24.04.2017, 13:20 | Endgültiges Abschalten der früheren Onleihe-App zum 30.04.2017
Mehr Informationen dazu findet ihr => HIER

Fragen und Diskussion zu: Die Onleihe und HTTPS

      divibib-support schrieb:


      "Diese Verbindung ist nicht sicher. Ihre Zugangsdaten könnten auf dieser Seite in falsche Hände geraten." 

      [...]

      Grundsätzlich können Sie diese Meldung für die Onleihe ignorieren.

      [...]

      Es ist für den Browser jedoch nicht feststellbar, dass lediglich die Anmeldemaske als solche HTTP ist. 

      1. Der Hinweis, dass die Zugangsdaten auf dieser Seite in die falschen Hände geraten könnten, ist sehr berechtigt, da sich die Anmeldemaske nicht gegenüber dem Browser ausweist. Es ist typisch für böswillige Seiten, die die Zugangsdaten von Nutzern abgreifen, dass sie kein gültiges Zertifikat vorweisen können. Hier kann der Nutzer nicht einmal feststellen, wann er auf der beabsichtigten Anmeldemaske landet.

      2. Die Aufforderung, die Meldung zu ignorieren, macht das Verhalten des Diensteanbieters nicht weniger rechtswidrig. Er "hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass ... der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann" (§ 13 Abs. 4 Nr. 3 TMG) Das ist nicht gewährleistet, wenn sich Dritte als "Anmeldemaske" ausgeben können.

      3. Es wird auch noch suggeriert, dass lediglich die Anmeldemaske unsicher wäre. Es ist hier vielmehr so, dass lediglich zur Überprüfung der Anmeldedaten eine Absicherung gegen Kenntnisnahme Dritter erfolgt. Mein anschließendes Stöbern, die Anzeige meiner Ausleihen usw. wird bereits nicht mehr abgesichert.
      1. Der Hinweis, dass die Zugangsdaten auf dieser Seite in die falschen Hände geraten könnten, ist sehr berechtigt, da sich die Anmeldemaske nicht gegenüber dem Browser ausweist. Es ist typisch für böswillige Seiten, die die Zugangsdaten von Nutzern abgreifen, dass sie kein gültiges Zertifikat vorweisen können. Hier kann der Nutzer nicht einmal feststellen, wann er auf der beabsichtigten Anmeldemaske landet.

      2. Die Aufforderung, die Meldung zu ignorieren, macht das Verhalten des Diensteanbieters nicht weniger rechtswidrig. Er "hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass ... der Nutzer Telemedien gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann" (§ 13 Abs. 4 Nr. 3 TMG) Das ist nicht gewährleistet, wenn sich Dritte als "Anmeldemaske" ausgeben können.

      3. Es wird auch noch suggeriert, dass lediglich die Anmeldemaske unsicher wäre. Es ist hier vielmehr so, dass lediglich zur Überprüfung der Anmeldedaten eine Absicherung gegen Kenntnisnahme Dritter erfolgt. Mein anschließendes Stöbern, die Anzeige meiner Ausleihen usw. wird bereits nicht mehr abgesichert.

      Es wurde doch bereits zig mal erwähnt, dass die divibib die Umstellung auf https vornehmen wird.
      Dies passiert aber nunmal nicht von heute auf morgen.

      Ich bin zwar kein IT-ler aber ich gehe mal davon aus, dass der Aufwand doch wesentlich höher ist, als bei jeder Onliehe ein "s" hinter das "p" im Link zu schreiben :P

      Ein bisschen Geduld schadet also nicht und wem die Onleihe zu unsicher ist, soll es bitte einfach lassen.

      Misses schrieb:

      und wem die Onleihe zu unsicher ist, soll es bitte einfach lassen.

      Eine Onleihe-Sitzung kann auch dann ganz leicht übernommen werden, wenn ein Nutzer von der Unsicherheit nichts weiß. Der Nutzer sollte das berücksichtigen können, wenn er sich entscheidet, es "einfach zu lassen" oder eben doch zu tun.

