[Relaunch] 3 TAGE noch - Secure
Ein weiterer kleiner Schritt in die richtige Richtung, damit weiterhin anonym gepostet und unbeschwert, unkontrolliert und nicht dokumentiert die Artikel genossen werden können.
Internetsicherheit ist ein grosser Wunsch.
Zur vollständigen Sicherheit hilft nur:
Besitze keinen Computer.
Schalte keinen ein
und benutze Keinen.
Auf der praktischen Ebene kann Allen klar sein, dass auch bei aller Vorkehr Lücken entstehen und Fehler menschlich sind.
Bedenkt das und benutzt Tor (TheOnionRouter) und andere Hilfsmittel, damit wir in unserer sozialen und emanzipatorischen Arbeit freier die Gegenöffentlichkeit darstellen, die wir sein wollen !
Zur vollständigen Sicherheit hilft nur:
Besitze keinen Computer.
Schalte keinen ein
und benutze Keinen.
Auf der praktischen Ebene kann Allen klar sein, dass auch bei aller Vorkehr Lücken entstehen und Fehler menschlich sind.
Bedenkt das und benutzt Tor (TheOnionRouter) und andere Hilfsmittel, damit wir in unserer sozialen und emanzipatorischen Arbeit freier die Gegenöffentlichkeit darstellen, die wir sein wollen !
Indymedia ist eine Veröffentlichungsplattform, auf der jede und jeder selbstverfasste Berichte publizieren kann. Eine Überprüfung der Inhalte und eine redaktionelle Bearbeitung der Beiträge finden nicht statt. Bei Anregungen und Fragen zu diesem Artikel wenden sie sich bitte direkt an die Verfasserin oder den Verfasser.
(Moderationskriterien von Indymedia Deutschland)
(Moderationskriterien von Indymedia Deutschland)
Ergänzungen
Soll das ein Witz sein
dass ihr ebenfalls analog aus der bisherigen nachlässigkeit eine marketingaktion macht? geschenkt
dass der artikel ein echter witz ist? nach den bisherigen türchen zum relaunch, auch geschenkt
aber was ist mit all den anderen privacy-löchern von drupal? welchen teil der logs werdet ihr nutzen? nutzt ihr ips oder apache-mod-removeip? was ist mit den cookies? äußert ihr euch dazu noch?
Ergänzung
Mit dem neuen System ist es uns auch möglich, verschlüsselt surfen anzubieten.
Das heißt, dass ab jetzt auch per ssl-Verschlüsselung auf de.indymedia.org artikel gelesen werden können.
Der Vorteil ist, dass darüber von außen theoretisch nur noch sichtbar ist, dass ihr mit de.indymedia.org verbunden seid, aber nicht mehr, welche artikel euch interessieren.
Theoretisch deshalb, da es mit gewissem Aufwand schon möglich ist, auch diese Informationen trotz ssl-Verschlüsselung heraus zu finden. Allerdings erfordert dies einen erheblichen Mehraufwand. Wir empfehlen auch beim Surfen das Benutzen von Tor (The Onion Router) oder eines anderen Systems um euren Verkehr im Internet zu verschleiern.
Denkt immer daran: Nur weil wir keine IPs sammeln heißt das nicht, dass dies auch kein anderer auf dem Weg zu uns hin tut.
Wer anonym Veröffentlichen will sollte auf jeden Fall immer sich nicht auf uns verlassen, sondern sich zusätzlich selbst absichern für den Weg bis zu uns. Das Benutzen von Internetcafes kann eine Möglichkeit sein, ist jedoch nicht immer die beste Wahl, wie verschiedene Ereignisse in der Vergangenheit gezeigt haben. Das Benutzen offener WLans ist da schon sicherer.
SSL-Zertifikat:
Wir hatten eine lange Diskussion darüber, ob wir weiterhin selbstsignierte Zertifikate benutzen oder beim Umstieg wieder auf CaCert oder einen kommerziellen Anbieter wechseln.
Hintergrund ist, dass seit dem Streit im britischen IMC-Netzwerk alle CACert-Zertifikate Indymedias zurückgenommen wurden. Das globale
Netzwerk hat es seit dem nicht geschafft, dieses Problem zu lösen und einen Ersatz oder wieder CACert-Zertifikate anzuschaffen.
Da wir Teil des globalen Netzwerkes sind und dies als ein Problem des Netzwerkes sehen, wollen wir das ungern "nur für uns" lösen, sondern
arbeiten an einer gemeinsamen Lösung für alle. Das Benutzen eines kommerziellen Zertifikates bringt mehrere Bauchschmerzen und der sicherheitstechnische Gewinn ist fragwürdig - politisch wäre es ein Einknicken vor Institutionen, denen wir eigentlich den Kampf angesagt haben, da es die Abhängigkeit von Geld und das Ungleichgewicht zwischen Nord- und Südhalbkugel der Welt weiter zementiert.
