit ist doch eigentlich direkt bestätigt, dass die Anmeldemaske reines http nutzt, und hier nichts verschlüsselt ist.


    Punkt 3: ich mag hier keinen Flame War über korrekte Formulierungen und Ansichten zur Sicherheit starten.

    Das Thema Sicherheit ist aktuell, https zu fordern ist ein absolut legitimes und vernünftiges Anliegen der Nutzer und das als zu 'kompliziert oder aufwändig'

    hinzustellen (so scheint es) einfach nicht zeitgemäß. Ich mag dann gar nicht erwägen, was sonst noch dahinter steckt ... gehashte Passwörter in der DB gibt

    es sicher auch nicht - wozu auch, wenn jeder weiß, wie das Passwort (zumindest in meiner Bib ;-)) gewählt wurde und es nicht mal änderbar ist ...

    (BTW: so gesehen, ist es völlig egal, dass hier keine Verschlüsselung verwendet wird, da die Daten eh 'erratbar' sind ... hmmm - fällt mir gerade mal auf).


    Gruß

    Antifrust

    • Offizieller Beitrag

    Punkt 2: wenn ich "https://www.onleihe-rlp.de/rlp/frontend/login" eingebe, erhalte ich keine Verbindung. Ohne das 'S' schon.

    Damit ist doch eigentlich direkt bestätigt, dass die Anmeldemaske reines http nutzt, und hier nichts verschlüsselt ist.

    Ich bin kein ITler, aber wenn ich das richtig verstanden habe, ist die Anmeldeseite, die du ja über den Link aufrufst, und damit auch die Maske HTTP. Die eingegebenen Daten werden allerdings beim Klick auf "Login" über HTTPS übertragen.

  • Punkt 1: ich hab das weder 'flüchtig' noch 'böswillig' gelesen.

    Schön.

    Und der Satz als "Es ist für den Browser jedoch nicht feststellbar, dass lediglich die Anmeldemaske als solche HTTP ist." ergibt im Kontext einen Sinn.

    Die Formulierung "Es ist für den Browser jedoch nicht feststellbar, dass lediglich die Anmeldemaske als solche HTTP*S* ist." ergibt keinen Sinn, da dann die Relativierung mit "weiterhin verschlüsselt mit HTTPS" unnötig wäre.

    Genau umgekehrt wird ein Schuh draus. Die Daten, die in die Anmeldemaske eingegeben werden, werden über https versandt. Die darum herum gebaute Seite ist allerdings http. Ist aber kein Problem an der Stelle, weil nur nicht-öffentliche Daten verschlüsselt werden müssen. Die Tatsache, daß jemand eingeloggen will, läßt sich so oder so nicht verschleiern.

    Punkt 2: wenn ich "https://www.onleihe-rlp.de/rlp/frontend/login" eingebe, erhalte ich keine Verbindung. Ohne das 'S' schon.

    Damit ist doch eigentlich direkt bestätigt, dass die Anmeldemaske reines http nutzt, und hier nichts verschlüsselt ist.

    Dir ist hoffentlich klar, daß da mehrere Schritte passieren und daß man Protokolle auch innerhalb einer Page fröhlich mischen kann.

    gehashte Passwörter in der DB gibt


    es sicher auch nicht - wozu auch, wenn jeder weiß, wie das Passwort (zumindest in meiner Bib ;-)) gewählt wurde und es nicht mal änderbar ist ...

    (BTW: so gesehen, ist es völlig egal, dass hier keine Verschlüsselung verwendet wird, da die Daten eh 'erratbar' sind ... hmmm - fällt mir gerade mal auf).

    Bitte nicht spekulieren. Guck mal in den Thread, den Ingo verlinkt hat, da steht es en detail. Mehrfach, denn es gab ein paar Leute, die eine Zeichnung brauchten.

  • Hi all, Hi Annanymous,


    mein letzter Kommentar zu diesem Thema - ich habe leider den Eindruck, dass zwar ausreichend Zeit für Posten, Diskutieren und ggfs. Profilieren vorhanden ist, aber das Beitragen zu einer Lösung, und sei sie noch so unaufwändig, nicht im Vordergrund steht. Bedauerlich - vor allem, wenn man sogar Hilfe anbietet.


