[dk] [Ticket#2014110710009584] WG: OPAL für Teile der Nutzer nicht erreichbar

[Wolf]

Hallo Herr Weiß & Kollegen,

ich reduziere mal den Empfängerkreis auf ein aus meiner Sicht
notwendiges Maß.

Danke für die ausführliche Antwort, es ergeben sich tatsächlich weitere
Fragen:

* Sofern ein Nutzer seine Authentisierungsinformationen aufgrund der
Mängel an der Serverkonfiguration unsicher übermittelt, wie wird
festgestellt, dass die Preisgabe der Informationen nicht an einem
Verschulden des Nutzers liegen sofern solche von dritten missbraucht
werden? Ich weise hier auf die Nutzungsbedingungen hin. Da die
Verbindung nicht sicher zustande kommt, verstoßen derzeit Nutzer im
Zweifel unwissentlich gegen die NuBe §2 .

* Sofern ein Nutzer aufgrund der Nichterreichbarkeit des Dienstes wenn
auch nur teilweise durch die Serverkonfiguration mit Standardsoftware
(ich gehe von Nutzern ohne tiefere Kenntnisse aus) an Teilen von
Bildungsveranstaltungen nicht rechtzeitig teilhaben kann oder Aufgaben
nicht rechtzeitig bearbeiten kann: Wie wird dies behandelt oder
nachweisbar? Ich habe bisher wenig Anlass zu glauben, dass Professoren
hier Kulanz einräumen.

* Ist es durch sie realisierbar, dass die Support-Seite und Impressum
via http direkt erreichbar bleibt sofern eine Verbindung via https
scheitert? Bisher ist dies nicht der Fall, da die Weiterleitung von http
auf https dem zuvor kommt. Ich bin zwar kein Anwalt, aber würde hier das
Risiko ableiten, dass u.a. der Impressumspflicht nach TMG nicht
ausreichend nachgekommen sein kann. Dies u.a. stellt ein unnötiges, auch
finanzielles, Risiko dar.

* U.a. diese beiden ersten Aspekte sollten ggf. ohne Authentisierung
oder https zugänglich dokumentiert sein.

Am Rande: Ich bin mir durchaus im Klaren darüber, dass genug ohne diese
Dinge an Arbeit vorhanden ist. Auch, dass die Implementierung und Tests
ihren Prozessen folgen und nicht an einem Tag mal eben fix erfolgen.
Dennoch bitte ich nicht zuviel Energie auf die Beründung von hoffentlich
bald Vergangenem zu verwenden, im Zweifel ist das angreifbar und hilft
auch gerade niemandem weiter - mir ist ausschließlich an einer
Verbesserung der Situation für studierende gelegen.


Vielen Dank

Am 07.11.2014 um 14:38 schrieb BPS-Support:
> Sehr geehrter Herr Wolf,
> 
> vielen Dank für Ihre Anfrage und die Anregungen zum sicheren Zugang zu OPAL. Wir möchten Ihnen hiermit natürlich gern unsere Antwort darauf übermitteln.
> 
> Wir sind hinsichtlich der angesprochenen Sicherheitsentwicklungen natürlich stets im Bilde über den Stand und weiteren Ausblick. Ebenso testen wir stets aktuell und zeitnah unsere Systeme auf ihre Sicherheitsmechanismen und Aktualisierbarkeiten. Dabei gilt es nicht nur zu prüfen, ob es Neuheiten hinsichtlich der Sicherheit gibt, sondern auch die Kompatibilität und der Zugang für eine breite Schicht von Nutzern mit den verschiedensten System muss dabei betrachtet und eingeschätzt werden. Hierzu werden von uns Tests durchgeführt und auch Bewertungen zum Sicherheitslevel vorgenommen. Seien Sie also versichert, dass wir um die angesprochenen Themen wissen und diese auch regelmäßig und zeitnah in die Systeme einpflegen. Die von Ihnen ganz konkret angesprochenen Entwicklungen sind beispielsweise bereits in der Testphase und werden demnächst auch online gehen.
> 
> Für weitere Fragen stehen wir Ihnen gern zur Verfügung.
> 
> Mit besten Grüßen
> 
> Ronny Weiß
> --
> BPS Bildungsportal Sachsen GmbH
> 
> Tel: +49 371 666 2739-6
> Fax: +49 371 666 2739-9
> Web: http://www.bps-system.de
> 
> Firmensitz: Bahnhofstraße 6, D-09111 Chemnitz 
> Registergericht: Amtsgericht Chemnitz, HRB 21806
> Geschäftsführer: Sven Morgner
> Aufsichtsratsvorsitzender: Prof. Dr. Gerhard Thiem
> 
> ************************************************************************
> Bereits 10 Jahre Innovationen, Erfolge und vertrauensvolle
> Kundenbeziehungen. Wir sagen DANKE!
> ************************************************************************


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.stura.htw-dresden.de/pipermail/dk/attachments/20141107/1fdce09e/attachment.bin>