Zwei eBooks im Medienkonto, die ich nie und nimmer ausgeliehen habe

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

    Zitat von Gast-Bibliothekarin

    Die Krönung ist dann, wenn zwei Leute das gleiche Paßwort haben, weil sie beide einen Dummy haben. Super m(
    Bibliotheksrechner und auch die Software sind passwortgeschützt. Dennoch wird hier darüber sinniert, wie es angehen kann, dass ein Bibliotheksmitarbeiter Einblick auf das Geburtsdatum hat ...


    Nicht ganz, wir haben hier zwei Dinge. Einmal sollte niemand Einblick in Daten haben, die er nicht notwendig zur Erfüllung der jeweiligen Aufgabe und zu genau diesem Zeitpunkt braucht. Das andere ist, daß das Paßwort mit dem Geburtsdatum identisch ist.


    Zitat von Gast-Bibliothekarin

    Der Dummy ist vom Nutzer selbst gewählt und besteht (da im Datumsfeld hinterlegt) aus einem mehr oder weniger beliebigen Datum. Wie wahrscheinlich ist es da, dass zwei Personen den selben Dummy bekommen? Und selbst wenn - die selbe Lesernummer werden sie wohl kaum haben. Immerhin soll es ja auch vorkommen, dass zwei unterschiedliche Leser am selben Tag geboren wurden ;)


    Dann ist ja gut :) Ändert aber immer noch nichts daran, daß ein Datum ein bemerkenswert bescheidenes Paßwort ist.


    Zitat von Gast-Bibliothekarin

    Es bestreitet niemand, dass das Vorgehen der Bibliothek im Falle vom Lesehuhn nicht optimal war, aber was hier daraus gemacht wird, das ist schon echt surreal!


    Tatsächlich war es doch so, daß wir durch Lesehuhns Problem (nennen wir es mal so) auf die Mißstände gekommen sind. Ein Thema kann sich ja auch weiterentwickeln.

    Interessante, und lange Diskussion.


    Aber unabhängig davon welche Daten der Bibliotheksmitarbeiter zum Arbeiten braucht gilt :


    Wenn ich mein Passwort selber wählen kann, dann hat kein anderer sich zu diesem Zugang zu verschaffen.
    NIEMAND braucht mein Passwort, egal wozu. Andernfalls können wir gleich einen Account+Passwort für alle einrichten.
    Ist ja dann auch egal denn im Zweifelsfall habe nicht ich mit dem Account gearbeitet sondern jemand anders.


    Ich arbeite seit Jahrzehnten in der IT, und die Zeit wo Passwörter unverschlüsselt gespeichert wurden sollte seit Äonen vorbei sein.

    Zitat von Bibliotheksmensch

    Ich kann da nur für unsere Bücherei sprechen: Ja, die Peripheriesicherheit ist mit ziemlicher Sicherheit gegeben - unfehlbar ist aber nichts und niemand. Die EDV-Abteilungen der Städte sind nicht so schlecht, wie Du evtl. meinst. Wenn die ganze Sache nicht sogar über ein kommunales Rechenzentrum läuft.


    Super :)


    Zitat von Bibliotheksmensch

    Du meinst also allen Ernstes, ein Internetnutzer setzt sich hin und füttert seinen Rechner mit einem Skript, das lustig alle Geburtsdaten zu einer evtl. nicht einmal bekannten Leseausweisnummer (7-stellig oder mehr) ausprobiert, bloss um damit an die Ausleihe eines eBooks zu kommen, das er dann noch "cracken" will? Und dafür bersorgt er sich dann vorher extra noch 'ne Adobe ID.


    Wart's ab. Mag sein, ich bin inzwischen recht zynisch, aber eBooks sind ein lohnendes Ziel für Cracker und werden es umso mehr werden, je weiter sich Reader und/oder Tablets verbreiten. Ich las dieser Tage, daß ein Piratenportal sogar inzwischen Geld mit gestohlenen eBooks macht.


    Die Adobe-ID ist übrigens das kleinste Problem. Man braucht sie nicht einmal. Und wenn, holt man sie sich mit Fake-Daten.


