SICHERHEITSRISIKO

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • Hallo Dividib Team,


    ist Ihnen bewusst, dass Ihre Server bei simpler, falsche URL die App Server Version mitteilen 8|


    Zu meinem Erschrecken steht da was von Apache Tomcat 6.0.33.

    Sie wissen, dass für Apache Tomcat der Support ausgelaufen ist.

    Sie verwenden nicht einmal das letztes Patchlevel.

    Für diese Software bestehen dokumentierte Schwachstellen:!:


    Wie sicher sind meine Daten auf Ihren Servern? :wacko:


    Ich hoffe sehr sehr stark, dass es sich hier um ein riesen Missverständnis meinerseits handelt.

    Dafür lass ich mich dann auch gerne runter Voten oder auslachen ....


    Gruß

    portboy


    PS. Das Userforum gibt auch die Apache httpd Version incl. Distribution aus ...

    PSS. Benutzername und Passwort werden beim Forum als auch der Onleihe über unverschlüsselte Verbindungen übertragen. Ein Glück, dass ich hier Einmalpasswörter verwende :saint:



  • meine Daten

    Wer sagt denn, daß die Datenbanken nicht auf ganz anderen Servern liegen?


    Und überhaupt: Welche Daten? Die Onleihe reicht die Anmeldedaten durch an die Bibliothek. Intern wird eine ID verwandt, die keinen Rückschluß auf die Login-Daten zuläßt. Das einzige Risiko wären möglicherweise die Vormerker, weil da eine Email-Adresse zusammen mit der internen ID gespeichert wird. Darauf solltest Du verzichten.

  • P.S.: Ist mir gerade noch eingefallen: Man kann bei Apache die Server-Identifikation frei einstellen. Macht man manchmal, um Scriptkiddiots in die Irre zu führen. Ich halte das eher für albern, aber es macht das Logfile-Lesen auf jeden Fall amüsanter.

  • Ingo ich habe mich jetzt lange mit dem Meckern zurückgehalten. Die Situation ist schlimm und ärgerlich genug. Aber jetzt muss ich doch mal wieder:



    Eure gebetsmühlenartig wiederholten Hinweise, dass dies ein Userforum ist, finde ich wirklich ätzend.


    1) In den meisten Bibliotheken sitzen Ansprechpartner, die gerade so ihren PC bedienen können. Fehlermeldungen aufzunehmen und richtig einzuordnen ist - gemäß meiner Erfahrung mit den Damen - nicht möglich.

    2) Dies ist ein Forum der divibib, die gerade alleine oder im Verbund mit Adobe riesen Probleme macht. Die Unternehmen, die ich kenne, betreiben Foren, um Feedback zu bekommen. Wenn mir also einer erzählt, die divibib würde ihr eigenes Forum nicht beobachten und auswerten, dann finde ich das blauäugig. Oder aber - falls die divibib wirklich die User hier ganz alleine plappern lässt - sehr schwach von Seiten der divibib.

    • Offizieller Beitrag

    Hallo HansH


    wir wiederholen das, weil Du es ehrlich gesagt, auch nicht annehmen willst.

    Es ist nicht das erste Mal, dass diese Probleme genannt werden und es ist auch nicht das erste Mal, dass wir dazu Stellung nehmen. Es ist auch nicht das erste Mal, dass wir Rückmeldung geben, dass wir uns der Probleme bewusst sind.


    Ich schreibe es nun erneut - während ich nebenher Tickets erledige oder Bibliotheken anrufe, um deren Fragen zu beantworten - damit Du es ganz persönlich erneut, nochmal, wieder und wieder durchsprechen kannst, wie schlecht alles läuft.


    => Wir haben das zur Kenntnis genommen. Danke für Dein Feedback!


    Was Du ganz offensichtlich möchtest, ist Deinem Unmut Luft machen. Wieder und wieder. Und genau das hilft nicht weiter. So verständlich es im Einzelfall auch immer sein mag. Aber irgendwann liefert es keine neuen Informationen mehr.



    Ja, wir beobachten das Forum, Du hast also Recht, wir lesen mit. Das sage ich aber heute nicht das erste Mal, auch nicht das zweite oder dritte Mal.


    Aktuell sind alle Funktionen der Onleihe möglich. Bei Schwierigkeiten bitte an die Heimatbibliothek wenden.

    Wenn dort einfach nicht das technische KnowHow vor Ort vorhanden ist, dann richte Deine Kritik bitte an die Bibliothek, nicht an uns. Wir bieten hier auch für Bibliotheken Entsprechendes an. Bei Fragen, die man dort nicht beantworten kann, springen wir - über das übliche Verfahren, das ich bereits wieder und wieder erklärt habe - ein.


    Aus meiner persönlichen Sicht könnten wir Dich tagelang durch unsere Firma führen und Du wärst noch immer nicht zufrieden.

    Dein Standpunkt ist "es muss halt klappen". Korrekt, das muss es.


    Die Wiederholung von Deiner Seite zieht Ressourcen von allen Ecken ab, weil wir eben doch irgendwie Stellung nehmen müssen. Wieder und wieder.

    Bitte unterlasse das in dieser Form, es ist nicht zielführend.


    Wir lesen mit.

    Nochmal anders formuliert: Wir lesen mit!


    Wenn Du etwas Neues ergänzen möchtest, sehr gerne. Ansonsten halte Dich bitte zurück mit endlosen Wiederholungen.



    divibib-Support und Administration

  • Wer sagt denn, daß die Datenbanken nicht auf ganz anderen Servern liegen?


    Und überhaupt: Welche Daten? Die Onleihe reicht die Anmeldedaten durch an die Bibliothek. Intern wird eine ID verwandt, die keinen Rückschluß auf die Login-Daten zuläßt. Das einzige Risiko wären möglicherweise die Vormerker, weil da eine Email-Adresse zusammen mit der internen ID gespeichert wird. Darauf solltest Du verzichten.

