Https und Passworte

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • Da die Sicherheit im Internet nicht erst dieser Tage ein Thema ist, stellt sich mir die Frage, warum die Onleihe ihre Seiten nicht auf HTTPS umstellt. Inzwischen ist das bei vielen Seiten schon geschehen.
    Auch die lächerlichen Standardpassworte vieler Büchereien z.B. nur Geburtsdatum oder ähnliche simple Konstruktionen sollten der Vergangenheit angehören.
    Warum kann ich in der Onleihe nicht mein Passwort (am Besten regelmäßig) ändern.

  • Siehe hier <a href="http://www.userforum.onleihe.de/forum/index.php?thread/11381-Onleihe-HTTPS/&postID=48996#post48996">Onleihe HTTPS</a>

    • Offizieller Beitrag

    Warum kann ich in der Onleihe nicht mein Passwort (am Besten regelmäßig) ändern.


    Weil die Onleihe keine Zugangs- oder Nutzerdaten speichert, sondern bei der Anmeldung beim Bibliothekskatalog der Heimatbücherei die Authentifizierung abfragt.


    Deswegen passiert ja auch nichts.


    Ich wüsste nicht, was man daran der divibib zum Vorwurf machen kann.

  • Soweit ich es aus anderen Beiträgen hier im Forum verstanden habe, liegen die Benutzerkonten jeweils im OPAC der Bibliothek und können (je nach Endbenutzerangebot des jeweiligen OPAC) auch dort geändert werden. Die Onleihe holt sich per Schnittstelle offenbar nur die Autorisierung des Benutzers ab, ist insofern nicht verantwortlich für das Passwort-Thema (allerdings für das HTTPS-Thema der Onleihe, siehe link oben).
    Bei meiner Heimatbibliothek VOEBB kann ich beispielsweise ohne Probleme mein Passwort ändern, allerdings nicht auf der Anmeldeseite für die Onleihe sondern auf der Webseite der Bibliothek (darauf muss man erstmal kommen ....).
    Für Melsungen (Verbund Hessen) war die Passwortänderung etwas besser versteckt, aber auch dort habe ich es herausfinden können.


    Wenn es nicht möglich ist, einen direkten Link zur Passwortänderung anzubieten (das ist aufgrund der benutzten Software offenbar nicht möglich) könnte ein erläuternder Text auf der Onleihe-Anmeldeseite zumindest denen weiterhelfen, die ernsthaft ihr Passwort ändern wollen.

  • Bei meiner Heimatbibliothek VOEBB kann ich beispielsweise ohne Probleme mein Passwort ändern, allerdings

    nicht auf der Anmeldeseite für die Onleihe

    sondern auf der Webseite der Bibliothek (darauf muss man erstmal kommen ....).


    (Hervorhebung von mir)
    Hmm, das ergibt sich doch eigentlich aus dem vorher Geschriebenen, oder?

  • Deswegen passiert ja auch nichts.


    Und Du meinst, es passiert was, wenn Du uns das mitteilst?
    Ich versichere Dir: da passiert auf jeden Fall nichts.


    An Deiner Stelle würde ich bei der Heimatbibliothek nachfragen, ob geplant ist, dass die Leser ihr Passwort fürs Leserkonto ändern bzw. selbst wählen können.
    Natürlich ist das abhängig von der Bibliothekssoftware. Die muss diese Funktion unterstützen.
    In meiner Heimatbibliothek wird Ende März endlich ein neuer Web-OPAC eingeführt, in dem die Leser viel mehr Möglichkeiten haben. Auch die Passwortänderung gehört dazu.
    Je mehr Leser diesen Wunsch äußern, desto mehr Gedanken machen sich die Entscheidungsträger.
    Am besten mobilisierst Du also andere Leser Deiner Heimatbibliothek. Mach Deinen Wunsch dort öffentlich. Nur dort wird was passieren. Hier nicht.
    Und die Divibib ist schon gar nicht dafür verantwortlich. Die ist nicht Träger Deiner Heimatbibliothek, sondern Dienstleister.


    Einen schönen Sonntag!


