Schlagwort-Archive: Sicherheit

Frühjahrsputz: Auch das ePartool muss ausgemistet werden

Veröffentlicht am von
Antworten
Frühjahrsputz

Clean brush trash by Menosmedia/OpenClipart.org

Das ePartool ist über fünf Jahre gewachsen und hat sich dabei stark gewandelt: Von einem ganz einfachen „Beiträge-Sammel-Hilfsmittel” hin zu einem umfangreichen Werkzeug, das ganze Beteiligungsrunden von der Infophase bis hin zu Reaktionen und Wirkungen abbilden kann. Mehr als 20 verschiedene Entwickler_innen in Berlin, Hannover, Dresden, Leipzig und Prag waren in unterschiedlichen Phasen an der Umsetzung beteiligt.
So eine gewachsene Zusammenarbeit hinterlässt ihre Spuren. Reste von nicht mehr benutztem Programmcode und Datenbankfeldern, deren Aufgaben mittlerweile anders verwaltet werden, sind auch im ePartool vorhanden. Datenmüll behindert jedoch die Weiterentwicklung, weil er wie realer Müll „im Weg herumliegt“ und zudem Sicherheits- und Funktionsprobleme erwachsen können, da niemand mehr auf die Integrität der Code-Reste achtet.
In den letzten Wochen haben wir uns intensiv mit dem Programmcode und den Datenbanken auseinandergesetzt und sie gründlich entschlackt. Das wirkt sich nicht nur positiv auch auf die Größe des Installers aus, sondern erleichtert das Weiterentwickeln des ePartools in den kommenden Monaten!

Fehler und bekannte Probleme

Veröffentlicht am von
Antworten

Softwareprojekte in der Größe des ePartools werden von zahlreichen Entwickler_innen mitgestaltet. Da lässt es sich leider nicht vermeiden, dass sich immer wieder kleinere und größere Fehler in die Programmierung und Gestaltung einschleichen. Neben einfachen Programmierfehlern sind aber auch unterschiedliche Server, die große Vielfalt von Endgeräten und Browsern, Absprachen zwischen Entwickler_innen und nicht zuletzt die „Durchdachtheit“ der Konzeption oftmals die Quelle von unvorhergesehenen Situationen.
Kleinere Fehler fallen oft kaum auf oder können schnell behoben werden. Wenn es jedoch um komplexere Fragen geht, ist eine größere Vorarbeit notwendig: Die Fehlerquelle muss ermittelt und eingegrenzt werden, eine Lösung gefunden, erstellt, getestet und schlussendlich installiert werden.

Um folgende größere Probleme wollen wir uns in den nächsten Wochen und Monaten kümmern:

  • Beiträge von Teilnehmenden, die ihr Beitragen ohne Beenden verlassen, erscheinen nicht im Backend für Admins und sind somit verloren.
  • Diskussionen können derzeit nur mit dem Realnamen geführt werden. Ein Nickname ist noch nicht möglich.
  • Bei Abstimmungen können Gruppenmitglieder das Abstimmverhalten von ihren Kolleg_innen während des Abstimmungszeitraums einsehen, wenn sie wissen über welche E-Mail-Adresse diese abgestimmt haben. Allerdings erhalten die Kolleg_innen eine automatische E-Mail-Benachrichtigung, so dass Veränderungen auffallen.
  • Die Oberfläche zur redaktionellen Vorbereitung „vergisst“ gesetzte Filter, so dass man deutlich mehr Klicks benötigt als eigentlich wünschenswert.
  • Zusammengefügte Beiträge können nachträglich nicht mehr aufgeteilt werden. Ebenso können nachträglich keine weiteren (3., 4. usw.) Beiträge zu einer Vereinigung von Beiträgen hinzugefügt werden.
  • Die Verknüpfung von Originalbeiträgen zu Follow-up-Dokumenten kann bei weiteren Schritten falschherum eingetragen sein.

Updates 29.03.2016/17.05.2016: Bekannte Fehler sind zum Teil behoben und entsprechend oben durchgestrichen.

Zeit für eine Aktualisierung: technische Anforderungen an das ePartool

Veröffentlicht am von
Antworten

Ähnlich wie vor einem Jahr aktualisieren wir die Minimalanforderungen für den Betrieb des ePartool. Nachdem PHP 5.4 kurz vor dem Ende seiner Lebenszeit steht, wird das Tool künftig nur noch für PHP 5.5 oder neuer entwickelt. Wir empfehlen euch allerdings, gleich mit PHP 5.6 loszulegen.
Als Datenbank setzen wir künftig mindestens MySQL 5.5 voraus, das immerhin schon im Jahr 2010 veröffentlicht wurde.
Für reguläre Nutzer_innen des Tools ändert sich nichts – hier empfehlen wir natürlich dennoch einen aktuellen Browser :-).

Verschlüsselung – ja oder nein?

Veröffentlicht am von
Antworten

Bei der Entwicklung des ePartool legen wir Wert darauf, dass unser Tool möglichst geringe Ansprüche an einen Server legt, damit es möglichst viele Interessierte bei sich einsetzen können. Nach einigen Überlegungen haben wir uns dazu entschlossen, dass die Nutzung auch über eine unverschlüsselte HTTP-Verbindung möglich gemacht werden kann. Eure Nutzer_innen können in ihrer Browser-Adressleiste selbst nachvollziehen, ob die Verbindung mit HTTP oder HTTPS besteht, und sich dann ggf. bewusst für oder gegen eine Nutzung entscheiden..

Wenn das Tool aber in Zusammenarbeit mit uns installiert wird, setzen wir zumindest bei der Installation einen gesicherten (S)FTP-Zugang voraus. Er verhindert, dass Administrator_innen Zugangspasswörter, Datenbankpasswörter und personenbezogenen Daten offen durchs Netz leiten. Mittlerweile sollten selbst kleinste Webhosting-Pakete diese SecureFTP-Verschlüsselung (SFTP) an.

Wir wollen, dass eure Nutzer_innen auf die Datensicherheit vertrauen können. Partizipation ist eine Vertrauensfrage. Eine Installation auf Servern ohne Verschlüsselungszertifikat ist zwar möglich, wird aber von uns nicht empfohlen. Denn alle Tätigkeiten rund um die Installation gehen dann im Klartext durchs Internet. Das bedeutet, durch schlichte Bots können sie abgefangen werden, der Web-Server kann sogar ohne tatsächlichen Einbruch gehackt, kopiert, verändert oder gelöscht werden.

Der DBJR hat im Sinne junger Menschen den Anspruch, dass sensibel mit Daten anderer umgegangen wird. Die Verschlüsselung ist ein wichtiger Baustein dazu. Wer das ePartool nutzt, sollte deswegen die Daten der Nutzenden vor fremden Zugriff schützen.

“End of Life” für PHP 5.3

Veröffentlicht am von
Antworten

Vergangene Woche wurde das voraussichtlich letzte Sicherheitsupdate für PHP 5.3 veröffentlicht. Wir haben uns dazu entschlossen, zur Installation des ePartools künftig PHP 5.4 (oder besser PHP 5.5) vorauszusetzen. Das bringt für uns und euch auch Vorteile: Das 2012 erschienene PHP 5.4 schafft endlich die fehleranfälligen „Magic Quotes“ ab und erleichtert dem Programmierteam die Arbeit durch einige neue Möglichkeiten.