    Hi Anna,


    ich würde mich freuen, wenn du dich mit deinem technischen Verständnis dich auf die Nutzerhilfe konzetrierst :thumbup:

    Danke :)

    Hallo portboy


    ist dir bewusst, dass das hier ein Userforum ist?

    Bitte richte solche Beobachtungen/Fragen an deine Heimatbibliothek mit der Bitte, diese an die Divibib weiterzugeben. Hier ist der falsche Ort dafür.

    Hi Ingo,


    meine Bilbliothek kann damit nix anfangen.

    Da Sicherheitsprobleme alle Benutzer etreffen, ist das Benutzerforum genau der Richtige Platz um alle Benutzer zu informieren.

    Sicherheitsprobleme zu verschweigen wäre immer der felsche Weg.


    @dividib-support

    Können Sie bitte kurz Stellung nehmen?

    Ich würde mich sehr freuen, wenn ich mit meinen Annahmen falsch läge.

  • ist dir bewusst, dass das hier ein Userforum ist?

    Neulinge im Forum wissen noch nicht, wie es hier genau läuft, deshalb war hier eine Wiederholung von Ingo durchaus angebracht! Und nein, es macht keinen Spass immer und immer wieder das Gleiche schreiben zu müssen, aber neue User haben natürlich ein Recht darauf.

    In den meisten Bibliotheken sitzen Ansprechpartner, die gerade so ihren PC bedienen können. Fehlermeldungen aufzunehmen und richtig einzuordnen ist - gemäß meiner Erfahrung mit den Damen - nicht möglich.

    Einach nur ätzend diese Aussage! Dann mach mal was Sinnvolles und schreib der Leitung deiner Bibliothek über die fehlende Kompetenz der Mitarbeiterinnen, anstatt dich hier immer und immer wieder zu wiederholen!!

  • Zum besseren Verständnis: Dieses Forum steht allen Usern offen, die sich hier registrieren, die Nutzungsbedingungen anerkennen und sich daran halten. Was akzeptabel und erwünscht ist und was nicht entscheiden Admin und Mods.


    Über die Sicherheit können nur IT-ler berichten, die das System komplett kennen. Spekulationen und Ferndiagnosen bringen da niemand weiter. portboy , wenn du meinst hier irgendwelche inside Information zu haben, ist das nur glaubwürdig, wenn du deine Quellen nennst.

  • Ja, wir beobachten das Forum, Du hast also Recht, wir lesen mit.

    Danke! Das war genau der Punkt.



    Einach nur ätzend diese Aussage! Dann mach mal was Sinnvolles und schreib der Leitung deiner Bibliothek über die fehlende Kompetenz der Mitarbeiterinnen, anstatt dich hier immer und immer wieder zu wiederholen!!

    @EmmaHerwegh So hast du mich für deine obenstehende Antwort zitiert: "In den meisten Bibliotheken sitzen Ansprechpartner, die gerade so ihren PC bedienen können. Fehlermeldungen aufzunehmen und richtig einzuordnen ist - gemäß meiner Erfahrung mit den Damen - nicht möglich." Der Fettdruck stammt von dir!


    Dazu drei Bemerkungen meinerseits:

    1) Ich habe garnichts gegen die wirklich netten Damen in der Bücherei.

    2) Ich bin nicht dafür verantwortlich, dass es nur Damen sind, die ich antreffe.

    3) Ich erwarte nicht, dass Bibliotheksmitarbeiterinnen etwas von der IT, die hinter der Useroberfläche abläuft verstehen. Meine Profis einer anderen Branche haben dafür schließlich auch eine IT-Abteilung.


    Und deshalb, @EmmaHerwegh, freue ich mich, dass dieses Forum - anders als von dem ein oder anderen Moderator suggeriert - eine Userforum ist, bei dem eben Kommentare nicht nur bei den anderen Usern "stecken bleiben", sondern auch bei der divibib ankommen.



    Davon unabhängig: Klar ist, dass besorgte Endkunden wie portboy hier keinen Anspruch auf irgendeine Antwort haben haben (ich natürlich auch nicht). Schließlich haben wir Endkunden allenfalls einen "Vertrag" mit unserer Bibliothek. Insofern lohnt es zugegebenermaßen, sich auch mal an die eigene Bibliothek zu wenden.

    • Offizieller Beitrag

    Hallo portboy,


    auch hier wäre wie bei allen Fragen rund um die Onleihe, auch bei technischen Belangen dennoch der Weg über die Heimatbibliothek der korrekte. Sollten wir dann feststellen, dass eine Info an alle Nutzer sinnvoll ist, reagieren wir entsprechend.


    Welcher Server genau wird aufgerufen? Bitte den Aufruf nennen, sofern möglich. Wir haben ... "einige Server".

    Geht es z.B. um die Ausleihe, den Download, das :userforum? Das wäre sehr hilfreich.



    Thema unverschlüsselte Übertragung

    Wir haben dazu hier ein Thema eröffnet => Die Onleihe und HTTPS



    Freundliche Grüße

    divibib-Support

  • ich würde mich freuen, wenn du dich mit deinem technischen Verständnis dich auf die Nutzerhilfe konzetrierst

    Och, nö. Mir macht es Spaß die Nadel in Deinen FUD-Ballon zu stecken. Zum Trost schenke ich Dir noch ein n.

  • Ich wieder :)

    Aber zuerst einmal danke für die gute Unterhaltung hier:):):)

    Das ist ernst gemeint!


    @dividib-support

    Danke für den Link, leider kann man dort nicht antworten.

    Ich antworte dann im https Bereich :)



    LG

    portboy