Thema Websicherheit »
Etwas mehr Privatheit für alle
Medienpädagogik hat immer wieder auch mit Vorbildfunktion zu tun – und das gilt auch für ein einschlägiges Praxis-Blog. Und weil sich nach den Enthüllungen von Edward Snowden viele Praxen auch im Detail ändern müssen, gehen wir an einer Stelle, die uns betrifft, mit gutem Beispiel voran: Ab sofort sind sowohl unser Medienpädagogik Praxis-Blog als auch das Medienpad standardmäßig mit einer verschlüsselten Verbindung zu erreichen – erkennbar an einem https in der Adresszeile und einem Schlosssymbol in den meisten Browsern.
Was bedeutet das? Und wieso überhaupt?
Normalerweise werden Daten einer Website unverschlüsselt durchs Netz an den/die Leser_in gesendet, d.h. rein theoretisch können andere mitlesen, was ich im Netz lese. Viele Websites (zuallererst Banken, Mailanbieter usw.) bieten daher Verschlüsselung via https an und dann ist «von außen» nur erkennbar, auf welchen Websites ich mich bewege – alle anderen Daten werden durch eine Art «Tunnel» geschickt.
In unserem Fall (zumindest im Blog) geht es zwar nicht um private oder besonders vertrauenswürdige Informationen. Die Entscheidung darüber möchten wir aber nicht für andere treffen und einfach dazu beitragen, dass es mehr Privatheit im Netz gibt und eben keine Vollüberwachung. Und daher werden alle Pads im Medienpad sowie unser Blog ab sofort verschlüsselt ausgeliefert.
Danke!
Ein Dank geht einmal mehr an unsere Patinnen und Paten, die durch ihre Förderbeiträge ermöglichen, dass wir unser Blog auf einem so hohen Standard betreiben können!
Und wie gehts?
Weil wir ein Praxis-Blog sind, schreibe ich auch noch ein paar Empfehlungen und Erfahrungen auf für alle, die ihre Website ebenfalls auf https umstellen möchten:
- Ob und wie das Anbieten einer SSL-Verschlüsselung für die eigene Domain überhaupt funktioniert, das hängt von dem/der konkreten Provider_in ab: uberspace bietet https für alle Accounts via Subdomain an, dort und anderswo sind auch für eigene Domains SSL-Zertifikate möglich.
- Wenn es nur darum geht, die Verbindung zu verschlüsseln, sind selbstgezeichnete Zertifikate via CAcert eine hervorragende (kostenlose) Lösung, ansonsten bietet auch StartSSL kostenlose Zertifikate für die eigene Domain. Manche Provider_innen haben Rahmenverträge mit anderen Zertifikatsanbieter_innen – hier lohnt aber ein genauer Blick, ob ein kostenpflichtiges Zertifikat wirklich erforderlich ist.
- Die Standard-Umstellung der Domain auf https ist ein Schritt, ein zweiter (und wichtiger) ist aber, dass auch alle Daten auf den einzelnen Seiten (insbesondere Fotos und Videos) via https übertragen werden. Dazu müssen alle URLs in einzelnen Artikeln umgestellt werden – in unserem Fall haben wir das weitgehend gemacht, gerade bei älteren Artikeln kann es aber vorkommen, dass einzelne Fotos oder Videos nicht per https übertragen werden. Das ist der Grund, warum der Browser manchmal meldet, dass «nur teilweise» eine Verschlüsselung vorliegt. Nicht ganz brilliant, aber aus unserer Sicht ein notwendiger Kompromiss.
In jedem Fall lohnt es sich, sich damit zu beschäftigen, ob denn die eigene Website verschlüsselt werden soll. Gerade bei Projekten mit Kindern oder Jugendlichen eine wichtige Fragestellung.
Die Schwachstellen von WordPress
Wordpress ist zum Quasi-Standard geworden, wenn es um Webprojekte mit Kindern und Jugendlichen in der Medienpädagogik geht – aber auch bei Projekt- und Institutionswebsites. Aber ebenso wie die Beliebtheit bei Websitemacher_innen steigt, so nehmen auch Hacker_innenangriffe auf WordPress-Websites zu – bei unserem Blog sind es teilweise täglich mehrere hundert.
Sich gegen solche Angriffe zu wappnen und Sicherheitslücken zu schließen, aber auch grundlegendes Wissen über Website- und Netzsicherheit zu erlangen, sind daher gute Motive dafür, sich mit Hacker_innenstrategien auseinandersetzen. Mike Kuketz hat jüngst in seinem Blog einen lesenswerten Artikel zum Thema veröffentlicht, bei dem zumindest ich viel gelernt habe – und ihn daher gerne weiterempfehle.
Die 25 gefährlichsten Programmierfehler
Viele medienpädagogische Projekte berühren – zumindest minimal – die Software-Entwicklung: Vielleicht nur in Form von ein paar Javascript-Erweiterungen von statischen Webseiten, vielleicht in Form von ein paar PHP-Dateien für eine dynamische Webseite, vielleicht in der Form von ein paar Zipfeln Actionscript in einem Flash-Movie oder -Spiel, und demnächst sicherlich auch in Form von Menüs auf Blu-ray Disc. Den ganzen Beitrag lesen