[Freifunk-Bonn] Sicherheit der Mailingliste

[hermesfreifunk at mailbox.org]

Am 03.12.2015 um 08:27 schrieb Jochim Selzer:
> Tatsächlich ist es wohl
> wahrscheinlicher, dass der Betreffende einfach keine Lust hatte, ein
> neues Zertifikat zu bestellen und einfach das hatte, welches er
> ohnehin schon besaß. Es geht ja um nichts.
> 
> Der letzte Satz ist das Entscheidende: Es geht ja um nichts. Welcher
> Schaden entsteht maximal, wenn jemand lists.kbu.freifunk.net fälscht?
> Er könnte Nutzernamen und Passwörter von Mailinglistenteilnehmern
> herausfinden. Schlimmstenfalls könnte er den Datenstrom
> manipulieren, so dass ich einen anderen Text angezeigt bekomme, als
> im Mailarchiv eigentlich steht. Ich gehöre nun schon wirklich zu den
> Datenschutzparanoikern, aber selbst ich kann in diesen Szenarien
> weder eine besondere Gefahr sehen, noch halte ich sie für sonderlich
> wahrscheinlich.

Ich sehe die Gefahr da etwas anders. Du und ich nutzen natürlich überall
unterschiedliche Passworte, um Kreuzkontamination zu verhindern wenn ein
Service hops geht.
Die allergrößte Mehrheit aller Endanwender hat aber nur 1-2 Passworte,
die sie teils leicht verändert für alle Online-Konten nutzt.
Und da wir ja schon die E-Mailadresse haben (auch da nutzen Nicht-Nerds
eben ihre normale anstatt diverse für verschiedene Zwecke anzulegen),
ist der Verlust des Passworts schon eine ziemliche Katastrophe.

Über die gleiche E-Mailadresse dürften auch die
Passwort-zurücksetzen-Funktionen der allermeisten Foren, Serviceportale
und teilweise Banken laufen.

Da nimmt das Ganze dann deutlich andere Ausmaße an.

Außerdem setzen wir das gleiche schlechte Vorbild wie Microsoft, indem
wir Nutzer dazu erziehen selbst Fehlermeldungen bei Sicherheitsfragen
wegzuklicken. Das führt dazu, dass Social Engineering noch viel
einfacher wird.

Und ich finde das ist einfach keine Art mit seinen nicht ganz so
IT-bewanderten Gästen umzugehen, die sich hier auf der Mailingliste
vielleicht nur informieren wollen, wie sie den Wartenden an der
Haltestelle vor ihrer Haustür ein freies Netz verschaffen können.

Entweder müssten wir also massiv davor warnen, für die Registrierung ein
bereits woanders genutztes Passwort wiederzuverwenden, oder wir müssten
es einfach beheben.

Das ist auch gar kein Angriff auf die Leute, die ihre Freizeit damit
verbringen, im Hintergrund die Infrastruktur am Laufen zu halten.
Im Gegenteil, man kann ja auch nicht erwarten, dass die mal eben ~100€
im Jahr raushauen für angesehene Zertifikate, die für alle Subdomains
genutzt werden können.
Bis zum Start von Let's Encrypt gabs nur zwei bis drei leicht bis
ziemlich fragwürdige Stellen, die gratis Zertifikate verteilt haben. Und
der Prozess diese zu bekommen und regelmäßig erneuern zu lassen war
irgendwo "zwischen machbar aber aufwendig" und "nervtötend".

Von daher kann ich die andere Seite genau so nachvollziehen. Aber bei
der Einschätzung, ob es gemacht werden sollte sobald es problemloser
möglich ist, sehe ich schon eine gewisse Dringlichkeit.

Ich würde dabei bei Bedarf natürlich auch helfen, wobei es mit Let's
Encrypt wirklich nur noch das Ausführen des entsprechenden Tools ist.

Viele Grüße

Hermes