Onleihe HTTPS

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • Anders gesagt: ein Angreifer kann die Seite, auf der ich meine Logindaten eingebe manipulieren.


    Dazu muss er in deinem Browser sitzen oder als MiM andocken. Für letzteres ist die NSA zuständig und die läßt sich 1. nicht von https abschrecken und braucht 2. deine Login-Daten nicht. Und falls der Vektor Dein Browser ist, hast Du noch ganz andere Probleme.


    geht ihr eigentlich inkognito in eine Buchhandlung?


    Meistens :)


    Tatsächlich sind Bücher sensible Daten. Aus der Leseliste läßt sich sehr viel ableiten.

  • Nein Annanymous, Bücher sind keine sensible Daten!
    Wenn dem so wäre, gäbe es weder Buchhandlungen noch Bibliotheken.


    Höchstens die Informationen darüber, dass jemand ein bestimmtes Buch ausgeliehen hat, könnten sensible Daten sein.
    Und diese Information sagt ja noch lange nichts darüber aus, ob diese Person das Buch auch gelesen hat.

  • Na ja, man kann das als "mit dem dunklen Trenchcoat und Hut in die Buchhandlung gehen" abtun.


    Für mich fällt das allerdings in die Kategorie "die Wohnungstür mit Schloss und Riegel sichern, aber die Terrassentüre offen lassen"

  • Nein Annanymous, Bücher sind keine sensible Daten!
    Wenn dem so wäre, gäbe es weder Buchhandlungen noch Bibliotheken.


    Das operative Wort war: Leseliste.


    Höchstens die Informationen darüber, dass jemand ein bestimmtes Buch ausgeliehen hat, könnten sensible Daten sein.
    Und diese Information sagt ja noch lange nichts darüber aus, ob diese Person das Buch auch gelesen hat.


    Daß es gelesen wurde, wird ein Angreifer postulieren, denn warum sonst sollte jemand ein Buch ausleihen?


    Für mich fällt das allerdings in die Kategorie "die Wohnungstür mit Schloss und Riegel sichern, aber die Terrassentüre offen lassen"


    So einfach ist das mit MiM-Attacken nicht. Die Terrassentür ist nicht offen, sondern hat lediglich ein Schloß statt eines Fallgitters.


    Es ist wesentlich leichter, den Rechner des Opfers entweder zu kompromittieren oder gleich einen Durchsuchungsbeschluß zu bekommen.

  • Es gibt auch Leute, die sich Bücher kaufen und in ihr Bücherregal stellen, nur um damit anzugeben.


    Ich habe davon gehört. Aber Bibliotheksbücher sind zum Angeben wenig geeignet.

  • Ein MitM-Angriff kann zum Beispiel über unsichere Router zuhause oder unsichere Switches beim Internetprovider stattfinden.


    Das ganze könnte etwa so ablaufen (Entschuldigung wenn die Geschichte etwas krude klingt, ich bin weder ein guter Ganove noch ein guter Geschichtenerzähler):

    • Ganove A sucht nach Sicherheitsproblemen in Routern und anderer Internet-Infrastruktur.
    • Diese verkauft er über das Internet an Ganoven B, der damit in grossem Stil Benutzernamen und Passwörter für verschiedenste Dienste abgreift.
    • Die Benutzernamen und Passwörter werden weiterverkauft an Ganoven C, der entdeckt hat wie er diese zu Geld machen kann.
    • z.B.: Ganove C leiht im Namen von Benutzer XY bei einer Bibliothek wertvolle Bücher aus, lässt sich diese zusenden und verkauft sie weiter
    • Benutzer XY wird irgendwann von seiner Bibliothek aufgefordert, die ausgeliehenen Bücher doch bitte endlich zurückzubringen oder zu ersetzen und fällt aus allen Wolken

    Mit etwas mehr Kreativität lassen sich sicher weitere Wege finden, wie Ganove C aus Benutzernamen und Passwort Geld machen kann.

  • Ganove A sucht nach Sicherheitsproblemen in Routern und anderer Internet-Infrastruktur.


