[Berlin-wireless] Inbound-Filter vs. PPA

Simon Polack simonpolack at googlemail.com
Mi Jul 28 23:28:38 CEST 2021


Hallo zusammen,


Die Behauptung, das wir meinten, ein gefiltertes und isoliertes
"berlin.freifunk.net" sei sicher ist IMHO eine Nebelkerze. Das hat
niemand behauptet.

Unsere Aussage war stets, dass ein ungefiltertes Netz dem User mehr
Risiken aussetzt und damit per se unsicher(er) ist. Dem muss kein
"sicheres" Netz gegenüberstehen.


Für mich zählt die Userperspektive. Unabhängig von Idealismus kann man
feststellen, dass mindestens 95% aller User eben keine Dienste anbieten
bzw. exposed werden möchten. Sowohl innerhalb als auch außerhalb des
Freifunks. Mit IPv6 ist das außerhalb schon absolute Realität.


Dadurch, dass berlin.freifunk.net als default bekannt ist, sollten wir
hier entsprechend Verantwortung tragen und die User nicht mutwillig
einem (für sie) unnötigen Risiko auszusetzen (über dem Sie auch nicht
aufgeklärt sind). Mit v6 wird das natürlich nochmals eine Schippe schärfer.

--> Exposen muss aus meiner Sicht Opt-In sein.

Gerne können wir ein ungefiltertes Netz anbieten, jedoch muss dies, um
dem Opt-In gerecht zu werden eine andere SSID tragen.

Bspw "berlin.freifunk.net Exposed". Hier würde ich sogar weitergehen und
diese Netze entsprechend auch über IPv6 Global Erreichbar machen.


Ich finde damit wären doch alle Requirements gut abgedeckt und Nick und
Ich könnten ruhiger schlafen. Zudem würde damit das Netz ein bisschen
Freier, weil User *wirklich* Dienste anbieten können.



Bezüglich des Vorwurfs der fehlenden Rücksprache kann ich ebenfalls nur
entgegnen, dass wir das im besten Gewissen gemacht haben und uns dabei
nicht viel gedacht haben. Das Feature war da also haben wir es
aktiviert. Von einem "Konsens" den es wohl vor X Jahren mal gab, dass
Inbound nicht gefiltert wird und Client Isolation zu deaktivieren ist
habe ich nichts gewusst.


Simon



On 28.07.21 19:46, Nick wrote:
> On 7/28/21 7:00 PM, Martin Hübner wrote:
> 
>>   obwohl der Community-Konsens bisher "nicht Filtern" lautete.
> Ich wusste noch nichtmal das es so einen Community-Konsens gibt. Und man
> merkt ja gerade an der Diskussion das es diesen nicht mehr gibt. ;)
> 

> 
>>   dass er/sie Freifunk wie einen öffentlichen Hotspot betrachten soll:
>> potentiell unsicher.
> Hier gibt es halt auch Entwicklung. OWE, oder dieses 802.11u/hostspot
> 2.0 Zeug.
> Wie gesagt ich habe Lust zu entwickeln und Sachen voran zu bringen. Ich
> sehe das nicht so, dass es nur unsicher geht. Es gibt genug
> Möglichkeiten auch Sachen sicherer zu machen, z.B.
> - OWE
> - WireGuard Tunnel
> - (Wir könnten sogar anfangen aller Radius Server Zertifikate
> auszustellen, whatever)
> 
> Das tolle ist doch, dass es dank freier software und Vielfältigen
> Möglichkeiten, dies nebeneinander stehen kann?
> Wir haben alle verschiedene Motivationsansätze. Aber ich kann meinen
> Ansatz halt in die Tonne kloppen, wenn "berlin.freifunk.net"
> standardmäßig die unsichersten Sachen abbilden soll (wie ich schon
> beschrieben habe). Und meine Motivation ist auch ein möglichst
> zukunftsweisendes Netz zu bauen das viele Nutzer Glücklich macht. Ich
> will neue Sachen ausprobieren, akutelle Software nutzen, und die
> Entwicklungen mitnehmen und Testen (z.b. OWE, oder wireguard oder IPv6
> oder sonstwas)
> 

> Ich finde P2P auch schön und gut, aber ich sehe da gerade überhaupt
> keine Applikation für die heraus aus dem client netz angeboten werden
> sollte?
> 
> Es gibt leider gerade keinen Konsenz mehr in der Community. 
> 

> _______________________________________________
> Berlin mailing list
> Berlin at berlin.freifunk.net
> http://lists.berlin.freifunk.net/cgi-bin/mailman/listinfo/berlin
> Diese Mailingliste besitzt ein ffentlich einsehbares Archiv




Mehr Informationen über die Mailingliste Berlin