this post was submitted on 05 Mar 2024
112 points (99.1% liked)

ich_iel

9097 readers
2 users here now

Die offizielle Zweigstelle von ich_iel im Fediversum.

Alle Pfosten müssen den Titel 'ich_iel' haben, der Unterstrich darf durch ein beliebiges Symbol oder Bildschriftzeichen ersetzt werden. Ihr dürft euch frei entfalten!


Matrix


📱 Empfohlene Schlaufon-Applikationen für Lassmich


Befreundete Kommunen:


Regeln:

1. Seid nett zueinander

Diskriminierung anderer Benutzer, Beleidigungen und Provokationen sind verboten.

2. Pfosten müssen den Titel 'ich_iel' oder 'ich iel' haben

Nur Pfosten mit dem Titel 'ich_iel' oder 'ich iel' sind zugelassen. Alle anderen werden automatisch entfernt.

Unterstrich oder Abstand dürfen durch ein beliebiges Textsymbol oder bis zu drei beliebige Emojis ersetzt werden.

3. Keine Hochwähl-Maimais oder (Eigen)werbungAlle Pfosten, die um Hochwählis bitten oder Werbung beinhalten werden entfernt. Hiermit ist auch Eigenwerbung gemeint, z.b. für andere Gemeinschaften.
4. Keine Bildschirmschüsse von UnterhaltungenAlle Pfosten, die Bildschirmschüsse von Unterhaltungen, wie beispielsweise aus WasistApplikaton oder Zwietracht zeigen, sind nicht erlaubt. Hierzu zählen auch Unterhaltungen mit KIs.
5. Keine kantigen Beiträge oder Meta-Beiträgeich_iel ist kein kantiges Maimai-Brett. Meta-Beiträge, insbesondere über gelöschte oder gesperrte Beiträge, sind nicht erlaubt.
6. Keine ÜberfälleWer einen Überfall auf eine andere Gemeinschaft plant, muss diesen zuerst mit den Mods abklären. Brigadieren ist strengstens verboten.
7. Keine Ü40-MaimaisMaimais, die es bereits in die WasistApplikation-Familienplauderei geschafft haben oder von Rüdiger beim letzten Stammtisch herumgezeigt wurden, sind besser auf /c/ichbin40undlustig aufgehoben.
8. ich_iel ist eine humoristische PlattformAlle Pfosten auf ich_iel müssen humorvoll gestaltet sein. Humor ist subjektiv, aber ein Pfosten muss zumindest einen humoristischen Anspruch haben. Die Atmosphäre auf ich_iel soll humorvoll und locker gehalten werden.
9. Keine Polemik, keine Köderbeiträge, keine FalschmeldungenBeiträge, die wegen Polemik negativ auffallen, sind nicht gestattet. Desweiteren sind Pfosten nicht gestattet, die primär Empörung, Aufregung, Wut o.Ä. über ein (insbesonders, aber nicht nur) politisches Thema hervorrufen sollen. Die Verbreitung von Falschmeldungen ist bei uns nicht erlaubt.


Bitte beachtet auch die Regeln von Feddit.de

founded 1 year ago
MODERATORS
 

Ich dachte, ich versuche mich mal an sinnvollen roten kreisen.

all 28 comments
sorted by: hot top controversial new old
[–] trollercoaster@feddit.de 72 points 8 months ago* (last edited 8 months ago) (2 children)

Das dürfte das sinnlose Passwort erklären. Die Pressemitteilung wurde über die "Link teilen"-Funktion von Nextcloud veröffentlicht und es gibt eine Einstellung in Nextcloud, die beim Teilen eines öffentlichen Links ein Passwort erzwingt. Wahrscheinlich ist die Nextcloud-Instanz der Bundeswehr so konfiguriert, was ja nicht ganz sinnlos ist, weil es das versehentliche ungeschützte Veröffentlichen von Dateien, die nicht an die Öffentlichkeit sollen, erschwert.

[–] tryptaminev@feddit.de 18 points 8 months ago (1 children)

Immerhin ist das schonmal eine erste Schutzfunktion gegen den DAS

[–] trollercoaster@feddit.de 15 points 8 months ago

Ja, die ganze Geschichte sieht auf den zweiten Blick viel weniger lachhaft aus, als auf den ersten.

[–] federalreverse@feddit.de 3 points 8 months ago (1 children)

Gibt es da keinen Parameter, den man direkt in die URL werfen kann, so à la [URL]&pass=1234?