Daher haben wir uns bisher dagegen entschieden, ähnlich wie Linksunten auf ein kommerzielles Zertifikat zu gehen. Statt dessen werden wir weiterhin ein selbstsigniertes Zertifikat benutzen, bis wir bei diesem Thema zu einer Lösung gekommen wind.
Das Problem zeigt auch gleich auf, was für einen weiten Weg wir noch vor uns haben, wollen wir Indymedia wirklich retten.
Denn das globale Netzwerk, welches gerade in technischen Dingen lange auch auf technische Unterstützung aus Deutschland (von de.indy) und England gesetzt hat, liegt zur Zeit brach. Nicht nur was Übersetzungen angeht. Wir hoffen, dass wir diese Lücken bald wieder schließen können, dazu brauchen wir aber mehr Leute, die Lust haben, langfristig Verantwortung zu übernehmen.
Was die Fragen des Vorposters angeht:
Beim Drupal kommen bei uns dank der Konfiguration mit Varnish und nginx keine (äußeren) IP-Adressen an. Daher kann Drupal auch keine IP's
speichern. Wir wollten uns nicht darauf verlassen, mithilfe von Modulen o.ä. das Drupal zurecht zu basteln - wenn es keine IPs bekommt, kann es auch nix falsch machen. Die Log-Dateien von Varnish und nginx sind dagegen sehr übersichtlich und daher sicher, dass dort keine IPs gespeichert werden.
Cookies haben wir nur benutzt, wo sie nicht vermeidbar sind. Das ist bislang nur bei angemeldetem Surfen so, ansonsten wird nichts in Cookies gespeichert. Leider noch der "has_js"-cookie, der von drupal benutzt wird um zu testen, ob javascript aktiviert ist. Der wird aber nur gesetzt, wenn Javascript aktiviert ist - und wer das hat, sollte eh wissen, was er oder sie tut. Sollte euch auffallen, dass doch irgendwo anders ein Cookie gesetzt wird meldet uns das bitte, dann müssen wir da nachziehen. Drupal setzt leider sehr oft auf Cookies. Vorgabe war, dass es möglichst gar keine Cookies geben soll.
Javascript:
Die neue Seite verwendet für bestimmte Bereiche Javascript. Dies ist notwendig, um bestimmte Funktionen zu implementieren, wie
beispielsweise den HTML-Wysiwyg-Editor (Formatierhilfe beim Erstellen eines Artikels).
Wir sind uns relativ sicher, dass unser Javascript "save" ist. Aber da wir den Code nicht selbst geschrieben, sondern nur überflogen
haben können wir das natürlich nicht komplett garantieren. Wir haben alles unternommen, um ein Cross-Site-Scripting über unsere
Seite zu unterbinden, aber Technik kann auch mal streiken.
Da wir um all diese Probleme wissen, haben wir Javascript nur so eingebaut, dass es zusätzlich benutzt werden kann, aber nicht notwendig ist für elementare Funktionen. Ihr könnt also auch ohne Javascript Artikel schreiben und auch mit html formatieren - lediglich der wysiwyg-editor steht euch dann nicht zur Verfügung. (Und auch andere nette Kleinigkeiten.)
Noch was zur Abschätzigkeit des Kommentars des Vorposters:
indymedia lebt davon, dass sich leute daran beteiligen. Diese Beteiligung ging dramatisch zurück in den letzten Jahren. Gerade das Anbieten von Surfen über https ist keine triviale Geschichte gewesen, sondern kompliziert. Zu kompliziert, um es im alten System umzusetzen. Auch der Umstieg auf ein neues System ist keine einfache Sache, sondern erfordert viel Arbeit. Unsere Serverinfrastruktur neu hochziehen, mit neuer Software zu versorgen und gleichzeitig noch globale Dienste, die über unsere Infrastruktur laufen nicht zu gefährden war ein Drahtseilakt, den wir hoffentlich so weit jetzt abgeschlossen haben. Das du uns mit großen Konzernen gleich setzt ehrt zwar irgendwo, andererseits zeigt es auch ein großes Missverständnis auf: Wir arbeiten alle ohne Geld in unserer Freizeit an dieser Seite. Wir können nicht mal eben einfach ein paar Leute beschäftigen, die sich dann damit für uns auseinander setzen und auch ein kommerzielles Zertifikat etc. bezahlen.
Oder einfach einen zusätzlichen neuen Rechner aufziehen und die alten einfach weiter laufen lassen.
Du klingst, als ob du von Sicherheitslöchern in Drupal Bescheid weißt - warum meldest du dich nicht bei uns und hilfst uns, diese zu stopfen schon bevor wir online gehen? Wir lernen das gerade alles erst.
immer die selben Typen
Auf nen neuen guten Start Indymedia!!!