    Zitat von Bibliotheksmensch

    Im Übrigen gucken Kunden in der Regel nicht über die Schulter, wenn ein Mitarbeiter Leserdaten auf dem Schirm hat. Das ist schon räumlich in den meisten Bibliotheken so angelegt und bei uns wird es anderen Kunden auch mitgeteilt.


    Ich habe im letzten halben Jahr vier verschiedenen Bibliotheken einen Besuch abgestattet. In allen konnte ich auf den Bildschirm schauen, während ein Mitarbeiter im Kundenkonto war. Nur in einer davon mußte ich mich dafür geschickt hinstellen. Dafür guckte in einer anderen eine Überwachungskamera (die unverschlüsselt ins WLAN streamte) auf den Bildschirm. Es ist gut, wenn so etwas bei euch nicht geht.

    Zitat von Annanymous

    Dann ist ja gut Ändert aber immer noch nichts daran, daß ein Datum ein bemerkenswert bescheidenes Paßwort ist.

    Stimmt. Leider scheint die Onleihe anders nicht mit unserer Software kommunizieren zu können; da ist sicherlich noch Potential nach oben.

    Zitat von Annanymous

    Tatsächlich war es doch so, daß wir durch Lesehuhns Problem (nennen wir es mal so) auf die Mißstände gekommen sind. Ein Thema kann sich ja auch weiterentwickeln.

    Stimmt auch. Ich meinte aber die wirklich schwachsinnige Vorstellung, Bibliotheksmitarbeiter würden massenhaft Ausleihen auf Leserkonten produzieren, um geknackte ebooks zu verhökern, die hier aber sehr gern kultiviert wird. Das System Onleihe ist noch weit entfernt davon, perfekt zu sein, die Gefahren liegen aber eher nicht auf Seiten der Bibliotheksmitarbeiter.

    Zitat von Gast-Bibliothekarin

    Stimmt. Leider scheint die Onleihe anders nicht mit unserer Software kommunizieren zu können; da ist sicherlich noch Potential nach oben.


    Das ist freundlich ausgedrückt :(


    Zitat von Gast-Bibliothekarin

    Stimmt auch. Ich meinte aber die wirklich schwachsinnige Vorstellung, Bibliotheksmitarbeiter würden massenhaft Ausleihen auf Leserkonten produzieren, um geknackte ebooks zu verhökern, die hier aber sehr gern kultiviert wird. Das System Onleihe ist noch weit entfernt davon, perfekt zu sein, die Gefahren liegen aber eher nicht auf Seiten der Bibliotheksmitarbeiter.


    Nein, so war das gar nicht gemeint. Gemeint ist, daß durch die schlechten Paßworte jedes Scriptkiddie an die Konten anderer kommen kann. Und Bibliothekare sind auch nur Menschen.


    Das ist ja gerade der Grund, warum man gute Paßworte verwenden sollte. Und warum Paßworte niemals für Zweite einsehbar sein dürfen, nicht einmal für Systemadministratoren.

    Zitat von Gast-Bibliothekarin


    Stimmt auch. Ich meinte aber die wirklich schwachsinnige Vorstellung, Bibliotheksmitarbeiter würden massenhaft Ausleihen auf Leserkonten produzieren, um geknackte ebooks zu verhökern, die hier aber sehr gern kultiviert wird. Das System Onleihe ist noch weit entfernt davon, perfekt zu sein, die Gefahren liegen aber eher nicht auf Seiten der Bibliotheksmitarbeiter.

    Nein ich sprach nicht von Büchereimitarbeitern - ich sprach von "bösen Menschen", wenn schon der Aufschrei kommt "ich hätte eine schwachsinnige Vorstellung", dann vorher bitte richtig lesen!


    ... auf diesem Niveau sollten wir hier nicht miteinander umgehen.


    Zitat von Annanymous


    Nein, so war das gar nicht gemeint. Gemeint ist, daß durch die schlechten Paßworte jedes Scriptkiddie an die Konten anderer kommen kann. Und Bibliothekare sind auch nur Menschen.

    Ich lass mal wieder meine Phantasie spielen:


    ... stellt Euch mal vor, so ein "Scriptkiddie" macht ein Praktikum in der Bücherei ...


    Warum stellt Ihr Euch nicht auch hinter die Forderung :

    Zitat

    Das ist ja gerade der Grund, warum man gute Paßworte verwenden sollte.
    Und warum Paßworte niemals für Zweite einsehbar sein dürfen, nicht
    einmal für Systemadministratoren.

    Lesen heißt durch fremde Hand träumen. (Fernando Pessoa)

    2 Mal editiert, zuletzt von Lesehuhn ()

    Zitat von Lesehuhn

    Ich lass mal wieder meine Phantasie spielen:
    ... stellt Euch mal vor, so ein "Scriptkiddie" macht ein Praktikum in der Bücherei ...


    Scheint mir kein pures Phantasiespiel zu sein. Wobei die Praktikanten in der regulären Ausbildung hoffentlich hinreichend belehrt werden. Und die eventuell vorhandenen Schnupperpraktikanten beaufsichtigt.

    Gegen Maulwürfe gibt es keinen zuverlässigen Schutz.


    Aber man kann es ihnen schwer machen. Indem man zB Daten möglichst gar nicht erhebt und wenn doch, nur wenige Leute daran läßt. Womit wir wieder beim Ausgangspunkt wären.


    Mein Fazit nach dieser Diskussion bisher:
    1. Bibliotheken sollten eigene Login-Server haben, deren einzige Aufgabe es ist, die Antwort auf die "ist das deiner"-Frage der Onleihe zu geben. Andere Daten liegen nicht auf diesem Server, denn er hängt ja am Internet.
    2. Bücherdaten gehören mE nicht ins Kundenkonto. Einschränkungen sind Dinge, die sonst gar nicht verwaltet werden können. Vielleicht wäre eine Fernleihe so etwas, weiß ich nicht. Wenn schon nichts anderes, macht man es Datendieben damit schwerer.
    3. Rechner, auf denen Kundendaten verarbeitet werden, müssen besonders gesichert werden. Dazu gehört ihr Aufstellungsort. Vor allem dürfen sie keinen Internetzugang haben.
    4. Die Onleihe muß TLS einführen.
    5. Gute, frei wählbare und jederzeit änderbare Paßworte für die Onleihe sind dringend nötig. Niemand außer dem Nutzer darf das Paßwort sehen können.


    Und dann noch Best Practices für Bibliothekare. Viele mögen das bereits machen, aber es gibt bestimmt einige, die das nicht tun.
    1. Kein Zugriff auf und vor allem keine Änderung des Kundenkontos, ohne daß der Kunde zugestimmt hat.
    2. Ein Gefühl für Datensicherheit. Das reicht von Bildschirmpositionierung bis hin zur Peripheriesicherung und Überwachung von Praktikanten (keine Arbeit mit Daten für diese, zB).
    3. Profile im Kopf sind normal, aber man muß verhindern, daß andere Profile bilden können oder diese Profile abfragen. Da wäre auch ein gesetzlicher Status als Berufsgeheimnisträger angebracht, denke ich.


    Was denkt ihr?

    Zitat von Annanymous

    Zitat von Annanymous


    2. Bücherdaten gehören mE nicht ins Kundenkonto. Einschränkungen sind Dinge, die sonst gar nicht verwaltet werden können. Vielleicht wäre eine Fernleihe so etwas, weiß ich nicht. Wenn schon nichts anderes, macht man es Datendieben damit schwerer.

    Da ist es aber m.E unvermeidlich, dass zumindest Support-Mitarbeiter sehen können müssen, was der Kunde wann ausgeliehen hat, bzw. versucht hat auszuleihen. Aber bitte ohne einfach Änderungen am Konto vorzunehmen, wenn der Kunde nicht ausdrücklich zugestimmt hat.

    Zitat von meisje

    Da ist es aber m.E unvermeidlich, dass zumindest Support-Mitarbeiter sehen können müssen, was der Kunde wann ausgeliehen hat, bzw. versucht hat auszuleihen. Aber bitte ohne einfach Änderungen am Konto vorzunehmen, wenn der Kunde nicht ausdrücklich zugestimmt hat.


    Ich sehe immer noch nicht, warum das nötig sein sollte. Klar, bei fehlgeschlagenen Ausleihen muß man das nachvollziehen können, aber der Kunde weiß ja, wie das Buch hieß.