Guten morgen Ibiza123,
Es ist laut den Anforderungen der jeweiligen Software vor Ort(!) id.R. als Default das Geburtsdatum. Dies wird aber als Passwort übermittelt. Das Passwort kann - je nach Software-Anbieter (!) - auch anders lauten. Daher ist es nicht "per se" ein Datum.
Gerne dazu mit der Heimatbibliothek sprechen, diese gibt sicher gerne Auskunft zu Ihrem jeweiligen Software-Anbieter.
Zitat von Ibiza123In den meisten Fällen ist doch das Passwort das Geburtsdatum!
Deshalb in den "meisten Fällen".
Bitte bei solchen Vergleichen explizit angeben, von wem was genau kommt, Danke.
Das nehme ich zurück und nenne es nur Verharmlosung. Bei so vielen Posts und Divibib Hintergrundwissen, dachte ich, dass Annanymous zu Divibib gehört. Vielleicht mal ein Praktikant im 2. Semester?
Haben wir nicht vor. Wozu auch? Das "Anliegen" ist ja grundsätzlich gerechtfertigt.
Habe ich nicht behauptet, sondern nur geschrieben, dass dieses Unternehmen im verlinkten Artikel dies so gemacht hat.
Nebelgranaten kommen erfahrungsgemäß oft von allen Seiten.
Worauf wird hier Bezug genommen?
Wo auch immer das jeweilige Verfahren herkommt - es muss de facto von irgendwem umgestellt werden. Es gibt knapp 3000 Bibliotheken, die in nicht ganz 200 Onleihen / Verbünden gruppiert oder als Einzelonleihe aufgesetzt sind. Davon sind etwa Drei-Viertel mit entsprechenden Schnittstellen versehen. Eine kleine Anzahl an Bibliotheken nutzt eigene Domains.
Teilweise umzustellen ist alles andere als sinnvoll, eine "Zwischenlösung" zu fahren macht doppelten Aufwand.
Ich hoffe ich versteh das jetzt richtig. Das Divibib auf onleihe.de für Drei-Viertel von 3000 Bibliotheken die Anmeldung hosted. Also die Anmeldeseite auf euren Servern zur Verfügung stehen, die momentan nicht verschlüsselt ist.
Und der kleine Rest eigene Server hat eigene Problemen, die euch nicht betreffen?
Alles anzeigen
Ich habe das nachstehende Zitat an den Schluss gesetzt.
Wir möchten die Nutzerinnen bitten, noch etwas Geduld zu haben, aber wir werden hier auch nicht jeden Tag den Stand interner Besprechungen reinstellen. Die Priorität wird bereits überdacht, wie wir es auch im entsprechenden Thema geschrieben haben!
Die divibib hat immer und immer wieder bewiesen, dass Sie mehr als willig und bereit ist, auf aktuelle Situationen und Anfragen zu reagieren und Projekte neu zu bewerten.
Bitte also künftig erst informieren oder bei der Heimatbibliothek anfragen.
Wenn meine Annahme oben richtig ist, warum sollte ich meine Heimatbib fragen, ob sie Eure Anmeldeseite auf HTTPS umstellt?
Übermittelt wird - per HTTPS - an die DiViBib eine Nummer (Nutzernummer) und ein PW. Die DiViBib baut daraus einen Hash, der - nicht per HTTPS - an die Bibliothek weitergeleitet wird. Der Hash wird im System der Bibliothek gegen die vorhandenen Nutzerdaten abgeglichen, indem die Hashes verglichen werden. Die Bibliothek antwortet darauf mit einem "Nutzer gehört mir (nicht)" (im Grund ein Bool).
In erster Linie ist es mir egal, wie die Daten von der Heimatbib zu Divibib und umgekehrt kommen, in diesem Thread geht es um die Anmeldeseite und wenn hier Klartextversendet wird, dann kann danach gehasht werden mit oder ohne Salt. Völlig egal.
Der Umstand, dass jemand ohne große IT Kenntnisse das Passwort mitlesen kann und damit Zugriff auf das Konto hat, sollte doch klar sein.
