|
|
Webportal von Studenten für Studenten
|
|
|
 15 Nov 2007, 20:55
|
der christian 
Punkte: 1119
seit: 01.10.2003
|
So rein datenschutztechnisch sicher nicht unkritisch...
Was macht das Projekt so sicher? Ich meine mal: Gibts https? Wie schuetzt man sich vor URL/Cookie-Manipulationen oder SQL-Injections oder vergleichbaren Sachen...?
Oder anders gefragt: Wer sollte so daemlich sein, in Zeiten, in denen selbst die Polizei mal "aus Versehen" persoenliche Daten online stellt, einer WILDFREMDEN Person, die nicht eben mit einem Sicherheitskonzept prozt, Telefonrechnungsdaten und ähnliche persönliche Daten zu offenbaren?!
Klingt fuer mich eher danach, als wenn eine "gute Idee" relativ schlecht oder zumindest nur halbherzig umgesetzt worden ist. Als Offline-Applikation, die man kaufen kann, waere das sicher eine sinnvolle Sache, aber so...?
|
|
|
|
|
|
|
15 Nov 2007, 21:40
|
1. Schein
Punkte: 23
seit: 17.04.2006
|
Sehr schön! Endlich stellt mal jemand die richtigen Fragen.
Zu den technischen Dingen:
1. HTTPS: Gibt es im Moment leider nicht. Das hat einfach den Grund, dass die Seite kostenlos ist und wir uns kein Verisign (o.ä.) Zertifikat leisten können. Ein selbst ausgestelltes Zertifikat würde auch gehen, aber das führt beim Otto-Normal-Benutzer zu Verunsicherung ("Hä wassn das fürn Fenster?"). Ich denke aber wir werden es zumindest als Option (Einloggen mit SSL) in Zukunft anbieten.
2. URL/Cookie-Manipulation: Ganz richtig, wer beim Login "Auf diesem Rechner merken" anklickt läuft Gefahr, dass das Cookie gestohlen wird und ein anderer sich einloggt. Wer sich hiervor schützen will, darf dieses Feature nicht nutzen. URLs mit Benutzerspezifischen Daten drin, gibt es nur an einer Stelle, nämlich in den Mails zum Bestätigen von Ausgaben. Kann ein Angreifer so eine Mail abfangen oder mitlesen, so kann er sich auch gleich ein neues Passwort schicken lassen und so den Account des Benutzers übernehmen. Dagegen würde nur eine Verschlüsselung der Mail helfen und dazu müsste man entweder seinen öffentlichen PGP Schlüssel mit angeben oder in einem Verzeichnis nachschlagen. Geht technisch alles, aber ist sehr viel Aufwand für die wenigen Nutzer, die das wollen. Wenn sich allerdings mehr Nutzer dafür aussprechen, rüsten wir auch das nach.
3. SQL-Injections: Der gesamte Sourcecode der Anwendung wird bei jedem Build daraufhin überprüft, dass er nur PreparedStatements benutzt. Meines Wissens nach sind damit keine SQL Injections mehr möglich.
4. Warum keine Offline-Applikation? Weil uns der Komfort der verteilten Nutzung und des Zugriff von beliebigen Orten wichtiger war, als die Bedenken bzgl. der Datensicherheit. Wir sind uns der Probleme sehr wohl bewusst, aber immer an einen Rechner eines Mitbewohners zu gehen nervt auf die Dauer.
Fazit: Wir sorgen uns sehr wohl um die Daten unserer Nutzer und beantworten auch gerne mehr Fragen zum Thema Datensicherheit. Letztendlich muss jeder selbst entscheiden, ob er die genannten Risiken eingehen will oder nicht. Wir freuen uns, dass diese Diskussion hier geführt werden kann, damit alle Interessenten wissen, wo die Probleme liegen.
Danke also für die Hinweise und Fragen...