[–] trollercoaster@feddit.de 9 points 8 months ago (1 children)

So weit ich weiß nicht, Passwörter als GET-Parameter übertragen, gilt auch schon sehr lange als unsicher.

[–] federalreverse@feddit.de 3 points 8 months ago (1 children)

An der Stelle geht es ja nicht um Sicherheit sondern darum, der Presse eine Information zur Verfügung zu stellen.

[–] 30p87@feddit.de 3 points 8 months ago (1 children)

Würde aber auch Benutzer die Möglichkeit geben, selbst wichtige Passwörter da rein zu kloppen, und ist somit potentiell ein Weg dass Informationen geloggt und geleaked werden können. Außerdem muss alles in den Parametern so kodiert sein, dass keine Sonderzeichen etc. drin sind, also standardmäßig alle Passwörter in Basis 64. 1234 wäre somit 'MTIzNA==', also nicht wirklich Benutzerfreundlich.

[–] federalreverse@feddit.de 2 points 8 months ago

Da hast du wohl Recht.

[–] bjoern_tantau@swg-empire.de 56 points 8 months ago (1 children)

Ich meine, hey, zumindest hosten die ihren Kram selbst. Und sie nutzen Open Source.

[–] cows_are_underrated@feddit.de 16 points 8 months ago (2 children)
[–] geizeskrank@feddit.de 6 points 8 months ago

Im Tagesbetrieb wird überwiegend Jabber (Cisco) genutzt; Matrix ist eher so .. naja .. ungenutzt.

[–] WallEx@feddit.de 4 points 8 months ago

Nur nicht für Konferenzen ...

[–] dee_dirk@feddit.de 31 points 8 months ago (2 children)

...Laut Pistorius sei das Daten-Leck, über das Russland eine sensible Webex-Konferenz der Luftwaffe mitschneiden konnte, ein „individueller Anwendungsfehler“ gewesen. „Nicht alle Teilnehmer haben sich an das sichere Einwahlverfahren gehalten, wie es vorgeschrieben ist.“ Demnach seien die Informationen durch eine offene Verbindung nach Russland abgeflossen, die auf die Zuschaltung aus Singapur zurückzuführen sei.

Tja, das Problem sitzt in meinen Augen in 9 von 10 Fällen direkt vor dem Bildschirm. Und genau deshalb müsste man von der BW doch eigentlich erwarten können, dass generell und ausschließlich sichere Zugänge genutzt werden.

[–] geizeskrank@feddit.de 20 points 8 months ago

Das Problem ist der überwiegende Teil von Soldaten, die einfach (ohne das Böse zu meinen) gar keinen Plan haben, was in diesen Zauberkisten vor sich geht.
Dazu muss ich ergänzen, dass ich als mehr oder weniger IT affiner Mensch, selbst häufig den Gedanken habe, was das alles für eine unnötig komplizierte Shice ist.

Teilweise macht man sich solche Probleme durch Unübersichtlichkeit; wenn ich zum Beispiel ein Dokument signieren möchte, werden mir 3 Zertifikate angeboten und auf Nachfrage bei der BWI wo die Unterschiede in diesen Zertifikaten liegen, gabs ein simples ,,Die sind alle gleich".
Ja mei, wie soll man da von jemanden, der sein Fachwissen in der Berechnung von ballistischen Bahnen von Sprengkörpern hat, erwarten, dass der einschätzen kann, dass dieses Program welches der Dienstherr bereitstellt, nicht ausreichend sicher ist.
Wie soll der Einschätzen können, ob(!) ein VPN in diesem Moment sicher genug ist etc. p.p..
Könnte er es wissen? Ja klar. Darf man es erwarten? Njet, eher nicht.

Die BWI hat in den letzten Jahren die Bundeswehr IT in den Aspekten Sicherheit, Benutzerfreundlichkeit und stabilität total vermurkst.

[–] MaggiWuerze@feddit.de 11 points 8 months ago

Aber ganz ehrlich, eine Software die die komplette Verschlüsselung wegschmeißt, weil einer sich über Browser einlogged ist auch Bullshit.

Zumindest muss da gewarnt werden oder sonst irgendwas. Am ehesten kann man zu einer als verschlüsselt geplanten Konferenz nicht über den Browser beitreten.

