SICHERHEITSRISIKO

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

    • Offizieller Beitrag

    1) In den meisten Bibliotheken sitzen Ansprechpartner, die gerade so ihren PC bedienen können. Fehlermeldungen aufzunehmen und richtig einzuordnen ist - gemäß meiner Erfahrung mit den Damen - nicht möglich.

    Da warst du definitiv nicht bei uns :) Es tut mir leid, wenn du in deiner Bibliothek ungute Erfahrungen gemacht hast - das solltest du allerdings auch dort vor Ort mit den Leuten klären. Denn ich halte es für sehr wichtig, dass die NutzerInnen vor Ort kompetente Ansprechpartner haben, da bin ich voll und ganz deiner Meinung!


    Was das Melden von Fehlern über die Bibliothek anbelangt: Das macht halt einfach Sinn, sorry aber isso. Wenn die divibib 23 Meldungen von 23 verschiedenen Leuten bekommt, muss sie 23 mal auf die Suche gehen: Woher, welches Problem, welcher Verbund, ...

    Wenn hingegen diese 23 Leute sich an ihre zuständige Bibliothek/Verbund wenden, erhält die divibib genau _eine_ Meldung zu dem Problem, welches i.d.R. dann auch genau benannt ist und die ITler können direkt reagieren.


    Stell dir einfach mal vor, die divibib hätte das 23-fache der aktuellen Störungsmeldungen - wär eher kontraproduktiv, oder? ;)

  • bitte direkt hier ... das ist im Augenblick sinnvoller, damit sich das nicht auf mehrere Themen verteilt.

    gerne, aber dann bitte nicht für doppelposts strafen 8o


    Der Aufbau der Anmeldemaske erfolgt ja unverschlüsselt (http).


    Sollte sich bereits beim Aufruf der Anmeldeseite ein Angreifer "zwischenschalten" , kann jeder nachfolgende Schritt, wie die verschlüsselte Übertragung der Daten an die dividib Server, beeinflusst bzw. mitgelesen werden. Ihr System erfüllt damit u.U. nicht die Vorgaben des IT-Grundschutz des BSI.


    Für Angreifer ist es eine Leichtigkeit, die von ihrem Server über http ausgelieferte Seite mit zusätzlichen Formularabfragen anzureichern. Der treue, unbedarfte Benutzer wird sicherlich gerne zur Bestätigung noch mal Name und weitere Angaben preis geben. Oder der Angreifer kann bösartigen Code oder flash in die Seite einfügen. Das Tor ist hier einfach weit offen. Aktuell müsste man jedes mal den HTML Code dahingehend prüfen, dass die Ziel URL für das Form überhaupt stimmt.


    Deswegen weisen die Browser zurecht darauf hin, dass die Eingabe von streng vertraulichen Daten (nach ISO 2700x sind das Benutzer und PWD) riskant ist, da nicht sichergestellt werden kann, dass bereits der Aufbau der Anmeldeseite nicht manipuliert wurde.


    Sie können verschlüsseln wie sie wollen. So lange der erste Seitenaufruf unverschlüsselt bleibt, sind alle nachfolgenden Maßnahmen nur lindernd, nicht verhindernd.


    Bitte stellen Sie das System komplett auf https um. Schon alleine um ihr Unternehmen zu schützen <3<3<3

    Ich rate sogar dazu, gar keine http Verbindung mehr zuzulassen. Setzen Sie den HTTP Header auf Strict-Transport-Security.

    Stellen Sie ihre Cookies auf secure um (only secure). Es ist für den Angreifer aktuell eine Leichtigkeit, die Session zu übernehmen.

    usw.


    Natürlich ist eine dividib nicht ein primäres Ziel für einen Angriff. Aber hoffen, dass es schon keiner machen wird, ist keine wirkliche Strategie.


    Gruß

    portboy


    PS. Ich arbeite nicht für die Konkurrenz oder irgendetwas im Bereich PPP. Meine Hinweise sind ehrlich und pro Onleihe <3:)

    Wenn Anna das anders sieht, dann ist das halt ihre berechtigte Meinung :S

  • Wenn hingegen diese 23 Leute sich an ihre zuständige Bibliothek/Verbund wenden, erhält die divibib genau _eine_ Meldung zu dem Problem, welches i.d.R. dann auch genau benannt ist und die ITler können direkt reagieren.

    Ähm bekommt dividib dann nicht u.U. 23 Hinweise von 23 Bibliotheken :/

    Oder habe ich hier einen Denkfehler :saint:

  • Hast du dir mal die "kleine Mühe" gemacht, im Forum das zu lesen, was zum Thema "https" bereits alles geschrieben und vor allem geantwortet wurde?


    Oder denkst du jetzt echt, dass die divibib durch deinen "Großbuchstaben-Thread" erst darauf aufmerksam gemacht wird.


    Sie arbeiten auch daran.


    Bis dahin kannst du ja warten und die onleihe erst wieder nutzen, wenn dein erhöhtes Sicherheitsbedürfnis zufrieden gestellt ist.


    Ich lese in der Zwischenzeit mal weiter, wie auch die letzten 4 Jahre ohne https 😜

  • Aber man sollte bedenken, dass die Meldung direkt bei der Bibliothek auch den Vorteil hat, dass man dann direkt noch wichtige Details nachfragen kann (z.B. was für eReader ist das genau?, welcher Browser?) und die der Meldung hinzufügen. Hier im Forum fragen wir ja auch öfters nach, weil manchmal für denjenigen, der/die meldet auch schwer abzuschätzen ist welche Details wichtig sind.


    Und wenn sagen wir mal 23 Leute das Gleiche melden, ist auch gut möglich, dass davon mehrere es beim gleichen Verbund machen; es gibt ja einige große Onleihe-Verbünde.

  • bitte direkt hier ... das ist im Augenblick sinnvoller, damit sich das nicht auf mehrere Themen verteilt.

    Da es sich hier ja um ein User-Forum handelt (:o), wäre es wohl sinnvoller, wenn sich portboy direkt mit der divibib kurzschließen könnte.