Https und Passworte

      Https und Passworte

      Da die Sicherheit im Internet nicht erst dieser Tage ein Thema ist, stellt sich mir die Frage, warum die Onleihe ihre Seiten nicht auf HTTPS umstellt. Inzwischen ist das bei vielen Seiten schon geschehen.
      Auch die lächerlichen Standardpassworte vieler Büchereien z.B. nur Geburtsdatum oder ähnliche simple Konstruktionen sollten der Vergangenheit angehören.
      Warum kann ich in der Onleihe nicht mein Passwort (am Besten regelmäßig) ändern.

      Hschwickart schrieb:

      Warum kann ich in der Onleihe nicht mein Passwort (am Besten regelmäßig) ändern.


      Weil die Onleihe keine Zugangs- oder Nutzerdaten speichert, sondern bei der Anmeldung beim Bibliothekskatalog der Heimatbücherei die Authentifizierung abfragt.

      Hschwickart schrieb:

      Deswegen passiert ja auch nichts.


      Ich wüsste nicht, was man daran der divibib zum Vorwurf machen kann.
      Soweit ich es aus anderen Beiträgen hier im Forum verstanden habe, liegen die Benutzerkonten jeweils im OPAC der Bibliothek und können (je nach Endbenutzerangebot des jeweiligen OPAC) auch dort geändert werden. Die Onleihe holt sich per Schnittstelle offenbar nur die Autorisierung des Benutzers ab, ist insofern nicht verantwortlich für das Passwort-Thema (allerdings für das HTTPS-Thema der Onleihe, siehe link oben).
      Bei meiner Heimatbibliothek VOEBB kann ich beispielsweise ohne Probleme mein Passwort ändern, allerdings nicht auf der Anmeldeseite für die Onleihe sondern auf der Webseite der Bibliothek (darauf muss man erstmal kommen ....).
      Für Melsungen (Verbund Hessen) war die Passwortänderung etwas besser versteckt, aber auch dort habe ich es herausfinden können.

      Wenn es nicht möglich ist, einen direkten Link zur Passwortänderung anzubieten (das ist aufgrund der benutzten Software offenbar nicht möglich) könnte ein erläuternder Text auf der Onleihe-Anmeldeseite zumindest denen weiterhelfen, die ernsthaft ihr Passwort ändern wollen.

      Neu

      heller schrieb:

      Bei meiner Heimatbibliothek VOEBB kann ich beispielsweise ohne Probleme mein Passwort ändern, allerdings nicht auf der Anmeldeseite für die Onleihe sondern auf der Webseite der Bibliothek (darauf muss man erstmal kommen ....).

      (Hervorhebung von mir)
      Hmm, das ergibt sich doch eigentlich aus dem vorher Geschriebenen, oder?

      Neu

      Hschwickart schrieb:

      Deswegen passiert ja auch nichts.


      Und Du meinst, es passiert was, wenn Du uns das mitteilst?
      Ich versichere Dir: da passiert auf jeden Fall nichts.

      An Deiner Stelle würde ich bei der Heimatbibliothek nachfragen, ob geplant ist, dass die Leser ihr Passwort fürs Leserkonto ändern bzw. selbst wählen können.
      Natürlich ist das abhängig von der Bibliothekssoftware. Die muss diese Funktion unterstützen.
      In meiner Heimatbibliothek wird Ende März endlich ein neuer Web-OPAC eingeführt, in dem die Leser viel mehr Möglichkeiten haben. Auch die Passwortänderung gehört dazu.
      Je mehr Leser diesen Wunsch äußern, desto mehr Gedanken machen sich die Entscheidungsträger.
      Am besten mobilisierst Du also andere Leser Deiner Heimatbibliothek. Mach Deinen Wunsch dort öffentlich. Nur dort wird was passieren. Hier nicht.
      Und die Divibib ist schon gar nicht dafür verantwortlich. Die ist nicht Träger Deiner Heimatbibliothek, sondern Dienstleister.

      Einen schönen Sonntag!
      Benutzer-Avatarbild

      Beitrag von „heller“ ()

      Dieser Beitrag wurde vom Autor gelöscht ().

      Neu

      Alv schrieb:


      Hmm, das ergibt sich doch eigentlich aus dem vorher Geschriebenen, oder?

      Im Nachhinein schon; ich hab' ja nur versucht, deutlich zu machen, dass genau diese Zusammenhänge bisher nirgends richtig erklärt wurden. Wie so oft: wenn man es erstmal weiß , erscheint es trivial ....

      Neu

      Guten Morgen zusammen,

      einige Browser - wie z.B. von Mozilla und Google - forcieren auf diese Weise die Nutzung von HTTPS.
      Auch bei uns gibt es Überlegungen, auf HTTPS umzusteigen, dies ist jedoch nicht kurzfristig umsetzbar.

      Grundsätzlich kann man diese Meldung für die Onleihe ignorieren.

      Die Übertragung der Anmeldedaten erfolgt verschlüsselt per HTTPS, lediglich die Anmeldemaske als solche ist HTTP.
      Für die Browser ist dies nicht ersichtlich, daher ist es einfacher schlicht alles als HTTPS zu fordern.