[–] finn_der_mensch@discuss.tchncs.de 17 points 8 months ago (1 children)

Das Problem sind in meinen Augen nicht die abgehörten Soldaten, die hier sicherlich einen Fehler gemacht haben. Anwender sind halt blöde, das weiß man als Informatiker. Früher hatten sie da sicher ein zweites Telefon stehen, das abhörsicher war. Ganz einfach. Auch in modern und über das Internet bekäme man das idiotensicher hin.

Die fachlichen Stärken der Soldaten liegen halt woanders als in der 100% korrekten IT Nutzung, besonders bei den hochrangigen und damit normalerweise etwas älteren Leuten.

[–] Black616Angel@feddit.de 19 points 8 months ago (1 children)

Nein. (Und ja) Wer mit vertraulichen Sachen hantiert und dann mit einem Hoteltelefon aus Singapur ein solches Gespräch führt, gehört entlassen. (Außer es war mit Absicht, was ja wohl auch manche denken)

Aber: Wer Webex so einstellt, dass trotz eigentlich vorhandener Verschlüsselung einfach so unsichere Telefone teilnehmen können, der gehört auch nicht dahin, wo er ist.

[–] MarcomachtKuchen@feddit.de 10 points 8 months ago (2 children)

Warum ist die Datei passwortgeschützt, wenn man das Passwort sowieso dazu gibt? Kann man bei dem Service keine Datei ohne Passwort verfügbar machen?

[–] trollercoaster@feddit.de 27 points 8 months ago* (last edited 8 months ago) (2 children)

Das lässt sich konfigurieren. Siehe Bildschirmschuss aus meiner ~~Nextcloud~~Nächstewolke-Instanz.

Screenshot Nextcloud-Einstellungen für Link teilen

Wahrscheinlich ist auf der Instanz der Bundeswehr das Häkchen "Passwortschutz erzwingen" gesetzt.

[–] dee_dirk@feddit.de 22 points 8 months ago

Viel interessanter sind doch aber diese Einstellungen hier:

Damit haben wir bei uns die "Ich schmeiß allen Scheiß in die Wolke und teile es ohne oder mit extrem wenig Schutz mit jedem Hans und Franz" eingedämmt.

[–] Magnetar@feddit.de 5 points 8 months ago (1 children)

Hatten sie mal das Häkchen "Nur verschlüsselte Teilnehmer erlauben" bei WebEx gesetzt.

[–] trollercoaster@feddit.de 3 points 8 months ago

Das hat ihnen wahrscheinlich der McKinsey-Schlips, der ihnen WebEx aufgeschwätzt hat, nicht verraten.

[–] gencha@feddit.de 3 points 8 months ago (1 children)

Daten als ZIP mit sinnlos Passwort ist für Büromenschen der Standardweg um Dateien durch den Email Filter ihres Unternehmens zu schleusen. Würde mich nicht wundern wenn das hier in der Kette auch passiert ist

[–] trollercoaster@feddit.de 1 points 8 months ago* (last edited 8 months ago)

Ich wäre nicht überrascht, wenn diese ungewöhnliche Veröffentlichungsweise für eine öffentliche Mitteilung sich damit erklären ließe, dass es der Minister einfach eilig hatte, das Statement veröffentlicht zu bekommen und die einzige greifbare Person mit der nötigen Berechtigung, das direkt auf der Internetseite des Ministeriums zu veröffentlichen, gerade Mittagspasue hatte.

Dass das scheinbar eilig war, lässt sich ja schon am Format erkennen, die haben sich ja nicht mal die Zeit genommen, das Statement schriftlich festzuhalten, sondern haben einfach einen Audioschnipsel hochgeladen.

[–] feine_seife@feddit.de 5 points 8 months ago* (last edited 8 months ago) (2 children)

Wäre der Name andersherum nicht passender?

So klingt es eher als würde Nextcloud die Bundeswehr für Ihre Zwecke Nutzen.

[–] Holint_Casazr@feddit.de 22 points 8 months ago

Meinst du bundeswehr.nextcloud.de als Adresse? Die DNS/Domain-Reihenfolge ist von rechts nach links, insofern schon korrekt.

Also nextcloud.auf.bundeswehr.de ordnet de (Top-Level-Domain) --> bundeswehr --> auf --> nextcloud. Ist nur für den westlichen Von-Links-nach-Rechts-Leser nicht direkt ersichtlich, wenn man keinen IT-Hintergrund hat.

[–] geizeskrank@feddit.de 8 points 8 months ago

auf ist das Kürzel für Aus- und Fortbildung