Re: [Talk-de] Konfigurationsfehler Apache www.openstreetmap.de (WAS: Deutsche Homepage - Fehlermeldung)

[nebulon42]

So pauschal möchte ich das nicht stehenlassen. Sicher soll man sich für
das Teil nicht verbiegen, aber als unseriös sehe ich das auf keinen Fall.

Der CORS-Test warnt auch nur vor zu allumfassenden CORS-Konfigurationen
wie z.B. Access-Control-Allow-Origin: * (ganz böse) als
Sicherheitsrisiko. Ansonsten steht da:

"Content is visible via cross-origin resource sharing (CORS) files or
headers, but is restricted to specific domains"

Klar, eine MITM-Attacke kann man nur mit HTTPS verhindern, aber eine
Content Security Policy kann schon was bringen, indem man dem Browser
sagt was er laden und ausführen darf und was nicht. Siehe
https://de.wikipedia.org/wiki/Content_Security_Policy.

X-Frame-Options gibt zum Beispiel an, ob die Seite eingebettet werden
darf oder nicht. Kann auch einen Sicherheitsgewinn bringen, sofern der
Browser nicht manipuliert wurde.

HTTP Strict Transport Security (HSTS) würde HTTPS zum Beispiel
erzwingen, auch das ist eigentlich sinnvoll, denn es gibt heutzutage
eigentlich keinen Grund mehr HTTPS nicht zu verwenden. Auch im Hinblick
auf HTTP/2 oder wegen MITM-Attacken (siehe oben).

Ich sehe das Ding eher positiv, da es sicherheitsrelevante
Konfigurationen übersichtlich auflistet und auch die Möglichkeit bietet
sich über die Details zu informieren. Natürlich ist das mit den
Schulnoten ein wenig reißerisch und vielleicht nicht so gut. Denn F
heißt nicht, dass der Server unsicher ist wie sonst was, sondern dass es
einfach noch besser gehen würde. Aber im konkreten Fall sind die
zusätzlichen Einstellungen vielleicht gar nicht notwendig oder sinnvoll.
Da darf man einem Tool eben nicht blind folgen, sondern muss selbst
Wissen aufbauen.

nebulon42

Am 2016-08-28 um 13:58 schrieb Roland Olbricht:
> Hi,
> 
>> es gibt einen ganz neuen Security-Checker von Mozilla.
>> http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html
>>
>>
>> An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch
>> nicht beurteilen, geschweige denn anpassen.
> 
> Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter Web-Standard,
> der regelt, wie Daten von Drittseiten eingebunden werden können. Folgt
> man dem Standard, dann besteht keinerlei Sicherheitsrisiko. Ohne auch
> nicht unbedingt, aber das ist ein anderes Thema.
> 
> Der Security Check streicht aber die Hälfte der Punkte, wenn eine
> Website den Standard unterstützt.
> 
> Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27
> Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings nichts
> sicherer. Entweder hat der Server oder der Client eine Sicherheitslücke
> oder nicht. Entweder gibt es einen Man-In-The-Middle, der dann auch die
> Header setzen oder durchreichen kann, oder nicht.
> 
> Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet, ob
> man abgehört werden oder Inhalte untergeschoben bekommen kann, obwohl
> die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man mit SSL
> (HTTPS) das nicht erwarten würde.
> 
> Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding ist
> Web-Politik, nicht Web-Sicherheit.
> 
> Viele Grüße,
> Roland
> 
> 
> ___
> Talk-de mailing list
> Talk-de@openstreetmap.org
> https://lists.openstreetmap.org/listinfo/talk-de



signature.asc
Description: OpenPGP digital signature
___
Talk-de mailing list
Talk-de@openstreetmap.org
https://lists.openstreetmap.org/listinfo/talk-de

Re: [Talk-de] Konfigurationsfehler Apache www.openstreetmap.de (WAS: Deutsche Homepage - Fehlermeldung)

[Walter Nordmann]

Ok, wie schon gesagt: das Teil ist ganz neu und ich ḱonnte es noch nicht 
beurteilen.