    > Dir ist hoffentlich klar, daß da mehrere Schritte passieren und daß man Protokolle auch innerhalb einer Page fröhlich mischen kann.

    Meine Güte. Klar. Mixed Content. In jedweder Form. Früher (vor 2 Jahrzehnten?) gerne mal praktiziert, um auf gesicherten Seiten
    unverschlüsselt Bilder einzubetten um so Bandbreite zu sparen, weil sie dann im Cache landeten. Gruselig und seit Jahren absolut obsolet.


    Ändert nichts daran, dass es zu 'bad practises' gehört und man es einfach nicht tun sollte - und Firefox weist nun eben mal beharrlich auf den wunden Punkt. Autsch!


    Egal - in der hier für Diskusionen genutzten Zeit und Energie hätte man längst etwas Produktives tun können - aber außer 'blabla alles kein Problem'
    und 'stellt Euch nicht so an, alles sicher' hat noch immer niemand gesagt, warum es denn einfach 'so schwer' ist und nicht 'so schnell geht'.


    Ein Zertifikat für die Login-Seite? Ein instant redirect zu upa.onleihe.de und erst dort das Login? Ein 'wildcard'-Zertifikat für *.onleihe.de?


    Bin eh' von Annanymous' Account ein wenig verunsichert - einerseits das 'ultracoole' Anonymous Wortspiel, was vielleicht 'Modernität' zeigen
    soll - andererseits Posting Footer a la 'Ich bin nur verantwortlich für das, ...' wie aus den 90ern ... insgesamt recht strange Kombi - es bleibt interessant :)


    Na - denke mir meinen Teil und wünsche frohes Lesen ... der nächste Winter und verregnete Herbsttage stehen vor der Tür - lieber ein gutes Buch
    vor'm Kamin als hier weiter geärgert ;)


    In diesem Sinne

    Antifrust

    • Offizieller Beitrag

    ich habe leider den Eindruck, dass zwar ausreichend Zeit für Posten, Diskutieren und ggfs. Profilieren vorhanden ist, aber das Beitragen zu einer Lösung, und sei sie noch so unaufwändig, nicht im Vordergrund steht.

    Wir sind alle nur User, so wie du auch. Mit der Weiterentwicklung der Onleihen im Hintergrund haben wir nichts zu tun, deshalb haben wir genügend Zeit zu Posten und zu Diskutieren. Und ich würde mal vermuten, dass auch "divibib-support" nicht derjenige ist, der bei der Divibib für die konkrete Umsetzung von z.B. HTTPS zuständig ist.

  • Und es hilft auch nicht weiter im Rahmen dieser Diskussion unsachliche, persönliche Seitenhiebe zu verteilen, weil Leute anderer Meinung sind.

  • Umstellung auf HTTPS kommt vorraussichtlich dieses Jahr. DRM von Adobe ist derzeit das einzige DRM, dass die Verlage verwenden (wollen). Auch hier gibt's Pläne zu einer Abkeh, aber das ist langwieriger und sehr komplex. Mit Flash hat die Onleihe mal gar nix am Hut.

    "The right man in the wrong place can make all the difference in the world." - G-Man, 2004

  • Hallo,

    das Thema sollte aufgrund der DSGVO noch weiter beachtet werden.

    Beim Ausleihen von Büchern oder Hinzufügen vorgemerkter Bücher werden Personenbezogene Daten unverschlüsselt übertragen.

    Hier handelt es sich doch um schützenswerte Personenbezogene Daten, die unter Art.4 Nr.1 DSGVO fallen.

    Beim Vormerken wird meine Email-Adresse per HTTP-POST unverschlüsselt an den Server gesendet.

    Code
    mvId    123456789
    pConfirmedRecipient    mail@maildomain.de
    pRecipient    mail@maildomain.de

    Dass personenbezogene Daten, wie aktuelle Ausleihen, vorgemerkte Bücher ebenfalls unverschlüsselt übertragen werden kommt noch dazu.
    Meiner Meinung nach müssen die Daten nach Art.32 DSGVO verschlüsselt übertragen werden. Eine verschlüsselte Übertragung des Logins reicht meiner Meinung nach nicht aus.

  • Gibt es denn schon ein genaues Datum? Wir haben schließlich schon August.