Skip to content

security.txt

Kennt ihr noch die Datei robots.txt, die auf verschiedenen Webseiten hinterlegt sind? Dahinter stand der Robots Exclusion Standard und die verschiedenen Bots sollen zuerst die Seite ausweren, bevor sie eine Webpräsenz indexieren. Daneben entstand auch die Idee für eine humans.txt und mit dem “Erschaffen” des .well-known-Verzeichnisses auf dem Webserver gibt es eine ganze Reihe Dateiformate zur Information oder für andere Zwecke.

Seit April 2022 gibt es nun den RFC 9116 für die Datei security.txt. Diese soll anderen helfen, Sicherheitslücken an die richtige Stelle zu melden. Denn oftmals steht das Problem, dass eine Schwachstelle gefunden wurde und es vielleicht unklar ist, wohin diese zu melden ist.

Mail wäre natürlich eine mögliche Wahl. Im besten Fall existiert sogar eine E-Mail-Adresse namens security@. Aber sehr häufig ist dies nicht der Fall. Mails an info@ oder ähnliche Adressen landen eher im Nirwana oder werden mit Standardtextbausteinen beantwortet. Daher ist ein gezielter, standardisierter Weg gut.

Der RFC 9116 definiert hierfür eben die Datei security.txt, die im Unterordner .well-known einer Webpräsenz liegen muss. Die Datei selbst muss über HTTPS erreichbar sein. Ein korrekter Pfad wäre also https://example.com/.well-known/security.txt.

Doch was darf da drin stehen? Naheliegend sind Kontaktinformationen. :-) Spezieller Informationen, an die man Informationen zu Schwachstellen melden kann. Hierfür ist der Eintrag Contact: gedacht. Dieser muss in der Datei enthalten sein und sollte die Kontaktmöglichkeiten in absteigender Reihenfolge enthalten. Daneben benötigt die Datei zwingend ein Ablaufdatum. Eine Minimalversion der Datei kann also so aussehen:

Contact: mailto:security@example.com
Expires: 2023-05-01T12:13:24+02:00

Weiterhin könnt ihr in der Datei Informationen zu einer Policy hinterlegen, welche Sprachen ihr sprecht, ob ihr Leute einstellt, wer in der Vergangenheit Lücken meldete und einen Verweis zu einem Schlüssel machen. Eine erweiterte Version der Datei sähe also so aus:

Contact: mailto:security@example.com
Contact: +49-123-456-7890
Contact: https://example.com/meldeformular.html
Policy: https://example.com/security-policy.html
Preferred-Languages: de, en
Acknowledgments: https://example.com/hall-of-fame.html
Encryption: https://example.com/pgp-key.txt
Expires: 2023-05-01T12:13:24+02:00

Hier sind mehrere Kontaktmöglichkeiten genannt. Es gibt eine Policy. Die Leute sprechen Deutsch und Englisch und ihr bekommt Infos über andere, die etwas gemeldet haben. Am Schluss findet sich auch ein PGP-Schlüssel. Optimalweise würde der über Web Key Discovery bereit gestellt. Aber das ist ein Thema für einen anderen Beitrag. ;-)

Schließlich könnt ihr den Eintrag auch noch mittels OpenPGP signieren. Dann sähe meine obige Datei so aus:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Contact: mailto:security@example.com
Contact: +49-123-456-7890
Contact: https://example.com/meldeformular.html
Policy: https://example.com/security-policy.html
Preferred-Languages: de, en
Acknowledgments: https://example.com/hall-of-fame.html
Encryption: https://example.com/pgp-key.txt
Expires: 2023-05-01T12:13:24+02:00

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.2.19

[Viele Zeichen, die gpg auswerten kann]
-----END PGP SIGNATURE-----

Wenn ihr also eine Schwachstelle gefunden habt, dann lohnt es sich nach der Datei zu schauen und die dort genannten Kontakte anzusprechen. Ich habe mal ein wenig gegraben. Bei den großen, bekannten Seiten, wie Google, Facebook, Twitter, GitHub usw., fand ich jeweils eine solche Datei. Seiten aus dem Microsoft-Universum wie auch viele chinesische Seiten haben keinerlei solche Informationen.

Ansonsten ist das Bild recht gemischt. Während beispielsweise Facebook und WhatsApp eine security.txt anbieten, hat Instagram keine, obwohl alle zum selben Konzern gehören.

