[Berlin-wireless] Abgelaufene Tunnel Zertifikate

Holger Baxmann holger at baxmann.com
So Jun 17 15:17:02 CEST 2018 

Hi,

das würde dann zum Zertifikatephishing direkt einladen und sowohl die Sicherheit als auch die CA, also die PKI (ja, es ist eine) brechen

just 2ct
Holger


> Am 16.06.2018 um 21:59 schrieb Sven Röllig <roellig at stiftung-freie-software.org>:
> 
> Hallo,
> das Problem was ich darin sehe, ist WOZU benötigen wir dann die Mailadresse?
> Das Formular kann/könnte so gestaltet werden das die Zertifikate nach dem Absenden
> auf der Tunnel Seite DIREKT on the Fly zum Download Angeboten werden.
> 
> Läuft das Zertifikat ab, wiederholt man die Prozedur.
> Klar kann man jetzt Argumentieren das der User sich dann die Mühe machen
> muss die neuen Zertifikate auf den Router zu laden.
> 
> Somit wäre die Frage komplett vom Tisch was mit der Mailadresse passiert.
> Zudem Denke ich das diverse User hier Mailadressen benutzen und dafür nicht
> extra eine separate Mailadresse verwenden sondern eine die häufiger Verwendung findet.
> Wegwerfadressen würden dann in Zukunft auch wieder dazu führen das wir
> vor dem gleichen Problem stehen wie jetzt auch.
> 
> Somit müsste nach der BDSG eine Datenschutzerklärung Akzeptiert werden.
> Die sagt eindeutig aus das ich sicherstellten muss das der User über die Verwendung
> und Speicherung seiner Daten Umfassend Informiert werden muss.
> 
> Da ich aber nicht weiß ob der User die gleiche Mailadresse auch woanders im Freifunk
> benutzt muss ich schon auf Nummer sicher gehen! ALSO => Datenschutzerklärung!
> 
> Ebenso müsste der Zugriff auf die Adressen innerhalb der Tunnelserver Reglementiert
> und Dokumentiert werden, und wieder Datenschutzerklärung. Da wir aber Zukünftig nicht
> Wissen wer welche Tunnel Maschinen Verwaltet bzw. Administriert bin ich dafür auf die
> Mailadressen für die Tunnel Zertifikate zu Verzichten.
> 
> Laut BDSG sagt aus: Sofern sich 10 oder mehr Personen mit der Administration der Tunnlemaschinen
> beschäftigen und somit Zugriff auf "Personenbezogene" Daten haben MUSS per Gesetz ein
> Datenschutzbeauftragter gestellt werden, der das entsprechend Überwacht und somit
> die Verantwortung übernimmt und zudem bei der Datenschutzaufsichtsbehörde des
> Landes Berlin angemeldet sein muss.
> 
> Das Problem ist zudem das kaum jemand die Zukünftigen Probleme daraus ersehen kann.
> 
> Beim Posten der Abgelaufenen Zertifikatsinhaber ging es mir eigentlich auch nur darum
> Druck auszuüben da ich mir von Sven 2.0 genau in diesem Punkt Gleichgültigkeit Anhören
> musste.
> 
> Seine Antwort war: Da kümmern sich die User drum!
> 
> Gruß
> Sven 1.0
> 
> 
> 
> Zitat von Kaya <ff at xayax.de>:
> 
>> hm. nein!
>> 
>> Daten dürfen wir grundsätzlich nur so nutzen, wie sie beschrieben werden. Und nur, wenn das notwendig ist.
>> Laut https://tunnel.berlin.freifunk.net/ bitten wir die User um die Mailadresse, um ihnen den Zugang zuschicken zu können ("Notwendig, damit wir dir den Zugang per E-Mail zuschicken können.“)
>> 
>> Mehr dürfen wir m.E. dann mit den Adressen nicht tun. Eigentlich müssten sie m.E. danach direkt gelöscht werden.
>> Falls wir das nicht wollen, um die User z.B. über technische Schwierigkeiten oder Umstellungen zu unterrichten, müssen wir das dort auch entsprechend beschreiben und uns das Einverständnis dazu einholen - soviel zur DSGVO.
>> 
>> Den Adressbuch-Vergleich halte ich für absurd und schlicht falsch. Die Adressen wurden an keiner Stelle durch die User öffentlich zugänglich gemacht.
>> 
>> vg kaya
>> 
>> 
>> 
>>> Am 16.06.2018 um 17:47 schrieb Sven Röllig <roellig at stiftung-freie-software.org>:
>>> 
>>> Hallo,
>>> 
>>> laut BDSG, in seiner gemäß DS-GVO aktualisierten Fassung,
>>> dass für uns maßgeblich ist, ist das Angeben der Maildresse
>>> in einem Öffentlichen Raum, hiermit ist das INTERNET gemeint,
>>> in dieser Form zulässig, da es sich um personenbezogene Daten
>>> handelt die von der betroffenen Person öffentlich zugänglich
>>> gemacht worden sind (vgl. Adressbuch).
>>> 
>>> 
>>> Gruß
>>> Sven
>>> 
>>> 
>>> 
>>> Zitat von Philipp Borgers <borgers at mi.fu-berlin.de>:
>>> 
>>>> Du kannst nicht einfach personenbezogene Daten auf der Mailingliste
>>>> veröffentlichen. Das ist vollkommen inakzeptabel! In Zukunft möchte ich solche
>>>> Mails nicht mehr auf der Mailingliste sehen.
>>>> 
>>>> Vielleicht sollten wir auf einem der nächsten Treffen nochmal über Datenschutz
>>>> sprechen.
>>>> 
>>>> Gruß Philipp
>>>> 
>>>> On Wed, Jun 13, 2018 at 07:02:20PM +0000, Sven Röllig wrote:
>>>>> Hallo,
>>>>> könnten sich mal bitte folgende Mailuser darum kümmern sich ein neues
>>>>> Zertifikat zu holen.
>>>>> Da die Abgelaufen sind Müllen die das OpenVPN unnötig voll.
>>>>> 
>>>>> blubblub at nur******
>>>>> cafe at tschu****
>>>>> cuatro at po******
>>>>> freifunk at 4xs****
>>>>> kamatz at gm*****
>>>>> skrik.ff at gm****
>>>>> speiderlars at we*****
>>>>> thwofwd at compi******
>>>>> wegner.bom at gm***
>>>>> 
>>>>> Danke
>>>>> 
>>>>> Gruss
>>>>> Sven 1.0
>>>>> 
>>>>> _______________________________________________
>>>>> Berlin mailing list
>>>>> Berlin at berlin.freifunk.net
>>>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>>>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>>> 
>>> 
>>> _______________________________________________
>>> Berlin mailing list
>>> Berlin at berlin.freifunk.net
>>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
>> 
>> _______________________________________________
>> Berlin mailing list
>> Berlin at berlin.freifunk.net
>> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
>> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv
> 
> 
> 
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv

Mehr Informationen über die Mailingliste Berlin