Dieser Beitrag wurde von cive: 16 Nov 2007, 00:06 bearbeitet
|
|
|
|
|
|
|
16 Nov 2007, 11:49
|
Neuling
Punkte: 1
seit: 27.10.2004
|
Sagt was ihr wollt, ich hab mich grad mal angemeldet und mir gefällts ziemlich gut.
|
|
|
|
|
|
|
16 Nov 2007, 12:05
|
28.08.
Punkte: 1914
seit: 28.10.2003
|
Zitat(aktsizr @ 16 Nov 2007, 11:02) ... Wir-sind-alle-Materialistenspacken-und-WG-Nazis Tool?  hehe also so richtig versteh ich den sinn der sache auch nicht was soll das bringen wenn ich jeden scheiss den ich ausgegeben hab fein säuberlich irgendwo eintrage? könnt ihr nicht miteinander reden wer was wofür bezahlt hat? warum sollt ich mich jedesmal irgendwo einloggen bloß weil ich kackpappe gekauft hab  das hält sich doch eigentlich alles irgendwie auch so die waage mhh grad erst den namen der domain dazu gelesen.. das erklärt alles Dieser Beitrag wurde von Onkel Possi: 16 Nov 2007, 12:07 bearbeitet
--------------------
|
|
|
|
|
|
|
16 Nov 2007, 15:01
|
alleingelassen.
Punkte: 9584
seit: 22.10.2004
|
*Hehe, na wenn man euch kennt, steigert es das Vertrauen schon erheblich: Ich habe wenig Bedenken gegen die Betreiber, und das will was heißen ^^ zu 1. HTTPS: Zumindest ein Zertifikat von CAcert kann ich euch ausstellen, das wird ja vielleicht doch irgendwann mal in die Browser mit eingebaut. Die SSL-Option mit anzubieten (wenn auch nicht per default), halte ich für eminent wichtig. #abd
--------------------
..:: Wir sind gekommen Dunkelheit zu vertreiben, in unseren Händen Licht und Feuer ::..
|
|
|
|
|
|
|
17 Nov 2007, 16:34
|
1. Schein
Punkte: 23
seit: 17.04.2006
|
Danke, das ist eine gute Idee. Ich lese mir den Bugreport mal durch (das ist ja unheimlich viel) und komme dann nochmal direkt auf dich zu. Ich wusste gar nicht, dass es so eine Initiative gibt. Und es ist gut zu wissen, dass SSL doch für so stark gewünscht wird. Das für das konstruktive Feedback. Ich melde mich hier nochmal, wenn das SSL Feature zur Verfügung steht. Zitat(abadd0n @ 16 Nov 2007, 14:01) zu 1. HTTPS: Zumindest ein Zertifikat von CAcert kann ich euch ausstellen, das wird ja vielleicht doch irgendwann mal in die Browser mit eingebaut. Die SSL-Option mit anzubieten (wenn auch nicht per default), halte ich für eminent wichtig. #abd |
|
|
|
|
|
|
17 Nov 2007, 17:04
|
~PAPA~
Punkte: 1492
seit: 11.04.2006
|
Zitat(cive @ 17 Nov 2007, 15:34) Danke, das ist eine gute Idee. Ich lese mir den Bugreport mal durch (das ist ja unheimlich viel) und komme dann nochmal direkt auf dich zu. Ich wusste gar nicht, dass es so eine Initiative gibt. Und es ist gut zu wissen, dass SSL doch für so stark gewünscht wird. Das für das konstruktive Feedback. Ich melde mich hier nochmal, wenn das SSL Feature zur Verfügung steht. Nun ja, SSL wird ja u.a. deshalb von vielen (meist nur im Login-Bereich) optional angeboten, weil es einen nicht zu unterschätzenden Mehraufwand an Rechenleistung benötigt, das sollte man nicht zu üppig einsetzen. Datenschutz hin oder her, man muss diesen Dienst ja nicht personalisiert benutzen - oder doch? Zumal die Inhalte nicht wirklich grade einer Geheimhaltungsstufe unterliegen. Ich meine, wer sein Klopapier mit EC-Karte bezahlt und die Kassenbons zerknüllt dem Müll anvertraut, sollte sich hier nicht aufregen. Eine Frage die sich mir bei solchen Projekten immer stellt: * Wenn es kostenlos und gemeinnützig ist, warum kann ich es mir nicht auch runterladen und auf eigenem Webspace selbst installieren?denn: * Wie sicher ist die Dauerhaftigkeit dieses kostenlosen Services? Prinzipiell find ich diese Idee und die grundlegende Umsetzung (laut Videos) gut.
