Vorschlag zur Webseite TTOC

    Es geht nicht um Geheimhaltung, sondern um Datensicherheit und ob z.B. die Anwenderdaten sicher sind, falls doch mal ein Hack passiert.
    Dazu verschlüsselt man z.B. eben die Anwenderdaten.
    Das betrifft die Kommunikation via PN, die Credentials, die privaten nicht öffentlichen E-Mailadressen, mit denen das Board Admin Mitteilungen, interne Mailings oder Benachrichtigungen versendet und natürlich die Anwenderdatenbank, nebst Passwörtern.
    Das sind meiner Meinung nach keine Gegenstände für Kompromisse sondern vielmehr die Mindestanforderungen.
    Da solche Events auch in den Logs eines Servers - respektive der virtuellen Maschine abgelegt werden, werden heute in einer sicherheitsbewussten
    administrativen Umgebung auch die Logs verschlüsselt.
    So werden auch alle Passwörter (gerade die der Admins) mit Hilfe spezieller Methoden verschlüsselt abgelegt (z.B. Salted Hash)
    Alle diese Dinge sollten für jeden Serverbetreiber zum absoluten Grundrüstzeug gehören.

    Nimm's nicht zu ernst. Ich weiss schon worum es geht ;)

    Habe die Anforderungen weitergegeben und gebe asap Feedback, wenn ich was weiss.

    Hi, bitte nicht angegriffen fühlen, war gar nicht so gemeint.
    Ich hab halt gerade mit solchen Sachen derart viel um den Hals, das ich lieber mal sehr deutlich werde um evtl Missverständnissen vorzubeugen.

    Ob es nun DAUs sind, die für alles dasselbe Passwort verwenden, ob es leichtsinnige Admins sind, oder gar unfähige,
    hinterher ist das Geheule immer groß.
    Keine Woche, in welcher in den einschlägigen Sicherbulletins keine Meldungen über teils Millionenfachen Datendiebstahl stehen.
    Klar, in einem TTOC Forum geht es nicht um Kreditkartendaten, oder um Gesundheitsdaten, aber deshalb muss man ja auch die anerkannten
    Mindeststandards nicht außer Acht lassen.

    Datenschutz- und Sicherheit beruht neben sauber implementierter SW un HW immer auch auf Policies - also gewissen Regeln, an die sich Admins und auch Anwender halten müssen.
    Das mag manchmal nicht immer bequem sein, aber es kommt allen Beteiligten zugute.

    Gab Antwort von meinem dad.

    Hier meine Antworten, aber bevor es mit den Antworten los geht: ich muss mehr wissen über den TTOC, was die Anforderungen tatsächlich sind. Anhand der Fragen könnte man meinen es handelt sich um eine sehr sicherheitsrelevante realtime Anwendung, mit extrem sensiblen Daten. Ich denke aber, ein Forum sollte dahingehend sicher sein, dass man einfach nicht an die Nutzerdaten kommt. Dafür ist der Betreiber des Forums verantwortlich?

    Smit, bevor ich zusage die Seite auf unserem Server zu hosten: was ist die Datenmenge (ftp auf Festplatte), bewegte Daten und Anzahl Besuche


    zu den Fragen:

    Wo steht der Server? (Privathaushalt,beim Hoster, im RZ?)

    http://www.all-inkl.com
    ALL-INKL.COM
    Hauptstraße 68
    D-02742 Friedersdorf

    Was ist mit Backup? (Wird ein geophysikalisch redundantes Backup gemacht?, Wie oft? Wo liegen diese Daten?)


    Backups können in der Regel 2 bis 4 Wochen Rückwirkend eingespielt werden (getrennt ob ftp oder Datenbanken). Die Häufigkeit hängt vom Grad der Nutzung ab. Wenn mehr gewünscht wird, dann kann eine zusätzliche Festplatte angeschlossen werden. Siehe hier eine Preisliste: http://all-inkl.com/server/zusatzdienste/


    (Welche Maßnahmen sind getroffen? - Bandsicherung, Sicherung optische Medien, Plattenspiegelung, RAID....)

    Backups sind auf unterschiedlichen Server mit entsprechenden RAID Systemen.


    Welche Recovery Time bei Hardwareausfall? (Welche Zeit wird benötigt, um Das Forum wieder vollständig online zu bekommen?

    Meine Erfahrung zeigt, dass dies ab dem Moment der Meldung nicht mehr als 10 bis 20 Minuten dauert.

    24/7 Zugriff auf HW möglich? (Ist Wartungspersonal 24/7 vorhanden? Kann es direkt an den Server, z.B. HW Reset)

    All-Inkl bietet 24/7 Support. Direkten Zugriff auf die Hardware haben wir selber nicht. Das machen die vor Ort.


    Welche Anbindung? (Wer sind die Provider? Ist die Anbindung ausfallsicher? Troughput? Redundant? ...)

    Die Frage habe ich mir noch nie gestellt weil kein Bedarf da war. Was der Provider selbst für eine Anbindung hat ist nicht bekannt. Die Antworte ist dann „ausreichend“.

    Rootrechte? (Haben die Admins des Boards Rootrechte?)

    Nein. Root Rechte gibt es nicht (da kann man auch nichts kaputt machen J). Nur FTP.