Die DiViBib hat keine Userdaten, die ausgelesen werden könnten. Sie hat einen Hash-Algorithmus. Wer ein bißchen im ersten Semester aufgepaßt hat, weiß, daß dieser Algo öffentlich sein darf und sogar soll.
Nochmal Lesen, vielleicht verstehen Sie es dann. Wer ein bisschen beim Lesen aufgepasst hat, kann erkennen, dass ich mich nur auf das Unternehmen im verlinkten Artikel bezogen habe.
Was bei Divibib im Hintergrund läuft und beschädigt werden kann, kann z. B. die Userdb des Opencms sein oder was auch immer. Das hat in erster Linie nichts mit dem fehlenden https Support zu tun, sondern mit weiteren Sicherheitslücken, wenn es schon an der Basis fehlt.
Leider weiß ich nicht, was Sie mit Algorithmus meinen? Der Hash Algorithmus im Allgemeinen oder die Hashes die dadurch generiert werden? Im ersten Fall ist es nicht schlimm, wenn der benutzte Hash Algorithmus genannt wird, aber dazu raten würde ich nicht (Es stellt sich natürlich die Frage ob hier die Salt Funktion auch öffentlich gemacht werden soll Annanymous, vllt. Fragen wir jmd. aus dem 2. Semester 
). Im zweiten Fall würde ich strengstens davon abraten auch zur Zeit Hashs aus sicheren Hashing Funktionen öffentlich zu machen.
Administrator: Bitte korrigieren, wenn ich das falsch erinnere. Intern verwaltet die DiViBib lediglich die Konten, die aber nicht mit persönlichen Daten verknüpft sind, sondern mit unpersönlichen Kennziffern.
Und das wird nicht in einer DB gespeichert? Aber da schweifen wir wieder ab.
Die Daten, die notwendig übermittelt werden (Benutzernummer, PW), sind bereits verschlüsselt. Es herrscht, wenn man von den Fakten ausgeht, keine Eile. Die Fehlermeldung im FF ist lästig, aber, wenn man die Fakten betrachtet, auch nur das.
Jetzt sind wir wieder am falschen Ende. Es geht um die Anmeldeseite, dort werden Daten unverschlüsselt übermittelt. Ich beziehe mich hier insbesondere auf das Geburtsdatum im Passwort. s. o. Aber im Allgemeinen sollte es einfach sein, dass Passwörter im Klartext durchs Netz fliegen. (Hier jetzt Beispiele zu nennen bei denen es auch so ist, wäre nicht hilfreich)
Äh, was? Wer das macht, ohne VPN zu nutzen, dem hilft das schönste HTTPS nichts. Ich wiederhole gern: Gegen den Feind im eigenen Haus ist man machtlos. Ein ungesichertes WLAN zu nutzen ist nichts anderes, als seinen eigenen Router offen zu lassen.
[/quote]
Dass dieser Kommentar in irgendeiner Form kommt, war klar Aluhut^^. Also solange HTTPS korrekt umgesetzt wird, brauche ich kein VPN um meine Anmeldedaten zu schützen. Einen MiM Angriff wäre zu aufwändig, solange niemand physikalischen Zugriff auf mein Gerät hat.
Der Vergleich mit dem Feind im eigenen Haus ist im Falle des freien Wlans nicht passend. Solange mein Gerät(PC, Notebook, Tablet,Smartphone, You name it) physikalisch sicher ist. ist HTTPS genauso sicher wie VPN, nur nicht so umständlich. Bei SSL Interception hat man hierbei i. d. R. das gleiche Problem. bekommt es aber bei https im Browser schön rot präsentiert. Bei VPN kommt es wiederum drauf an.
Hallo zusammen,
Das hängt auch von der Bibliothek ab; sofern jedoch irgendmöglich liegen die Schnittstellen bei uns mit HTTPS ab.
Also nicht immer verschlüsselt, oder nicht immer über HTTPS, aber immer verschlüsselt. Schweift aber vom Thema ab, das muss man nicht beantworten.
Schöne Restwoche