[Berlin-wireless] tunnel.berlin.freifunk.net-Repo, war: KonVPNusion
Philipp Borgers
borgers at mi.fu-berlin.de
Di Mai 29 11:12:43 CEST 2018
Ich sehe nicht, dass wir einen Konsens erreichen oder einen Kompromiss finden
und würde deshalb vorschlagen, dass man die Diskussion hier beendet und Energie
in andere wichtige Baustellen investiert.
On Tue, May 29, 2018 at 12:53:08AM +0200, Malte wrote:
> On Tue, 29 May 2018, Sven Roederer wrote:
>
> > > Beim Tunnel und dem Buildbot geht das halt nicht.
> > Zur Vollständigkeit:
> > * beim tunnel-Webinterface ist kein root-zugriff nötig und den
> > reload des uwsgi kann man automatisieren ("touch-reload")
>
> Hallo, Sven! Es geht gar nicht um Root an der Stelle, sondern darum, dass
> jemand, der den Code der CA verändern kann, sich auch einfach die Datenbank
> der Benutzer kopieren kann inkl. Keys und Mail-Adressen und CA Private Key.
Da das sensibele personenbezogene Daten sein können, möchte ich dort auch keine
Automatisierung mit minimalem Mehrwehrt im Bereich des Deployment-Prozesses einbau!
> Der organisatorische Sinn von Admins eines Servers und dem manuellen Update
> ist, da nochmal eine Hürde darzustellen, um genau sowas zu verhindern. Wenn
> wir einfach automatisch von Git updaten, haben wir das nicht, und ein
> kompromittierter Rechner eines der dutzenden Mitglieder der FFB-Org auf
> GitHub reicht, damit potenziell die Daten weg sind - oder im Falle des
> Buildbot ggf. sogar Images kompromittiert werden und damit die Netzwerke
> unserer Benutzer.
>
> Über genau solche Sicherheitslücken, wie Du da gerade einbauen willst,
> finden die ganzen Leaks von Benutzerdaten statt, von denen man in letzter
> Zeit so hört. Die DSGVO freut sich schon.
>
> Und spart ein automatischer Pull überhaupt Zeit?
> Für ca.berlin.freifunk.net gab es gerade mal vier Commits seit Anfang 2018.
> Für den buildbot gab es drei Pushes in 2018.
>
> Also vielleicht vier plus drei Minuten Zeitaufwand für manuelles Pull auf
> dem jeweiligen Server, für das gesamte 2018. Die Diskussion hier zog schon
> ein Vielfaches davon.
>
> Grüße,
> Malte
> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ?ffentlich einsehbares Archiv
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 833 bytes
Beschreibung: nicht verfügbar
URL : <https://lists.berlin.freifunk.net/pipermail/berlin/attachments/20180529/75983b63/attachment.sig>
Mehr Informationen über die Mailingliste Berlin