Unter andere namhaften Seiten fand ich nichts bei

  • Reddit
  • Wikipedia
  • Zoom
  • Netflix
  • Stackoverflow
  • Apple
  • und weiteren

Hier ist also noch ein wenig Arbeit zu tun. Wenn die Datei auch bei euch oder eurem Arbeigeber fehlt, sprecht die doch an und bittet die, diese Informationen bereitzustellen (und natürlich bei Bedarf zu aktualisieren).

Siehe auch:

Update: Ich hatte übersehen, dass das Expires:-Feld auch ein Pflichtfeld ist und habe die obige Beschreibung ergänzt. Vielen Dank an Jürgen für den Hinweis!

Einbindung von Flickr doch konform zur DS-GVO

GDPR
GDPR & ePrivacy Regulations von Dennis van der Hejden. Original bei Flickr

Vor kurzem stellte ich mir hier im Blog die Frage, ob man noch Bilder des Dienstes Flickr einbinden kann. Nach meiner Prüfung kam ich zu dem Schluss, dass dies nicht mehr der Fall ist und entfernte die Bilder aus meinem Blog.

Heute hielt ich einen Workshop, der u.a. auch die Datenschutz-Grundverordnung zum Thema hatte. Dort fragte mich ein Teilnehmer, ob denn das Land Thüringen eine korrekte Datenschutzerklärung (DSE) hat. Der folgende Abschnitt brachte mich dann doch ins Staunen:

Flickr

Innerhalb unseres Onlineangebotes können Funktionen und Inhalte des Dienstes Flickr eingebunden sein. Flickr ist ein Foto- und Bilder-Dienst des amerikanischen Unternehmens SmugMug Inc. (67 E. Evelyn Ave, Suite 200
Mountain View, California, U.S.)Wenn Sie selber Flickr aktiv nutzen und ein Bild oder Video veröffentlichen, können wir ihn ebenfalls sehen, wenn Sie ihn jedermann zugänglich gemacht haben oder wenn wir Ihnen über Flickr folgen. Ebenfalls können wir Ihre Angaben auf Flickr sehen, wenn thueringen.de Ihrem Profil folgt. Einzelheiten zur Verarbeitung der Daten bei Flickr und den Sichtbarkeitseinstellungen entnehmen Sie bitte den Datenschutzbedingungen von Flickr bzw. Oath (ehemals Yahoo): policies.oath.com/ie/de/oath/privacy/index.html  

Das heißt, das Land Thüringen ist der Meinung, rechtmäßig Flickr-Bilder einbinden zu können. Wie kann das sein?

Weder Flickr noch Yahoo! noch eine der anderen Firmen steht bisher auf der Privacy-Shield-Liste. Und die Datenschutzbedingungen von Flickr gaben doch bisher auch nichts her. Aber: Unter anderen ist das Datenschutzcenter von Oath mit verlinkt. Dort steht gleich am Anfang:

Für Produkte oder Dienste von Oath, auf die ohne Anmeldung bei einem Account zugegriffen wird, gilt diese Datenschutzerklärung für diese Produkte und Dienste ab 25. Mai 2018.  

Flickr gehört mit zu Oath. Also gelten diese Bedingungen auch für Flickr. In der DSE steht drin, dass die Oath (EMEA) Limited in Dublin diese Dienste bereitstellt und damit wohl Verantwortlicher im Sinne der DS-GVO ist. Also werden die Daten von einem Unternehmen mit Sitz in der EU verarbeitet und die DS-GVO möchte ja den freien Verkehr personenbezogener Daten fördern (oder zumindest nicht einschränken).

Weiterhin erklärt Oath, dass sie die Standardvertragsklauseln der EU-Kommission verwenden bzw. nur Daten mit Unternehmen austauschen, die nach Privacy Shield zertifiziert sind.

Insgesamt scheint die Datenschutzerklärung den Anforderungen der Art. 13 und 14 DS-GVO zu entsprechen. Und auch inhaltlich ist es jetzt so, dass man wohl doch bedenkenlos Bilder von Flickr in seinem Blog einbinden kann.

Call for action: Please send me an encrypted file

tl;dr: Please encrypt a file and send it to me together with a (short) description, how I can make it readable for me.