    Das ist aber mit Sicherheit (SCNR) nicht das Problem der DiViBib, sondern des Nutzers. HTTPS würde dagegen auch überhaupt nichts bringen. Nochmal: Wenn der Feind im eigenen Haus sitzt, bringen auch Minenfelder und Selbstschußanlagen im Garten nichts.


    z.B.: Ganove C leiht im Namen von Benutzer XY bei einer Bibliothek wertvolle Bücher aus, lässt sich diese zusenden und verkauft sie weiter


    Und da hapert es. Die Login-Daten können eben nicht verwandt werden, aBooks auszuleihen. Dazu benötigt man zwingend den Ausweis.


    Ich bin durchaus dafür, HTTPS auf ganzer Linie einzusetzen. Vor allem aber, um die Leselisten zu schützen. Sich auf das Login zu kaprizieren genügt nicht und ist ohnehin nicht nötig -> s.o. Es schützt vor allem nicht die wirklich sensiblen Daten.

  • HTTPS würde dagegen auch überhaupt nichts bringen.


    Oh doch. Genau aus diesem Grund muss das Anmeldeformular bereits per HTTPS an den Browser geliefert werden. Denn nur dann ist garantiert, dass ich das korrekte Anmeldeformular erhalte (und aus diesem Grund liefern die Banken die Anmeldeformulare per HTTPS aus.)


    Und da hapert es. Die Login-Daten können eben nicht verwandt werden, aBooks auszuleihen. Dazu benötigt man zwingend den Ausweis.


    Meine Bibliothek bietet mir freundlicherweise an, über das Internet Medien auszuleihen und diese per Post an mich zu senden. Da die divibib-Logindaten dieselben sind wie bei meiner Bibliothek (und ich das nicht ändern kann), können diese (zumindest in meinem Fall) sehr wohl missbraucht werden.

  • Oh doch


    Oh nein. Der Angreifer in Deinem Rooter fängt die Verbindung ab und wandelt sie in HTTP. Schlimm daran: Du fühlst Dich auch noch sicher. Und aus diesem Grund gibt es zusätzlich PIN/TAN oder ähnliches beim Online-Banking.


    Meine Bibliothek bietet mir freundlicherweise an, über das Internet Medien auszuleihen und diese per Post an mich zu senden.


    Und die Adresse mußt Du jedes Mal neu angeben? Oder wird die aus dem System genommen?

  • z.B.: Ganove C leiht im Namen von Benutzer XY bei einer Bibliothek wertvolle Bücher aus, lässt sich diese zusenden und verkauft sie weiter

    Meine Bibliothek bietet mir freundlicherweise an, über das Internet Medien auszuleihen und diese per Post an mich zu senden. Da die divibib-Logindaten dieselben sind wie bei meiner Bibliothek (und ich das nicht ändern kann), können diese (zumindest in meinem Fall) sehr wohl missbraucht werden.


    Das dürfte aber doch tatsächlich eher die Ausnahme sein. Mir war bis zu deiner Aussage keine Bibliothek bekannt, die das in dieser Form anbietet. Ich kenne wissenschaftliche Bibliotheken, bei denen man mit der Login-Kennung Fernleihen bestellen kann. Abholen muss man die aber dann vor Ort und bekommt diese nicht nach Hause geschickt.
    Daher schließe ich mich Annanymous an, dass das Szenario eher unwahrscheinlich ist.

    • Offizieller Beitrag

    Guten Morgen zusammen,


    grundsätzlich ist die Diskussion Sicherheit vs Bequemlichkeit hier nicht zu beantworten. Klar ist, dass HTTPS Sinn macht und von uns auch angedacht ist, eine Umsetzung aber aus den unterschiedlichsten Gründen nicht "auf die Schnelle" möglich ist.


    Die Anmeldung hat sich allerdings durch diese Meldung weder geändert noch ist sie unsicherer geworden!
    Es ist aber definitiv so, dass es erst durch die jüngsten Browser-Meldungen derart "präsent" geworden ist.


