leyrers online pamphlet

Weder Fisch noch Fleisch

Die „Plattform” fisch+fleisch beschreibt sich selbst wie folgt:

fischundfleisch (f+f) ist eine interaktive Meinungsplattform und Casting-Bühne, wo jeder Leser Texte, Fotos, Zeichnungen, Videos und Hörproben online stellen kann.

Wir wollen sehr viel! Wir wollen verändern, aufrütteln, aufdecken, mutig sein, schnell sein, frech sein, stark sein, Neues schaffen, vernetzen, unterhalten, eine Community bilden und Spaß haben.

Mutig ist das Team von f+f auf jeden Fall. So gibt es weder für die Registrierung der User – die notwendig ist, um Kommentieren zu können und die nach Geburtsdatum und anderen persönlichen Daten fragt – noch auf der Administrationsseite des verwendeten Redaktionssystems Joomla 3 eine zeitgemäße TLS (früher: SSL) Verschlüsselung.
[Anm. 2014-12-01: Die URL wurde mittlerweile geändert, TLS gibts aber noch immer keins]

Nicht nur, dass laut § 14 DSG 2000 sicherzustellen ist, dass „die Daten Unbefugten nicht zugänglich sind”, sollte es gerade für das aus dem Journalsimus-Bereich kommenden Team von f+f in der post-Snowden Ära selbstverständlich sein, dass alle Daten nur verschlüsselt übertragen werden und nicht wie derzeit bei f+f unverschlüsselt im Klartext für alle zum Mitlesen.

Warum man zumindest die Registrierung und Anmeldung mit TLS absichern will, habe ich bereits (sogar mit Video) unter „Wie man WordPress unsicher installiert” und „Wordpress unsicher betreiben” geblogged. Das dort geschriebene ist 1:1 auch auf Joomla anwendbar.

tl;dr: Wenn keine TLS-basierte Verschlüsselung (das nette Schloß oben in der Adresszeile des Browsers) aktiviert ist, werden Dein Passwort, Geburtsdatum und alle anderen Daten, die Du im Browser eintippst unverschlüsselt zum Server von f+f übertragen. Auf dem Weg dazwischen (z.B. in WLAN vom Starbucks) kann jede Person diese Daten abgreifen.

Neben den „Top-Journalisten” hätte sich das Team rund um Silvia Jelincic (früher „Format”) auch einen Top-IT-Fuzzi leisten sollen, um zumindest ein gewisses Mindestmaß an IT-Sicherheit bei der Verarbeitung der personenbezogenen Daten sicherzustellen. Hier hätte es sich IMHO ausgezahlt, eines der Honorare, die für die prominenten Experten ausgegeben wurden, in eine nicht prominente, dafür aber kompetente IT-Fachperson zu investieren. In einer Stunde hätte diese Person bereits TLS halbwegs sauber hinstellen können (und ein TLS-Zertifikat gibts von StartSSL auch schon ab EUR 0,–).

Was mich auch sehr verwundert hat ist, dass dieses Sicherheitsproblem offensichtlich keine(r) der von f+f verpflichteten IT-ExpertInnen aufgefallen ist bzw. diese gestört hätte.
Neben IT-Journalismus Urgestein Helmut Spudich (jetzt T-Mobile, IIRC) und Social Media Queen Judith Denkmayr (digitalaffairs) finden sich hier auch Markus Höfinger (CEO und Gesellschafter Österreich der PXP Wundermann) sowie Oliver Holle (Founder of SpeedinvestIT) und Wieland Alge (IT Security veteran. Politischer Neuling als Neos Kandidat in Tirol.).
Also zumindest bei Hr. Höfinger und Hr. Alge hätte ich mir erwartet, dass die Alarmglocken schrillen.

Also nochmal in aller Deutlichkeit:

  1. Wer 2014 oder später eine neue Website/Projekt/Internetseite/… online stellt und nicht zumindest bei der Anmeldung/Registrierung zeitgemäße Verschlüsselung einsetzt, die dem gängigen Stand der Technik entspricht, handelt grob fahrlässig und kann froh sein, dass derartige Vergehen in Österreich von der zahnlosen Datenschutzbehörde nicht geahndet werden.
  2. „Kein Budget” ist keine Ausrede/Erklärung für das Weglassen der oben erwähnten Verschlüsselung. Die Server-Konfiguration macht ein erfahrener Admin/Consultant vermutlich in unter einer Stunde, die Zertifikate kann man selber rechnen oder z.B. von StartSSL kostenlos beziehen.
  3. Und wenn ihr Euch schon die TLS Verschlüsselung anseht, denkt auch mal drüber nach, ob die persönlichen Daten (Geburtsdatum, …) in der Datenbank hinter dem Joomla-Frontend auch ausrechend geschützt (also verschlüsselt) abgelegt wurden.

 

P.S.: Zur vorläufigen Ehrenrettung von f+f muss man erwähnen, dass die von Woman kommende „fischundfleisch-Social-Media-Queen” auf Twitter recht schnell reagiert hat und vom aktuellen Dienstleister zumindest mal die Joomla-Admin-URL ändern ließ. Mal schaun, wie schnell sie TLS implementieren (normalerweise dauert das max. eine Stunde).

Tagged as: , , , | Author:
[Sonntag, 20141130, 21:09 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Search

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, domino, Domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, EU, eu, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, lotus, Lotus, lotus notes, Lotus Notes, LotusNotes, lotusnotes, lotusphere, Lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, vim, Vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, Wunschzettel, wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

Blogroll

AFK Readinglist