Everyone is talking about encryption and nobody does it. This is a short summary of my initial asumption. Did you ever try to encrypt a file and to send it someone? How did you do it?

This is a fairly simple and basic task which you can present in a beginner’s course:

Assume another person uses a public computer (Internet cafe, library, etc.). You want to send a file to this person and keep the content confidential to other people. Encrypt a file on your computer and send it to the person.

I ask myself how you would do it. Thatswhy I decided to conduct a little experiment: Dear reader, please encrypt a (no so big) file and send it to me (via mail to enc2018@kubieziel.de, you can use my PGP key if you like, comment this post or use some other means to contact me). Add some information which to decrypt the file. You have no idea how to do this? I desperately want to know about it. Please write a mail or leave a comment. You tried and failed? I desperately want to know about it. Please write a mail or leave a comment. I would like to know how easy or hard this task is.

I plan to analyse the data on a anonymous basis and will introduce some tools in later posts.

Aufruf: Schick mir eine verschlüsselte Datei

tl;dr: Bitte verschlüsselt eine Datei und schickt mir diese zusammen mit einer (kurzen) Beschreibung, wie ich die lesbar mache.

Alle Welt redet von Verschlüsselung und keiner macht es. So könnte man meine These kurz zusammenfassen. Habt ihr schonmal versucht, eine Datei zu verschlüsseln und diese jemand anderem zuzusenden? Wie habt ihr dies angestellt?

Aus meiner Sicht ist das eine einfache, grundlegende Aufgabe, die man in jedem Anfängerkurs stellen könnte:

Stelle dir vor, dein Gegenüber nutzt einen öffentlichen Computer (Internetcafe, Bibliothek etc.). Du möchtest mit diesem eine Datei austauschen, deren Inhalt nur ihr beide kennt. Verschlüssele eine Datei auf deinem Rechner und übermittle diese an dein Gegenüber.

Ich frage mich nun, wie ihr das machen würdet. Daher habe ich mich zu einem kleinen Experiment entschlossen: Liebe Leserinnen und Leser, bitte verschlüsselt eine (nicht allzugroße) Datei und schickt mir diese zu (per E-Mail an enc2018@kubieziel.de, hinterlasst einen Kommentar oder kontaktiert mich anderweitig) . Legt ein paar Informationen bei, wie ich die wieder entschlüsseln kann. Ihr wisst nicht, wie ihr das machen könnt? Schreibt mir bitte unbedingt eine Mail an enc2018@kubieziel.de oder hinterlasst unten einen Kommentar und erzählt mir davon. Ihr habt es probiert und seid daran gescheitert? Schreibt mir bitte unbedingt eine Mail an enc2018@kubieziel.de oder hinterlasst unten einen Kommentar und erzählt mir davon. Ich würde gern wissen, wie einfach oder schwierig dies für euch ist.

Ich plane, die Umfrage später anonymisiert auszuwerten und ggf. in weiteren Beiträgen verschiedene Werkzeuge vorzustellen.

 

Podiumsdiskussion zur NSA mit Martina Renner

Heute gibt es wieder eine Veranstaltungsankündigung. Am morgigen Dienstag, dem 09. September 2014, werde ich zusammen mit Martina Renner einen Vortrag mit anschließender Podiumsdiskussion in Jena halten. In der Veranstaltung geht es um den NSA-Untersuchungsausschuss. Zu Anfang werden wir einige Details zur NSA, zu deren Überwachungsprogrammen und zu den Entwicklungen beim Untersuchungsausschuss erzählen. Anschließend stellen wir uns den Fragen aus dem Publikum.

Wer teilnehmen mag, sollte vor 18 Uhr im Hörsaal 8 im Unigebäude in der Carl-Zeiss-Str. 3 sein.

Podiumsdiskussion zu Snowden und NSA mit Ströbele und Dreyer

Die Räume der Friedrich-Schiller-Universität Jena hatte heute zu ungewöhnlicher Zeit ungewöhnliche Gäste. Zur Mittagszeit, wo sonst der Vorlesungsbetrieb in vollem Gange ist, trafen sich verschiedene Politiker, Wissenschaftler und interessiertes Publikum. Die Fraktion von Bündnis90/Grüne hatte zusammen mit der Heinrich-Böll-Stiftung Thüringen, den Politiker Hans-Christian Ströbele und den Politikwissenschaftler Prof. