https für Adhocracy
HTTPS sollte mindestens möglich, wenn nicht sogar Standard sein.
HTTPS sollte mindestens möglich, wenn nicht sogar Standard sein.
Der Wunsch nach Ausweispflicht ist eine Einzelmeinung eines Enquête-Mitgliedes; und das hier ist auch noch im Beta-Stadium.
Nichtsdestotrotz halte ich die Forderung nach HTTPS für richtig!
Update: und ich denke, dass dies auch demnächst nachgerüstet wird. Aber eins nach dem anderen.
sie und "sie"
Hallo thevoid,
bitte unterscheide in dem Kontext zwischen den Mitgliedern der Enquete (die teilweise und manchmal Ausweispflicht fordern) und uns, also dem Liquid Democracy-Verein. Dein Einwand zu HTTPS ist vollkommen berechtigt, aber war bei einer Vorbereitungsphase von zwei Tagen und mit einem Budget von 0 Euro von der Liste geplumpst. Verspreche aber, dass wir das bald nachrüsten :-)
Lg, Friedrich
Bei allen SSL Zertifikatanbietern gibt es ein kostenloses Probezertifikat für die ersten 30 Tage. Sollte es am Geld hapern, dann bin ich gerne bereit die 20 € für das SSL Zertifikat zu spenden.
Mit einem selbstsignierten Zertifikat oder einem kostenlosen von CACert http://www.cacert.org/ zu starten ist das Mindeste. Es ist unverantwortlich und unprofessionell heutzutage eine solche Webseite ohne Verschlüsselung aufzusetzen.
Der Deutsche Bundestag kann selbst SSL-Zertifikate ausstellen. Seinem CA-Zertifikat wird von allen Browsern und Betriebssystemen vertraut (siehe http://www.bundestag.de/bundestag/abgeordnete17/emailzertifikat/index.html). Kosten sollten also wirklich nicht das Problem sein.
Sollte die Enquete von der Bundestags-CA kein Zertifikat bekommen ist eine andere Option ein kostenloses Zertifikat von StartSSL. StartSSL ist (im Gegensatz zu CAcert) eine von allen Browsern und Betriebssystemen als vertrauenswürdig eingestufte Zertifizierungsstelle, sodass dem Benutzer keine verwirrenden Zertifikatwarnungen wie bei der Verwendung von selbstsignierten oder CAcert-Zertifikaten angezeigt werden.
Bei der Bestellung und Einrichtung eines SSL-Zertifikats bin ich nötigenfalls gerne behilflich, die Administratoren können mich hierzu per E-Mail kontaktieren.
Mit freundlichen Grüßen tg
Laut Deutscher Bundestag Zertifikate: "Der Deutsche Bundestag stattet Abgeordnete, Verwaltungsmitarbeiter und Fraktionen mit Zertifikaten zur Signatur (digitale Unterschrift) und zur Verschlüsselung von E-Mails aus." Ich lese da leider nichts von allgemeinen SSL-Zertifikaten für Webseiten.
Zu einem anderen Thema - den Zertifikaten von unseren MdBs mache ich mal einen neuen Punkt auf.
Rufen Sie mal die Website des Deutschen Bundestags über HTTPS auf. Aussteller der Zertifikats ist - Überraschung - die Bundestags-CA. Die können also auch SSL-Zertifikate, wenn sie wollen ;-)
Ich weiß, bei der Seite zu den ePetitionen funktioniert das ja auch - und zumindest seit 2009 ;)
Schlimm genug, dass nicht mal die Anmeldedaten bzw. die Anmeldung verschlüsselt werden.
Da andererseits schon PostIdent gefordert wurde, könnte dann Identitätsdiebstahl recht leicht durchgeführt werden - vorausgesetzt "man" hat die Abhörmöglichkeit am Netzwerk. Ich bin wie üblich froh, dass ich für jede Webseite unterschiedliche Passwörter und Zugangsdaten (Email/Name) verwende. Da wäre eine Klarnamen-Pflicht mit PostIdent und der nicht verschlüsselten Übertragung von Passwörtern schon ein bisschen von Nachteil.
Sehr gut, für https wurde gesorgt. Dankeschön.
Zusammenfassung und Kompromiss bzw. vorgeschlagene Vorgehensweise
Wir sollten bei der Diskussion stets im Hinterkopf behalten, dass es sich hierbei um eine Betaversion handelt, welche, wie Friedrich Lindenberg mitteilt, in ungefähr zwei Tagen vor wenigen Tagen aufgesetzt wurde. Das System selber wird, so wage ich es zu behaupten, gegenwärtig primär von Vertretern der Liquid Democracy Bewegung und von Leuten aus der IT bzw IT vertrauten verwendet. Es würde mich freuen, wenn sie meinen Beitrag lesen und anschließend ihre Meinung zu den Kompromissvorschlägen kundtun würden.
Als Argumente gegen HTTPS wurden Preis, technische Umsetzung und Notwendigkeit angeführt.
Wie joergbuehmann klarstellte, kosten (nicht Root zertifizierte) SSL Zertifikate ~20 Euro. Er stellte diese 20 Euro in aussicht, sollten sie zur Umsetzung benötigt werden. Ein nicht Root zertifiziertes Zertifikat stellt für die oben genannte Nutzer keine Probleme dar. In mehreren Wochen, sollte sich die Webseite herumgesprochen haben, besteht jedoch Gefahrt, dass einige Nutzer über die Fehlermeldung (durch die fehlende Zertifizierung) zumindest verwundert und an der Sicherheit der technischen Lösung zweifeln könnten.
Tobiasgies und andreask weißen sogar auf eine Möglichkeit hin, so ein Root verifiziertes SSL Zertifkat für das System direkt von der Technikabteilung des Bundestags zu beziehen. Ob dies für die Betaversion möglich ist und wenn ja, wie lange dies dauern würde, kann ich leider nicht absehen. Ein selbstzertifiziertes SSL Zertifikat von z.B. CACert, wie es joergbuehmann vorschlägt, wäre eine Übergangslösung, sollte der Bundestag kein Zertifikat zur Verfügung stellen bzw diese zur Verfügungstellung einen längeren Zeitraum (d.h. mehrere Wochen bis Monate) benötigen.
Die Notwendigkeit ist für das System in gegenwärtiger Form eine durchaus interessante Frage. Ich denke es ist den oben bereits genannten Personenkreis für die ersten Tage durchaus zuzumuten, das System nur von nicht öffentlichen Netzwerken (sprich: vom heimischen Computer aus) und, falls zutreffend, innerhalb von verschlüsselten WLANs zu verwenden. Über längere Sicht hingegen halte ich es für unabdingbar, dass SSL eingeführt wird.
Zusammenfassend sehe ich keine Weg um HTTPS, jedoch sollte zuerst überprüft werden wie man möglichst kostengünstig an ein Root zertifiziertes Zertifikat gelangt, wie lange dies dauern würde und ob vlt sogar die technische Abteilung des Bundestags ein SSL Zertifikat für dasdie Webseite ausstellen würde. Sollte der Bundestag kein Zertifikat ausstellen oder dies zu lange dauern, könnte man als Übergangslösung auch ein eigenes SSL Zertifikat ausstellen oder z.B. von CACert beziehen. Die hierfür anfallenden Kosten halten sich nach Aussage von joergbuehmann in Grenzen.
Es werden Passworte übertragen. Das sollte nie ohne Verschlüsselung geschehen, da es sonst abgefangen werden könnte. Daher sollte HTTPS der einzige Weg für den Zugriff auf diese Platform sein. HTTP sollte automatisch auf HTTPS umleiten.
Stellt euch mal vor, jemand käme an das Passwort von Alvar Freude und könnte sich an seiner Stelle einloggen...
Zitat joergbuehmann: ... Es ist unverantwortlich und unprofessionell heutzutage eine solche Webseite ohne Verschlüsselung aufzusetzen. Zitat-Ende
Damit ist alles Wesentliche gesagt.
Nochmal für diejenigen, die denken, dass kostenpflichtige Root Zerifikate sicherer sind als kostenlose CAcert.org-Zertifikate, hier ein Lesetipp zum Thema von Fefe:
http://blog.fefe.de/?ts=b25933c5
Ob der Bundestag-CA ein Zertifikat hierfür rausgibt müsste man klären, denn immerhin ist das ein "Fremdserver" (weder vom Bundestag noch von einer Fraktion) und ob die an Dritte solche Zertifikate rausgeben ist (noch) unklar.
Vermutlich haben sie recht. Ich bin persönlich auch der Meinung, dass der Bundestag für einen Fremdserver keine Zertifikate ausstellt - zumindest werden sie keine Luftsprünge machen, wenn sie hören, dass sie welche ausstellen sollen ;).
Dennoch kann es nicht schaden, wenn die jeweiligen Verantwortlichen mal anfragen ob es möglich ist. Außerdem war die Kommission ja damit einverstanden, das das ganze hier gehosted wird. Entsprechend muss das ganze aber auch abgesichert werden und in deren Interesse sein, dass die Website sicher verwendet werden kann.
HTTPS...
Verschlüsselt meine Meinung übertragen zum Server? Naja, bleibt mal auf dem Boden...
Wenn es nichts Wichtigers gibt, JA, dann stellt das Zertifikat aus (was ja fast nichts kostet) und stellt den Server um.
Aber wenn https, dann bitte mit verifiziertem Root Zertifikat.
CACert dürfte ja wohl ausreichen…
Sie können einen Vorschlag unterstützen oder ablehnen.
Und ihn in Ihre Beobachtungsliste aufnehmen.
Informationen über den Vorschlag einsehen...
...Schlagworte für diesen Vorschlag hinzufügen...
...oder den Vorschlag mit anderen per Facebook, Google+ oder Twitter teilen.
Kommentare können Sie nicht nur bewerten...
...sondern auch dazu verfasste Antworten einsehen...
...selbst eine Antwort zu einem Argument schreiben...
... und neue Argumente einbringen.
Oder aktiv den Vorschlag mitgestalten und Alternativen einbringen.
thevoid ist dafür
Stimmt. War schon ein wenig erstaunt, als ich gesehen habe, dass HTTPS nicht verfügbar ist. Hat da nicht jemand sogar eine Ausweispflicht gefordert? Aber an HTTPS denken die nicht...