Aber dein Urteil ist mir wichtiger :) Danke für die Info

gruss
walter


Am 28.08.2016 um 13:58 schrieb Roland Olbricht:

Hi,


es gibt einen ganz neuen Security-Checker von Mozilla.
http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html 



An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch
nicht beurteilen, geschweige denn anpassen.


Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter 
Web-Standard, der regelt, wie Daten von Drittseiten eingebunden werden 
können. Folgt man dem Standard, dann besteht keinerlei 
Sicherheitsrisiko. Ohne auch nicht unbedingt, aber das ist ein anderes 
Thema.


Der Security Check streicht aber die Hälfte der Punkte, wenn eine 
Website den Standard unterstützt.


Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27 
Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings 
nichts sicherer. Entweder hat der Server oder der Client eine 
Sicherheitslücke oder nicht. Entweder gibt es einen Man-In-The-Middle, 
der dann auch die Header setzen oder durchreichen kann, oder nicht.


Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet, 
ob man abgehört werden oder Inhalte untergeschoben bekommen kann, 
obwohl die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man 
mit SSL (HTTPS) das nicht erwarten würde.


Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding 
ist Web-Politik, nicht Web-Sicherheit.


Viele Grüße,
Roland


___
Talk-de mailing list
Talk-de@openstreetmap.org
https://lists.openstreetmap.org/listinfo/talk-de



___
Talk-de mailing list
Talk-de@openstreetmap.org
https://lists.openstreetmap.org/listinfo/talk-de

Re: [Talk-de] Konfigurationsfehler Apache www.openstreetmap.de (WAS: Deutsche Homepage - Fehlermeldung)

[Roland Olbricht]

Hi,


es gibt einen ganz neuen Security-Checker von Mozilla.
http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html

An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch
nicht beurteilen, geschweige denn anpassen.


Das Ding ist grob unseriös. Z.B. ist CORS ein anerkannter Web-Standard, 
der regelt, wie Daten von Drittseiten eingebunden werden können. Folgt 
man dem Standard, dann besteht keinerlei Sicherheitsrisiko. Ohne auch 
nicht unbedingt, aber das ist ein anderes Thema.


Der Security Check streicht aber die Hälfte der Punkte, wenn eine 
Website den Standard unterstützt.


Auch die übrigen Anforderungen sind vom Typ: "sende noch diese 27 
Extra-Header mit". Vom Senden zusätzlicher Header wird allerdings nichts 
sicherer. Entweder hat der Server oder der Client eine Sicherheitslücke 
oder nicht. Entweder gibt es einen Man-In-The-Middle, der dann auch die 
Header setzen oder durchreichen kann, oder nicht.


Das steht im starken Kontrast zu SSLLabs. Dort wird gezielt getestet, ob 
man abgehört werden oder Inhalte untergeschoben bekommen kann, obwohl 
die SSL-Verschlüsselung aktiv ist. Das ergibt Sinn, weil man mit SSL 
(HTTPS) das nicht erwarten würde.


Es lohnt also nicht, für den Mozilla-Scan irgendwas zu tun. Das Ding ist 
Web-Politik, nicht Web-Sicherheit.


Viele Grüße,
Roland


___
Talk-de mailing list
Talk-de@openstreetmap.org
https://lists.openstreetmap.org/listinfo/talk-de

Re: [Talk-de] Konfigurationsfehler Apache www.openstreetmap.de (WAS: Deutsche Homepage - Fehlermeldung)

[Walter Nordmann]

Hi,

es gibt einen ganz neuen Security-Checker von Mozilla. 
http://www.heise.de/newsticker/meldung/Mozilla-bringt-kostenlosen-Sicherheitstest-fuer-Websites-3306197.html 



An dem beiße ich mir zur Zeit die Zähne aus. Die Details kann ich noch 
nicht beurteilen, geschweige denn anpassen.