      Über die Systeme der Onleihe ist aber eine Verknüpfung von z.B. Ausleihen mit personenbezogenen Daten nicht möglich, da von der divibib keine personenbezogenen Daten gespeichert werden. 
      Nach erfolgreicher Authentifizierung des Bibliotheksnutzers erfolgt die weitere Verwaltung des Bibliotheksnutzers im Onleihe-System von divibib durch eine pseudonyme, mittels Hash-Wert generierte User-ID, die der divibib - oder Dritten - keine Rückschlüsse auf die Identität des Nutzers ermöglicht.  

      Dazu auch unsere "allgemeine Datenschutzerklärung":
      cms.onleihe.de/opencms/export/…Datenschutzerklaerung.pdf

      Somit gibt es im Datenverkehr zwischen der divibib und den Bibliotheken keine sensiblen, personenbezogenen Daten.


      Noch als letzte Anmerkung:
      Die Passwörter-Thematik kann nur im Dreieck "Software-Anbieter*-Bibliothek-divibib" gelöst werden, wobei die divibib nicht der treibende Partner sein kann.
      Die divibib passt sich hier weitgehend an die Vorgaben der Bibliotheken an. Sofern diese hier nicht aktiv von den Software-Anbietern* Änderungen fordern, wird es auch keine Änderungen von dort geben.
      Es kommt hinzu, dass nicht jede Bibliothek oder jeder Sowftare-Anbieter die exakt gleichen Umsetzungen anbietet - es ist ein normaler IT-Markt - daher kann es z.B. innerhalb eines Verbundes weiterhin schwierig sein "eine Lösung" für alle umzusetzen.
      Das Thema ist daher weitaus komplexer als lediglich "HTTPS für alle" und "Passwort im Onleihe-Konto ändern".

      Freundliche Grüße
      divibib-Support

      * Software-Anbieter
      Hier sind i.d.R. die technischen Partner der Datenbanken und OPACs der Bibliotheken vor Ort gemeint.



      Freundliche Grüße
      divibib-Support

      Neu

      Manchmal reicht es auch einfach, wenn man bei der Bibliothek, über die man angemeldet ist, nachfragt. Die stellen das Angebot der Onleihe zur Verfügung und können in der Regel auch Fragen dazu beantworten.
      Denn nicht jede Fragestellung kann auf der Seite der Onleihe so einfach abgebildet werden, da die Situation in den Bibliotheken vor Ort sehr unterschiedlich ist. Wie du schon gemerkt hast, ist es bei manchen möglich das Passwort zu ändern, bei anderen nicht. Und eben ist es auch nicht überall an der gleichen Stelle zu finden, weil viele Bibliotheken unterschiedliche Systeme haben. Und wenn da pauschal stehen würde "Für Passwortänderungen wenden Sie sich an Ihre Heimatbibliothek" und eine Bibliothek kann das nicht anbieten, dann sind auch wieder die User unzufrieden, dass sie nicht bekommen, was angezeigt wurde...

      Neu

      divibib-support schrieb:

      Somit gibt es im Datenverkehr zwischen der divibib und den Bibliotheken keine sensiblen, personenbezogenen Daten.


      Zwischen der divibib und den Bibliotheken vielleicht nicht aber zwischen mir und der divibib eigentlich schon. Geht eigentlich niemanden etwas an, welche Titel ich mir auf meiner Onleihe anschaue...
      Ich verstehe, dass das keine hohe Priorität hat für die Divibib aber die Zukunft ist verschlüsselt, da führt kein Weg daran vorbei und besser jetzt sich schon darauf vorbereiten.

      Neu

      winbib.virtuell schrieb:

      verstehe, dass das keine hohe Priorität hat für die Divibib aber die Zukunft ist verschlüsselt, da führt kein Weg daran vorbei und besser jetzt sich jetzt schon darauf vorbereiten.

      divibib-support schrieb:

      Auch bei uns gibt es Überlegungen, auf HTTPS umzusteigen, dies ist jedoch nicht kurzfristig umsetzbar.


      Ich würde daraus nicht schließen, dass es keine hohe Prioität hat. Ich verstehe das so, dass es recht komplex ist und nicht ohne weiteres mal "schnell kurz" erledigt werden kann. Bei ca 180 Onleihen, mit zig Webseiten, Weiterleitungen und Zertifikaten, etc. sind Anpassungen halt doch recht aufwändig.

      Neu

      Bibliothekarin schrieb:

      Ich verstehe das so, dass es recht komplex ist und nicht ohne weiteres mal "schnell kurz" erledigt werden kann. Bei ca 180 Onleihen, mit zig Webseiten, Weiterleitungen und Zertifikaten, etc. sind Anpassungen halt doch recht aufwändig.

      Sehe ich mit meinem aktuellen Wissen nicht so. Einschränkung auf "aktuell", denn ich kenne die Infrastruktur nicht wirklich.

      Klar, das geht nicht "mal eben", weil es das grundsätzlich nicht gibt. Aber die Anzahl der Onleihen dürfte da keine Rolle spielen, weil sie sowieso dieselbe "Website" haben - lediglich die Farbgebung etc. ist anders. Die Technik für diese Seiten liegt auf den Servern der DiViBib, die damit auch nur ihr eigenes System anpassen müssen. Das Durchreichen der Login-Daten ändert sich dadurch nicht.
      Ich bin nur verantwortlich für das, was ich schreibe (alles CC-BY-NC-SA no military use), nicht für das, was du daraus liest.

      Also sprach Ingo: Hol dir jetzt das externe Onleihe-Gehirn - mit dem Merkzettel-Helferchen