    Eine Diskussion in diesem Ausmaß habe ich dazu seit ich hier arbeite noch nicht gelesen.


    Freundliche Grüße
    divibib-Support

  • Klar ist, dass HTTPS Sinn macht und von uns auch angedacht ist, eine Umsetzung aber aus den unterschiedlichsten Gründen nicht "auf die Schnelle" möglich ist.


    Das ist klar und ich zumindest gehe davon aus, daß ihr das umsetzt, sobald es geht.


    Eine Diskussion in diesem Ausmaß habe ich dazu seit ich hier arbeite noch nicht gelesen.


    Och, Diskussionen über mögliche Szenarien sind immer spannend :) Leite bitte daraus keinen Vorwurf ab, jedenfalls nicht von meiner Seite.


    Der Allgemeinheit, denke ich, sind solche Diskussionen aber durchaus dienlich. Wenn man ihnen folgt, kann man die Wahrscheinlichkeiten und Risiken für die eigene Person selbst abschätzen. Sollte jemand nach dem Lesen dieses Threads beschließen, einen genauen Blick auf den eigenen Router zu werfen, wäre es ein Gewinn.

    • Offizieller Beitrag

    Danke, Annanymous.
    Das sehe ich persönlich auch so und habe es als Support auch nicht so aufgefasst.


    Vor allem ist ein Schwachpunkt sicher auch das Passwort. Egal, wie "HTTPS" wir übertragen, schwer zu knacken ist es nicht. Noch dazu, wenn das Format in vielen Fällen direkt bei der Anmeldemaske steht.
    Egal, wie sicher das Schloss ist, wenn außen ein Zettel klebt, wie man sich quasi einen Schlüssel zurechtfeilen kann, führt es das beste Schloss ad absurdum.
    Die Frage für uns ist, ob wir als divibib hier zumindest Einfluss nehmen und auch diesen Umstand zumindest ansprechen, das ist aber sicher eine andere Ebene.
    Es muss jedoch sicher auch zu einem Umdenken beim Generieren der Passwörter seitens der Nutzer und bei den Bibliotheken führen.


    Freundliche Grüße
    divibib-Support

  • Es muss jedoch sicher auch zu einem Umdenken beim Generieren der Passwörter seitens der Nutzer und bei den Bibliotheken führen.


    Höret, höret :)


    Kann man nicht einstellen, daß nach n Falscheingaben eine Kontaktaufnahme mit der Bibliothek nötig ist? Den Zähler kann man ja nach korrekter Eingabe (ein paar Tage später) wieder zurücksetzen. Das wäre Flickwerk, zugegeben, aber besser als nix.

    • Offizieller Beitrag

    Ich halte das technisch für möglich, aber die Authentifizierung ist sicher Aufgabe der Bibliotheken.


    Wir könnten ggf. ein Blockieren nach z.B. 10 Falscheingaben einführen - Überlegungen dazu gibt es - dann wären Bots sicher vielfach geblockt, aber 10 falsche Login-Versuche müssen auch "irgendwie" von der Software der Bibliothek verfolgt werden. Warum muss die Onleihe eine Sicherung enthalten, wenn das Authentifizierungsverfahren der Bibliothek - wo die zu sichernde Datenbank de facto steht - dies nicht hat?


    Wie schon früher erwähnt, sollte Derartiges initial von der Bibliothek kommen und von deren Software-Häusern umgesetzt werden. Erst dann kann es von uns aufgenommen und angepasst werden.
    Ob wir es "anstoßen" können, ist eine andere Frage.


    Freundliche Grüße
    divibib-Support

  • Der Allgemeinheit, denke ich, sind solche Diskussionen aber durchaus dienlich. Wenn man ihnen folgt, kann man die Wahrscheinlichkeiten und Risiken für die eigene Person selbst abschätzen. Sollte jemand nach dem Lesen dieses Threads beschließen, einen genauen Blick auf den eigenen Router zu werfen, wäre es ein Gewinn.