  • Hmm, das ergibt sich doch eigentlich aus dem vorher Geschriebenen, oder?


    Im Nachhinein schon; ich hab' ja nur versucht, deutlich zu machen, dass genau diese Zusammenhänge bisher nirgends richtig erklärt wurden. Wie so oft: wenn man es erstmal weiß , erscheint es trivial ....

    • Offizieller Beitrag

    Guten Morgen zusammen,


    einige Browser - wie z.B. von Mozilla und Google - forcieren auf diese Weise die Nutzung von HTTPS.
    Auch bei uns gibt es Überlegungen, auf HTTPS umzusteigen, dies ist jedoch nicht kurzfristig umsetzbar.


    Grundsätzlich kann man diese Meldung für die Onleihe ignorieren.


    Die Übertragung der Anmeldedaten erfolgt verschlüsselt per HTTPS, lediglich die Anmeldemaske als solche ist HTTP.
    Für die Browser ist dies nicht ersichtlich, daher ist es einfacher schlicht alles als HTTPS zu fordern.


    Über die Systeme der Onleihe ist aber eine Verknüpfung von z.B. Ausleihen mit personenbezogenen Daten nicht möglich, da von der divibib keine personenbezogenen Daten gespeichert werden. 
    Nach erfolgreicher Authentifizierung des Bibliotheksnutzers erfolgt die weitere Verwaltung des Bibliotheksnutzers im Onleihe-System von divibib durch eine pseudonyme, mittels Hash-Wert generierte User-ID, die der divibib - oder Dritten - keine Rückschlüsse auf die Identität des Nutzers ermöglicht.


    Dazu auch unsere "allgemeine Datenschutzerklärung":
    http://cms.onleihe.de/opencms/…Datenschutzerklaerung.pdf


    Somit gibt es im Datenverkehr zwischen der divibib und den Bibliotheken keine sensiblen, personenbezogenen Daten.



    Noch als letzte Anmerkung:
    Die Passwörter-Thematik kann nur im Dreieck "Software-Anbieter*-Bibliothek-divibib" gelöst werden, wobei die divibib nicht der treibende Partner sein kann.
    Die divibib passt sich hier weitgehend an die Vorgaben der Bibliotheken an. Sofern diese hier nicht aktiv von den Software-Anbietern* Änderungen fordern, wird es auch keine Änderungen von dort geben.
    Es kommt hinzu, dass nicht jede Bibliothek oder jeder Sowftare-Anbieter die exakt gleichen Umsetzungen anbietet - es ist ein normaler IT-Markt - daher kann es z.B. innerhalb eines Verbundes weiterhin schwierig sein "eine Lösung" für alle umzusetzen.
    Das Thema ist daher weitaus komplexer als lediglich "HTTPS für alle" und "Passwort im Onleihe-Konto ändern".


    Freundliche Grüße
    divibib-Support


    * Software-Anbieter
    Hier sind i.d.R. die technischen Partner der Datenbanken und OPACs der Bibliotheken vor Ort gemeint.




    Freundliche Grüße
    divibib-Support

  • Manchmal reicht es auch einfach, wenn man bei der Bibliothek, über die man angemeldet ist, nachfragt. Die stellen das Angebot der Onleihe zur Verfügung und können in der Regel auch Fragen dazu beantworten.
    Denn nicht jede Fragestellung kann auf der Seite der Onleihe so einfach abgebildet werden, da die Situation in den Bibliotheken vor Ort sehr unterschiedlich ist. Wie du schon gemerkt hast, ist es bei manchen möglich das Passwort zu ändern, bei anderen nicht. Und eben ist es auch nicht überall an der gleichen Stelle zu finden, weil viele Bibliotheken unterschiedliche Systeme haben. Und wenn da pauschal stehen würde "Für Passwortänderungen wenden Sie sich an Ihre Heimatbibliothek" und eine Bibliothek kann das nicht anbieten, dann sind auch wieder die User unzufrieden, dass sie nicht bekommen, was angezeigt wurde...

  • Somit gibt es im Datenverkehr zwischen der divibib und den Bibliotheken keine sensiblen, personenbezogenen Daten.


