ePartool: Mindestvoraussetzungen aktualisiert (PHP 7.1, MySQL 5.7, Verschlüsselung)

In wenigen Tagen erscheint das ePartool mit Unterstützung von regionalen Beteiligungsrunden (Landkarten-Funktionen) sowie Neuerungen bei den Abstimmungsmöglichkeiten (verschiedene Designs und Ja/Nein-Abstimmungen). Diese weitreichenden Änderungen haben wir zum Anlass genommen, die Mindestvoraussetzungen an das ePartool zu aktualisieren.

Wir empfehlen serverseitig den Umstieg auf PHP 7.1, das im Dezember 2016 erschienen ist. PHP 7.0 wird offiziell vom Hersteller noch bis Dezember 2018 gepflegt, jedoch werden wir das ePartool nur noch auf mindestens PHP 7.1 testen. Auch hinsichtlich der Datenbank empfehlen wir euch eine Aktualisierung. Der MySQL-Server 5.7 erschien bereits im Oktober 2015 – auch hier werden wir ältere Versionen nicht mehr in Tests berücksichtigen.

Zu guter Letzt gibt es nun eine verpflichtende Mindestanforderung an das ePartool: Die Übertragungsverschlüsselung (https) ist Voraussetzung für das Funktionieren der Landkarten-Funktionen. Hierfür wird ein sogenanntes SSL-Zertifikat benötigt, was allerdings bei Installationen der letzten Jahre auch schon längst üblich gewesen sein sollte: Ihr schützt doch sicherlich die Daten und Passwörter eurer Nutzer_innen, nicht?

Bei Fragen zu den Umstellungen helfen wir euch gerne weiter.

Verschlüsselung – ja oder nein?

Bei der Entwicklung des ePartool legen wir Wert darauf, dass unser Tool möglichst geringe Ansprüche an einen Server legt, damit es möglichst viele Interessierte bei sich einsetzen können. Nach einigen Überlegungen haben wir uns dazu entschlossen, dass die Nutzung auch über eine unverschlüsselte HTTP-Verbindung möglich gemacht werden kann. Eure Nutzer_innen können in ihrer Browser-Adressleiste selbst nachvollziehen, ob die Verbindung mit HTTP oder HTTPS besteht, und sich dann ggf. bewusst für oder gegen eine Nutzung entscheiden..

Wenn das Tool aber in Zusammenarbeit mit uns installiert wird, setzen wir zumindest bei der Installation einen gesicherten (S)FTP-Zugang voraus. Er verhindert, dass Administrator_innen Zugangspasswörter, Datenbankpasswörter und personenbezogenen Daten offen durchs Netz leiten. Mittlerweile sollten selbst kleinste Webhosting-Pakete diese SecureFTP-Verschlüsselung (SFTP) an.

Wir wollen, dass eure Nutzer_innen auf die Datensicherheit vertrauen können. Partizipation ist eine Vertrauensfrage. Eine Installation auf Servern ohne Verschlüsselungszertifikat ist zwar möglich, wird aber von uns nicht empfohlen. Denn alle Tätigkeiten rund um die Installation gehen dann im Klartext durchs Internet. Das bedeutet, durch schlichte Bots können sie abgefangen werden, der Web-Server kann sogar ohne tatsächlichen Einbruch gehackt, kopiert, verändert oder gelöscht werden.

Der DBJR hat im Sinne junger Menschen den Anspruch, dass sensibel mit Daten anderer umgegangen wird. Die Verschlüsselung ist ein wichtiger Baustein dazu. Wer das ePartool nutzt, sollte deswegen die Daten der Nutzenden vor fremden Zugriff schützen.