Bei euch ist er auch nicht richtig happy:

https://observatory.mozilla.org/analyze.html?host=openstreetmap.de

Gruss
walter


___
Talk-de mailing list
Talk-de@openstreetmap.org
https://lists.openstreetmap.org/listinfo/talk-de

Re: [Talk-de] Live-Map ÖPNV für Ulm/Neu-Ulm

[Carl von Einem]

Martin Koppenhoefer wrote on 28.08.16 01:52:



Il giorno 27 ago 2016, alle ore 22:23, Christian Müller  ha 
scritto:

Für Menschen, die auf ÖPNV angewiesen sind, aber an Haltestellen ggf.
demolierte Anzeigetafeln vorfinden, ist eine Angabe der Fahrplanver-
zögerungen evtl. schon relevant (insbes. wenn t>5 min).


relevanter ist es für diejenigen, die nicht auf den Öpnv angewiesen
sind, weil die im Fall einer Änderung auch Alternativen wählen können.
Wer drauf angewiesen ist muss dagegen sowieso warten, auch wenn es
länger dauert als es sollte ;-)

Könnte natürlich sein, dass man mehrere öpnv Linien zur Alternative
hat, dann hast Du Recht.



Auch in einem Verbundsystem kann man als reiner ÖPNV-Nutzer auf eine 
andere Streckenvariante abhängig von der Verspätung möglich sein 
(normalerweise länger als favorisierte Variante, aber bei Störung von 
Weg A schneller über Kombination B+C).


Im Grossraum München kann man zB bei den berüchtigten 
Stammstreckenstörungen teilweise Tram (sofort auch überfüllt) oder evtl. 
sogar über Expressbus-Verbindungen voran kommen, ohne auf Taxi oder 
eigenes | Next | MVG | Call a Bike ausweichen zu müssen.


MVV / MVG bietet für den Münchner Verkehrsverbund auch eine S-Bahn Live 
Ansicht an, deren geschätzte Momentanposition / Verspätungsanzeige in 
Minuten sich glaube ich aus den Streckenbenutzungs-Daten speist (also 
die Strecken-Slots, die ein Zug automatisch bei Einfahrt für andere Züge 
sperrt)


Oh, der vorige Absatz scheint nach diesem Hinweis...
"Bitte beachten Sie: Im Falle einer Störung auf Ihrer S-Bahn Linie kann 
der genaue Standort der S-Bahnen teilweise nicht korrekt übertragen 
werden. Bitte nutzen Sie die Angaben in der „Fahrplanauskunft“ oder 
„Aktuellen Betriebslage“."
...nicht komplett zu stimmen, also vermutlich Hochrechnung nach Fahrplan 
plus weitere Information wie Abfahrt aus Bhf. etc.



Hier auf einen beliebigen Zug klicken, das Infofenster fährt dann weiter 
mit durch die Gegend.


Die entsprechenden Apps von MVV etc. zeigen diese Informationen auch an, 
und da wird dann eigentlich auch ganz schön eine nicht so 
offensichtliche Busverbindung als Alternative aufgezeigt.


Was da halt noch fehlt: Klick auf Bahnhof öffnet dessen Abfahrts-Tafel 
für Anschlüsse auch ausserhalb des S-Bahn-Bereichs, wie zB ab Tutzing 


Weitere Tafeln findet man zB über die Bahnhofssuche:


Und hier eine Übersicht über andere Abfahrtsmonitore:


___
Talk-de mailing list
Talk-de@openstreetmap.org
https://lists.openstreetmap.org/listinfo/talk-de

Re: [Talk-de] Live-Map ÖPNV für Ulm/Neu-Ulm

[lars lingner]

Hallo,

vielleicht kann [1] weiterhelfen, bin selbst erst diese Woche darauf
aufmerksam gemacht worden. Man kann global nach verfügbaren "transport
data" suchen. Auch für Ulm gibt es einen Download [2]


Viele Grüße

Lars

[1] http://www.navitia.io/
[2]
https://navitia.opendatasoft.com/explore/dataset/de/table/?sort=type_file

___
Talk-de mailing list
Talk-de@openstreetmap.org
https://lists.openstreetmap.org/listinfo/talk-de