      Die Pflicht des Diensteanbieters, die oben zitiert wurde, ist älter als die Onleihe, die es schon 10 Jahre gibt. Sie besteht seit 21. Dezember 2001 (eingeführt als § 4 Abs. 4 Nr. 3 TDDSG). Das lässt einiges an staatlicher Geduld erkennen, oder? :)

      Ich muss aber gestehen, dass die "zig mal" erwähnte Umstellung auf HTTPS nicht immer so engagiert in Aussicht gestellt wird (16. Februar 2017):

      divibib-support schrieb:

      ... aktuell sehen wir es als ausreichend an ...

      Notizblock schrieb:

      Eine Onleihe-Sitzung kann auch dann ganz leicht übernommen werden, wenn ein Nutzer von der Unsicherheit nichts weiß

      Zeig das mal im Video. Ungeschnitten UND ohne im gleichen WLAN/LAN zu sitzen oder den Rechner zu kompromittieren.
      Ich bin nur verantwortlich für das, was ich schreibe (alles CC-BY-NC-SA no military use), nicht für das, was du daraus liest.

      Also sprach Ingo: Hol dir jetzt das externe Onleihe-Gehirn - mit dem Merkzettel-Helferchen

      Neu

      Dass Pakete im Internet mitgeschnitten werden können, setze ich mal als bekannt voraus, das wird in einschlägigen Foren anschaulich dargestellt. Was es bei der Onleihe besonders leicht macht, die Sitzung zu übernehmen ist, dass (1) die Sitzungs-IDs unverschlüsselt übertragen werden und (2) der Server sich nicht weiter darüber wundert, wenn Sitzungs-IDs von einem anderen Port als dem ursprünglichen "wiederverwendet" werden. Der Gesetzgeber will aber gerade, dass der Diensteanbieter entsprechende Vorkehrungen trifft, die z. B. deinen Merkzettel vor Kenntnisnahme Dritter schützen.

      Neu

      Die ganze diskutiererei zu dem Thema führt doch zu nichts.

      Fakt ist:
      - Die Onleihe hat aktuell kein https
      - Laut info der divibib, wird zumindest der Loginvorgang verschlüsselt
      - Die Umstellung auf https wird vorgenommen

      Die Diskutiererei ob und wie schädlich der https Mangel ist führt doch zu nichts. Du musst schließlich niemanden mehr überzeugen, dass die Umstellung gemacht werden muss, denn das wurde bereits entschieden.
      Die Diskutiererei macht die Umstellung auch nicht schneller, denn das ganze braucht nun mal seine Zeit.

      Das einzige was aktuell hilft ist Geduld! :rolleyes:

      Neu

      Notizblock schrieb:

      Was es bei der Onleihe besonders leicht macht, die Sitzung zu übernehmen ist, dass (1) die Sitzungs-IDs unverschlüsselt übertragen werden und (2) der Server sich nicht weiter darüber wundert, wenn Sitzungs-IDs von einem anderen Port als dem ursprünglichen "wiederverwendet" werden.

      Geschenkt. Das Mitschneiden ist ohne irgendwelche "Übernahmen" möglich. Daß ich diese Daten bereits als geheimhaltungswürdig einschätze, habe ich oben schon gesagt. Hat aber nichts mit dem Thema zu tun, daß die Login-Daten nicht geschützt seien und daher Schindlunder getrieben werden könne. Unterschiedliche Dinge zu vermischen verbreitet FUD und ist kontraproduktiv.

      Notizblock schrieb:

      Der Gesetzgeber will aber

      Eine Interpretation der Absichten des Gesetzgebers ist Aufgabe von Gerichten. Da halte ich mich fein raus. Leg mal einschlägige Urteile vor.
      Ich bin nur verantwortlich für das, was ich schreibe (alles CC-BY-NC-SA no military use), nicht für das, was du daraus liest.