    Zwischen der divibib und den Bibliotheken vielleicht nicht aber zwischen mir und der divibib eigentlich schon. Geht eigentlich niemanden etwas an, welche Titel ich mir auf meiner Onleihe anschaue...
    Ich verstehe, dass das keine hohe Priorität hat für die Divibib aber die Zukunft ist verschlüsselt, da führt kein Weg daran vorbei und besser jetzt sich schon darauf vorbereiten.

  • verstehe, dass das keine hohe Priorität hat für die Divibib aber die Zukunft ist verschlüsselt, da führt kein Weg daran vorbei und besser jetzt sich jetzt schon darauf vorbereiten.


    Auch bei uns gibt es Überlegungen, auf HTTPS umzusteigen, dies ist jedoch nicht kurzfristig umsetzbar.


    Ich würde daraus nicht schließen, dass es keine hohe Prioität hat. Ich verstehe das so, dass es recht komplex ist und nicht ohne weiteres mal "schnell kurz" erledigt werden kann. Bei ca 180 Onleihen, mit zig Webseiten, Weiterleitungen und Zertifikaten, etc. sind Anpassungen halt doch recht aufwändig.

  • Ich verstehe das so, dass es recht komplex ist und nicht ohne weiteres mal "schnell kurz" erledigt werden kann. Bei ca 180 Onleihen, mit zig Webseiten, Weiterleitungen und Zertifikaten, etc. sind Anpassungen halt doch recht aufwändig.


    Sehe ich mit meinem aktuellen Wissen nicht so. Einschränkung auf "aktuell", denn ich kenne die Infrastruktur nicht wirklich.


    Klar, das geht nicht "mal eben", weil es das grundsätzlich nicht gibt. Aber die Anzahl der Onleihen dürfte da keine Rolle spielen, weil sie sowieso dieselbe "Website" haben - lediglich die Farbgebung etc. ist anders. Die Technik für diese Seiten liegt auf den Servern der DiViBib, die damit auch nur ihr eigenes System anpassen müssen. Das Durchreichen der Login-Daten ändert sich dadurch nicht.

  • Ich kann divibib-support nur entschieden widersprechen.


    Jedem Nutzer der Onleihe sollte bewusst sein, dass das Login die einzige Information ist, die verschluesselt versandt wird.


    Daten zu ausgeliehenen Buechern und Suchanfragen sind Informationen, die persoenliche Vorlieben und Interessen verraten, und deshalb niemanden Drittes etwas angehen.
    Genau deswegen wird heutzutage vollverschluesselt und nicht nur mal beim Login.


    Auch sollte jedem Nutzer dieses Forums bewusst sein, dass ihr/sein Forums-Login (im Gegensetz zum Onleihe-Login) auf http://www.userforum.onleihe.de/index.php/Login gePOSTed wird - also im Klartext.


    Browser tun m.E. gut daran, ahnungslose oder leichtsinnige Nutzer eindringlich und wiederkehrend auf diese Sicherheitsprobleme hinzuweisen.

  • Was heißt hier geposted; da habe ich nicht mal als Mod Zugriff darauf. Dass Admins mit einem Minimum an IT-Kenntnisse an ALLES auf dem Server herankommen ist eine Binsenweisheit. Und natürlich gibt es auch noch Häcker, die auf fremden Server herumschnüffeln, aber dagegen kann man auch nicht viel anderes machen als sich möglichst gut abzusichern.

  • Nur als kurzer Hinweis zum Forum: die fehlende https-Verschlüsselung ist bekannt und da sollte sich im Laufe des Jahres noch was ändern. Alles weitere wird die Divibib dann bekannt geben, wenn es soweit ist.

  • Was heißt hier geposted; da habe ich nicht mal als Mod Zugriff darauf.


    Ich glaube, das sollte eine Anspielung auf die Übertragungsmethode POST sein. Es spielt aber keine Rolle, ob man die Methode POST oder GET verwendet, wenn man über Verschlüsselung redet. Insofern ist es entweder eine Nebelkerze oder Bullshit-Bingo.