    Dedicated Server? (Ist der Server exclusiv für das TTOC oder befinden sich weitere Kunden auf dem Server?)

    Nicht dedicated. Das war ja zu viel des Guten J. Ein dedicated Server gibt es bei 1und1 ab 49,99€ im Monat. Unser Server ist doppelt so teuer wie ein vergleichbaren bei 1und1, aber der Support von All-Inkl ist es wert. Auf dem Server (http://all-inkl.com/server/server_xl/) sind einige Webseiten, die aber fast alle nur sehr geringen bis gar kein Datenverkehr verursachen. Als „richtig“ aktiv:

    http://www.pluslingua.com
    http://www.pks-team.de
    http://www.saunabauen.de

    Alles andere ist minimal.


    Läuft der Server in einer eigenen VM? (welche?)

    Kein VM. Es ist ein eigener dedizierter Server


    Wenn ja, wie sieht es mit proaktiver Datensicherheit aus? (Immer neueste Patche?)

    Ich habe mir diesbezüglich noch nie Fragen gestellt, weil das immer (seit mittlerweile 7 Jahren) einwandfrei funktioniert und ich immer die neuste technik, die neuste MYSQL Verson und die neuste PHP Version zur Verfügung hatte. Der Provider ist hier sogar sehr aktiv in Sachen Erkennung von Viren und blockt diese sofort ab wenn erkannt und informiert per Email.

    Datensicherheit des weiteren: Wie ich schon lange fordere: HTTPS mit PFS

    Es kann ein eigenen Zertifikat benutzt werden (was dann https://www.tt-owners-club.net/ wäre). Das ist dann aber Kostenpflichtig. Siehe http://all-inkl.com/server/zusatzdienste/.

    Zertifikat kann (sollte) man sich bei einem freien Zertifizierer holen.
    Soll mir recht sein. Kann importiert werden.


    Ist die Anwenderdatenbank verschlüsselt?

    Ja.


    Sind die Logs verschlüsselt?

    Nein. Aber in einem geschützten Verzeichnis. Wenn es um die IP Adressen geht: diese können aus dem LOG teilweise oder gänzlich unkennbar gemacht werden.


    Strikte Trennung zwischen den Daten und dem zugrundelegenden Betriebssystem bei der Bedienung / der Admin.

    Kein Zugriff auf Betriebssystem. Somit ist die Trennung sehr strikt.

    Es dürfen nur Leute auf Logs und Daten zugreifen, die eine entsprechende Zertifizierung für den Betrieb und den Datenschutz haben.
    Benennung dieser Personen für Haftungsansprüche die z.B. bei Datenlecks entstehen.

    Das hängt nicht mit dem Server/Provider zusammen. Dass muss der TTOC intern selber regeln.


    Zur Kür: welche SW will man überhaupt einsetzen, wie baut man die auf?

    Das überlasse ich gänzlich dem TTOC. Als Standard Installation gibt es zur Auswahl:


    CMS: Concrete, Contao, Drupal, Joomla, MODX, Typo3
    Blog: Wordpress
    Forum: phpBB3, Vamilla
    Bildergalerie: Koken, Lychee, PiwiGo
    Shop: modified eCommerce, Oxid, Presta
    Wiki: MediaWiki
    Sonstiges: Mantis, ownCloud, Piwik

    Alles andere muss “selbst” installiert werden.

    Hört sich nicht so schlecht an.

    Ich denke jetzt ist es an HerberTT und dem Vorstand, wie man verfahren möchte.

    THX für die Antworten und die besten Grüße an deinen Sr. ;)

    Eine Ergänzung noch zu der Anwendungsliste:

    Joomla, Typo3 und Wordpress sind sicherheitstechnische Albträume.
    Da würde ich ganz großen Abstand von nehmen.
    Mal so als Tipp: Bei den CMS mal Sugar und bei den ERP, CRM, SCM,- ADempiere ansehen. (Skalierbar von klein bis riesengroß)
    Das muss in einer Non-Komerziellen Umgebung auch nicht mal was kosten.

    Bei all-inkl sind wir mittlerweile seit 2008 Kunden und die Foren, die wir darauf führten liefen immer sehr sauber. Es gab keine Ausfälle und wenn mal eine technische Frage war, so war der Support hervorragend. Wir würden all-inkl. immer wieder empfehlen.

    Es liegen gewisse Angebote von der Agentur 3B vor, die jetzt der Vorstand ausdiskutieren muss.
    Nach dem letzten Skypegespräch wird sich definitiv etwas bewegen bzgl Webseite. Es steht noch aus in welchen Schritten oder ob alles auf einmal. Ist auch eine Budgetfrage.

    Ich kann nur ganz stark an den Vorstand appellieren, dass mindestens noch 2-3 weitere Angebote von anderen Agenturen eingeholt werden. Herbert ist dran an einer in München.

    • Offizieller Beitrag

    ja, wir sind dran und können zur MV die möglichen Optionen vorstellen.

    Ich denke wir können die wichtigsten Informationen vorab versenden, die Thematik ist nicht so trivial.

    Von den einfacheren Themen wie kleineren Veränderungen am Forum und Verbesserung an bestehenden Seiten wie Regionales. Da wäre eine neue Komponente wie eine Karte mit Merkern für jede Gruppe.