      Also sprach Ingo: Hol dir jetzt das externe Onleihe-Gehirn - mit dem Merkzettel-Helferchen

      Neu

      Ich sehe nicht, dass es an Geduld fehlen würde. Was fehlt ist Transparenz. Die Empfehlung, die Browser-Meldung zu ignorieren, ignoriert die Schutzwürdigkeit der Beratenen.

      Ist es erlaubt zu fragen, wo konkret der Anbieter verkündet hat, dass auf HTTPS umgestellt wird? (Ich habe nur gelesen, es gab Überlegungen, man bewerte neu ...)

      Neu

      Annanymous schrieb:

      Hat aber nichts mit dem Thema zu tun, daß die Login-Daten nicht geschützt seien und daher Schindlunder getrieben werden könne.

      Stimmt. Die Meldung des Browsers sagt, dass die Login-Daten in falsche Hände geraten können. Wenn eine Login-Seite über kein Zertifikat verfügt, und ich meine Login-Daten dort eingebe, können sich Dritte meine Zugangsdaten beschaffen. Deshalb sollte ich keine Login-Daten eingeben, wo der Anbieter sich nicht authentifiziert, wenn ich meine Login-Daten für schützenswert halte.

      Ich habe nichts vermischt, nur gleichzeitig die irreführende Verwendung des Wortes "lediglich" kritisiert, was sich bei verständiger Würdigung des Titels dieses Threads durchaus hier einordnen lässt, da der Mangel an Verschlüsselung auch diese weitere Unsicherheit bedingt.

      Neu

      Notizblock schrieb:

      Wenn eine Login-Seite über kein Zertifikat verfügt, und ich meine Login-Daten dort eingebe, können sich Dritte meine Zugangsdaten beschaffen.

      Noch einmal: Soweit es die Zugangsdaten betrifft, sind diese verschlüsselt.

      Eine Analogie für diejenigen, die sich mit den Feinheiten nicht beschäftigen (wollen): Uli User gibt Ortrun Onleihe ein Buch, das jeder Mensch lesen kann und kennt. In dem Buch ist ein verschlossenes Kistchen mit den Login-Daten, für das nur Ortrun den Schlüssel hat. Ortrun schließt das Kistchen auf, und wedelt mit dem Zauberstab. Jetzt sind es keine Login-Daten mehr, sondern Mäuse, die sich nur genetisch unterscheiden. Diese Maus schickt Ortrun weiter an Bernd Bibliothek. Bernd hat den gleichen Zauberstab und wedelt damit über alle seine Benutzerdaten (darunter die von Uli). Wenn Ortrun jetzt eine Maus schickt, schaut Bernd nach, ob er eine genetisch gleiche Maus hat. Falls ja, schickt er Ortrun eine weiße Taube, falls nein, eine schwarze.

      Das ist der Login-Vorgang.

      Alle anderen Vorgänge sind nicht geschützt (was ich durchaus bemängele). Insbesondere Sachen wie der Merkzettel und die Dinge, die man im Nutzerkonto der Onleihe sehen kann (ausgeliehene und vorgemerkte Medien) sind für jeden lesbar, der unterwegs die Augen aufhält. Was, wie wir wissen, jede Pappnase auf dieser Welt tut, von Britta BND über Fritz FSB bis zu Nadja NSA.
      Ich bin nur verantwortlich für das, was ich schreibe (alles CC-BY-NC-SA no military use), nicht für das, was du daraus liest.