    Ich finde Diskussionen über Sicherheit im Internet ebenfalls grundsätzlich gut. Wobei für mich immer noch am wichtigsten ist, mein eigenes Verhalten als End-User zu hinterfragen. Das bedeutet eben auch zu wissen, dass ein "https" nur bedingte Sicherheit bedeutet. Eine Browsermeldung "diese Verbindung ist sicher" nützt mir wenig, wenn ich darüber vergesse (oder es nicht weiß), dass es Spyware u.ä. gibt, die ich mir unbemerkt installiert habe und welche Formulareingaben bereits direkt bei der Eingabe vor dem Absenden abfängt. Da nützt mir die "sichere" Verbindung nichts.
    Als Endverbraucher muss ich auch wissen, dass die TAN bei Bankgeschäften ebenfalls nur bedingt sicher ist (je nachdem, wie sie generiert wird).
    Und auch der Blick auf den eigenen Router hilft nur bedingt - wenn ich da an die Geschichte vor einigen Monaten denke, als es den Versuch gab, spezielle Routertypen der Telekom zu kapern. Das ist glücklicherweise an der Dummheit der Kriminellen gescheitert. Aber wäre es geglückt, hätte es zunächst einmal niemand bemerkt.
    Und dann Smartphone, Smart-TV und Co. Dass diese Gerätschaften sensible Daten wohin auch immer übermitteln, muss man sich ständig klarmachen, wenn man an die Sicherheit seiner Daten denkt.
    Spy-Puppen im Kinderzimmer, Webcams...


    Im Vergleich dazu sind Passwörter und Leselisten von Onleihe-Nutzern relativ uninteressant. Natürlich finde ich es gut, wenn auch hier möglichst sichere Verbindungen geschaffen werden. Das kann aber nur die eine Seite sein.
    Die andere ist immer die, dass ich zuerst einmal selbst verantwortlich dafür bin, wie ich mit meinen Daten umgehe.

  • Wir könnten ggf. ein Blockieren nach z.B. 10 Falscheingaben einführen - Überlegungen dazu gibt es - dann wären Bots sicher vielfach geblockt, aber 10 falsche Login-Versuche müssen auch "irgendwie" von der Software der Bibliothek verfolgt werden. Warum muss die Onleihe eine Sicherung enthalten, wenn das Authentifizierungsverfahren der Bibliothek - wo die zu sichernde Datenbank de facto steht - dies nicht hat?


    Es wäre ein Stups in die richtige Richtung, denke ich. Wenn ihr aber so viele Bots an der Backe habt, würde es eher den Betrieb versauen als helfen :(


    Ich habe mal mit einer meiner Bibliotheken über das Thema geredet. Sie fanden die Idee, User ihr PW ändern zu lassen gar nicht gut. Dann gäbe es zu viele Rücksetzungen, hieß es, und man könne nicht mehr für die User buchen. Sehr pfiffig X( Mit solchen Problemen auf der Bibliotheksseite seid ihr natürlich machtlos.

  • Ich habe mal mit einer meiner Bibliotheken über das Thema geredet. Sie fanden die Idee, User ihr PW ändern zu lassen gar nicht gut. Dann gäbe es zu viele Rücksetzungen, hieß es, und man könne nicht mehr für die User buchen.


    Also wenn ich es richtig im Kopf habe bietet das nächste Update für den bei uns eingesetzten Online-Katalog zukünftig die Möglichkeit das Passwort online zurückzusetzen. Damit hat man die Anfragen in der Bibliothek weg und der Kunde kann unabhängig von den Öffnungszeiten da Änderungen vornehmen. Wenn wir das Update installiert haben wird auch definitiv die Funktion in Betrieb genommen.
    Was die in deiner Bibliothek allerdings für ihre Kunden buchen erschließt sich mir nicht so recht. Weil Vormerkungen, Verlängerungen etc. erledigt man über das Lokalsystem und da braucht man kein Passwort ?( Und wenn der Kunde die Ausleihen in der Onleihe nicht selber erledigen kann, dann weiß ich auch nicht, ob ihm geholfen ist wenn der Ausleihvorgang von jemand anderem durchgeführt wird.