--------------------
Ich spreche fließend ironisch.
Viele Leute kommen mit meinem Humor einfach nicht klar.
Jule: Mit dir hab ich echt ma ein glückliches händchn gehabt :D
|
|
|
|
|
|
|
19 Nov 2007, 18:31
|
1. Schein
Punkte: 23
seit: 17.04.2006
|
Zitat(mArVinTheRobot @ 17 Nov 2007, 16:04) Datenschutz hin oder her, man muss diesen Dienst ja nicht personalisiert benutzen - oder doch? Zumal die Inhalte nicht wirklich grade einer Geheimhaltungsstufe unterliegen. Ich meine, wer sein Klopapier mit EC-Karte bezahlt und die Kassenbons zerknüllt dem Müll anvertraut, sollte sich hier nicht aufregen. Absolut korrekt. Man kann sich einfach einen Namen ausdenken. Alles was man braucht, ist eine gültige E-Mail-Adresse und die kann man ja bei einem Freemailer anlegen. Zitat(mArVinTheRobot @ 17 Nov 2007, 16:04) Eine Frage die sich mir bei solchen Projekten immer stellt:
* Wenn es kostenlos und gemeinnützig ist, warum kann ich es mir nicht auch runterladen und auf eigenem Webspace selbst installieren?
denn:
Da die Webanwendung in Java geschrieben ist und einen Tomcat o.ä. braucht, reicht kein "billiger" Webspace. Ein Virtual Private Server wäre das Minimum, d.h. Kosten von 15 € pro Monat aufwärts. Diese Kosten wird kaum jemand auf sich nehmen, der den Service nur allein nutzt. Sowas lohnt sich nur, wenn man damit Geld verdient und ob ich Dritten, die sowas vorhaben, die Anwendung in die Hand geben will, bin ich mir noch nicht sicher. Zitat(mArVinTheRobot @ 17 Nov 2007, 16:04) * Wie sicher ist die Dauerhaftigkeit dieses kostenlosen Services?
Tja, gute Frage. Versprechen kann man da schwer machen. Den Service gibt es ungefähr seit 2003, d.h. die letzten 4 Jahre hat er durchgehalten. Und wenn es beruhigt: Mein Geld wird auch damit verwaltet Zitat(mArVinTheRobot @ 17 Nov 2007, 16:04) Prinzipiell find ich diese Idee und die grundlegende Umsetzung (laut Videos) gut. Danke! |
|
|
|
|
|
flecks |
22 Sep 2010, 11:21
|
Abgemeldet
|
Hallo! Es gibt eine Online-WG-Verwaltung mit Abrechungssystem, Statusmeldungen, Einkaufslisten, Putzplan und Kochplan (...). Ihr findet die Seite unter http://roomiepla.net |
|
|
|
|
|
|
07 Mar 2011, 21:33
|
Ex-Außenminister
Punkte: 3861
seit: 27.01.2005
|
Zitat(flecks @ 22 Sep 2010, 10:21) Hallo! Es gibt eine Online-WG-Verwaltung mit Abrechungssystem, Statusmeldungen, Einkaufslisten, Putzplan und Kochplan (...). Ihr findet die Seite unter http://roomiepla.netHat sich da denn mal jemand angemeldet? Ich traue mich nicht - Aber das Video ist cool gemacht! Update: Bin nun angemeldet  Dieser Beitrag wurde von Padex: 07 Mar 2011, 21:44 bearbeitet
--------------------
|
|
|
|
1 Nutzer liest/lesen dieses Thema (1 Gäste)
0 Mitglieder:
|
Antworten
Neues Thema