      Also sprach Ingo: Hol dir jetzt das externe Onleihe-Gehirn - mit dem Merkzettel-Helferchen

      Neu

      Annanymous schrieb:


      Eine Analogie für diejenigen, die sich mit den Feinheiten nicht beschäftigen (wollen): Uli User gibt Ortrun Onleihe ein Buch, das jeder Mensch lesen kann und kennt. In dem Buch ist ein verschlossenes Kistchen mit den Login-Daten, für das nur Ortrun den Schlüssel hat. Ortrun schließt das Kistchen auf, und wedelt mit dem Zauberstab. Jetzt sind es keine Login-Daten mehr, sondern Mäuse, die sich nur genetisch unterscheiden. Diese Maus schickt Ortrun weiter an Bernd Bibliothek. Bernd hat den gleichen Zauberstab und wedelt damit über alle seine Benutzerdaten (darunter die von Uli). Wenn Ortrun jetzt eine Maus schickt, schaut Bernd nach, ob er eine genetisch gleiche Maus hat. Falls ja, schickt er Ortrun eine weiße Taube, falls nein, eine schwarze.

      Das ist der Login-Vorgang.

      Alle anderen Vorgänge sind nicht geschützt (was ich durchaus bemängele). Insbesondere Sachen wie der Merkzettel und die Dinge, die man im Nutzerkonto der Onleihe sehen kann (ausgeliehene und vorgemerkte Medien) sind für jeden lesbar, der unterwegs die Augen aufhält. Was, wie wir wissen, jede Pappnase auf dieser Welt tut, von Britta BND über Fritz FSB bis zu Nadja NSA.


      Ich glaube, das ist der erste Beitrag in diesem Thread, den sogar ich verstanden habe. Danke für die bildliche Erklärung.
      Zum Schweigen fehlen mir die passenden Worte.

      Neu

      Luppola schrieb:

      Ich glaube, das ist der erste Beitrag in diesem Thread, den sogar ich verstanden habe.

      So schlimm? Dann sollten wir uns alle bemühen, mehr Analogien zu schreiben :) Das Thema ist auch für Nicht-Fachleute durchaus wichtig und sollte so erklärt werden, daß ihr euch eine eigene Meinung bilden könnt.
      Ich bin nur verantwortlich für das, was ich schreibe (alles CC-BY-NC-SA no military use), nicht für das, was du daraus liest.

      Also sprach Ingo: Hol dir jetzt das externe Onleihe-Gehirn - mit dem Merkzettel-Helferchen

      Neu

      Annanymous schrieb:


      Noch einmal: Soweit es die Zugangsdaten betrifft, sind diese verschlüsselt.

      Die geschilderte Analogie ist nicht geeignet, um das, was die Browser-Meldung sagt, zu verdeutlichen. Wir können uns insbesondere nicht sicher sein, ob die Zugangsdaten verschlüsselt werden, was aber zunächst keine Rolle spielt, weil es auch darauf ankommt, wer entschlüsseln könnte. Um das zu verstehen, müssen wir den Schritt betrachten, bevor Uli an Ortrun etwas übergeben will.

      Dazu muss man wissen, dass sich Uli des Boten Bodo bedienen muss, den Ortrun zur Abholung des Buches mit den Logindaten schickt. Bodo kommt wie ein Penner ohne Betriebsausweis daher und ist dafür verantwortlich, das kleine schwarze Kistchen zu verschließen, das Ortrun öffnen kann. Im Internet laufen aber so einige Bodos rum, die sich nicht ausweisen, und keiner weiß wie sie wirklich heißen, für wen sie arbeiten oder was sie wollen. Uli kann diese nicht unterscheiden und kann nicht wissen, (1) ob sie ein schwarzes Kistchen verwenden, (2) wer es öffnen kann und (3) wem sie das Buch überbringen. Ulis Türsteher Toralfox sagt nun, wenn du diesem Bodo etwas gibst, kann das in die Hände von sonstwem gelangen. Du weißt nicht wo es landen wird.

      Ortrun sagt nun, kümmer dich nicht darum, was Toralfox sagt, wer hat dem überhaupt das Sprechen beigebracht? Wir verstehen, dass dich das Gequatsche in diffuse Sorge versetzt. Aber unser Bodo verwendet ein schwarzes Kistchen. Auch wenn er keinen Ausweis hat, wir kennen ihn. Er ist ein netter Junge, der sich stets bemüht. Aber wir bewerten die Situation nochmal.

      Uli kann nicht viel tun. Zwar verpflichtet Ortrun eine gesetzliche Regelung, auf Uli achtzugeben. Ohne Analogie versteht Uli ohnehin nicht, was sie bedeutet.

      Annanymous schrieb:

      Das Mitschneiden ist ohne irgendwelche "Übernahmen" möglich.


      Nach "Übernahme" sind Informationen zugänglich, die Uli nie anschaut. Mit bloßem Mitschnitt lassen sich diese nicht ernten.

      Neu

      Notizblock schrieb:

      Wir können uns insbesondere nicht sicher sein, ob die Zugangsdaten verschlüsselt werden

      Doch können wir, wenn wir davon ausgehen, dass die Divibib uns nicht belügt:

      divibib-support schrieb:

      Die Übertragung der Anmeldedaten an unsere Systeme, [...] erfolgt weiterhin verschlüsselt per HTTPS

      Also ist Bote Bodo HTTPS bzw. kommt direkt von Onleihe Ortrun, wenn ich die Analogie richtig interpretiere. Uli mag das nicht erkennen (wobei hier irgendwo auch schon was zur verschlüsselten Übertragung ab Absenden der Maske geschrieben wurde, woran man es wohl doch erkennen kann), aber wenn er Ortrun vertraut, dann weiß er, dass sie eben keinen "Penner ohne Betriebsausweis" dafür schickt.
      Und wenn er (=du) der Onleihe nicht vertraut, sollte er dort vielleicht auch nicht ausleihen. Das ist hier auch schon zur Genüge durchgekaut worden und ich würde vorschlagen, wir belassen es jetzt dabei.

      Fazit: Wem die Onleihe zu unsicher ist, der nutzt sie nicht. Wem sie sicher genug ist, der nutzt sie weiter. Freie Entscheidung.

      Neu

      Ingo schrieb:

      Bote Bodo HTTPS bzw. kommt direkt von Onleihe Ortrun

      Korrekt. Er hat einen Betriebsausweis, trägt die richtige Uniform und Leute, denen Uli vertraut (die Certificate Authorities), bürgen dafür, daß der Betriebsausweis nicht gefälscht ist.

      Bodo kann das Buch auch ruhig lesen, denn alles, was ihn nichts angeht, steckt in dem Kästchen. Das Kästchen schließt Uli ab, bevor Bodo es in die Finger bekommt.
      Ich bin nur verantwortlich für das, was ich schreibe (alles CC-BY-NC-SA no military use), nicht für das, was du daraus liest.

      Also sprach Ingo: Hol dir jetzt das externe Onleihe-Gehirn - mit dem Merkzettel-Helferchen

      Neu

      Ingo schrieb:

      Notizblock schrieb:

      Wir können uns insbesondere nicht sicher sein, ob die Zugangsdaten verschlüsselt werden

      Doch können wir, wenn wir davon ausgehen, dass die Divibib uns nicht belügt:

      divibib-support schrieb:

      Die Übertragung der Anmeldedaten an unsere Systeme, [...] erfolgt weiterhin verschlüsselt per HTTPS


      Fazit: Wem die Onleihe zu unsicher ist, der nutzt sie nicht. Wem sie sicher genug ist, der nutzt sie weiter. Freie Entscheidung.


      Diese freie Entscheidung möchte hier gerne jemand kaputt quatschen. So empfinde ich das jedenfalls. Sicherheit ist ja was Gutes. Aber Leute die ständig hinter jeder Häuserwand Kriminelle wahrnehmen scheinen mir extrem anstrengend.
      was tut ihr denn in einer realen Bibliothek, wenn ihr dort was ausleiht. Darf der hinter euch in der Schlange sehen, dass ihr nur Thriller lest? Darf er hören, dass ihr die Eiskönigin DVD vormerkt?

      Neu

      charliebrown schrieb:

      was tut ihr denn in einer realen Bibliothek, wenn ihr dort was ausleiht. Darf der hinter euch in der Schlange sehen, dass ihr nur Thriller lest? Darf er hören, dass ihr die Eiskönigin DVD vormerkt?

      Das kann man absolut nicht miteinander vergleichen.

      Die Menschen hinter mir in der Schlange sehe ich. Ich weiß, ob sie zB gerade mein ärgster Feind sind oder mein Chef (der nicht sehen sollte, daß ich mir ein Buch über Bewerbungen ausleihe, zB). Es steht auch nicht immer die selbe Person hinter mir - und wenn, hätte ich Grund zur Sorge. Es ist auch ein Unterschied, ob eine einzelne Person meine Ausleihen eines einzigen Vorgangs beobachtet, oder ob sich zB die Bibliothekarin, der Chef der Bank, die Chefin des Supermarkts und der örtliche Priester zusammensetzen, um über mich zu tratschen. Selbst dieser letzte Fall ist recht harmlos mit dem, was man durch Beobachten und Sammeln im Internet zusammenbekommt.
      Ich bin nur verantwortlich für das, was ich schreibe (alles CC-BY-NC-SA no military use), nicht für das, was du daraus liest.

      Also sprach Ingo: Hol dir jetzt das externe Onleihe-Gehirn - mit dem Merkzettel-Helferchen

      Neu

      Ingo schrieb:

      Notizblock schrieb:

      Wir können uns insbesondere nicht sicher sein, ob die Zugangsdaten verschlüsselt werden


      Doch können wir, wenn wir davon ausgehen, dass die Divibib uns nicht belügt:

      divibib-support schrieb:

      Die Übertragung der Anmeldedaten an unsere Systeme, [...] erfolgt weiterhin verschlüsselt per HTTPS




      1. Bodo ist die Analogie zur Seite mit der Eingabemaske. Bodo verfügt über keinen Betriebsausweis, so wie die Anmeldeseite ohne Zertifikat kommt. Soweit Bodo Uniform trägt, ist diese an jeder Ecke für jeden kostenlos erhältlich. Ein Beispiel für eine Anmeldeseite findet sich hier

      www4.onleihe.de/thuebibnet/fro…0-0-0-0.html?libraryId=84

      Sie ist nicht über https ansprechbar. Bodo weist sich also nicht aus. Deshalb wird Uli von Thoralfox vor Bodo gewarnt.

      2. Ich meine nicht, dass Divibib uns belügt. Divibib trifft eine Aussage bezüglich der Übertragung von Anmeldedaten an das eigene System. Es ist keine Aussage über fremde Bodos, die die Zugangsdaten durchaus unverschlüsselt senden können. Uli kann echte und fremde Bodos nicht unterscheiden.

      3. Das schwarze Kistchen ist aus meiner Sicht die verschlüsselte Verbindung zum Anmeldeserver. An dem schwarzen Kistchen klebt sicherlich auch die Beglaubigung einer Zertifizierungsstelle, Ortruns Briefkasten ist in diesem Sinne upa.onleihe.de, zu dem eine HTTPS-Verbindung aufgebaut wird. An dem Kistchen ist soweit alles in Ordnung, daran hat selbst Thoralfox nichts auszusetzen. Der Bodo, den Ortrun schickt, wird das Kistchen verwenden und mit der Hilfe von Thoralfox verschließen. Uli weiß aber nicht, ob der auf den Weg geschickte Bodo unterwegs abgefangen wurde und nun geknebelt in einer dunklen Ecke am Wegesrand liegt. Uli weiß nicht, woher Bodo kommt. Für einen fremden Bodo ist es möglich, Ortrun mit dem Zauberstab wedeln zu lassen, so dass Uli (und Ortrud) von allem Drama gar nichts mitbekommt.

      Ingo schrieb:



      Und wenn er (=du) der Onleihe nicht vertraut, sollte er dort vielleicht auch nicht ausleihen.


      Uli ist auf die Daseinsvorsorge durch öffentliche Bibliotheken angewiesen, kann sich also nicht gegen die Nutzung entscheiden.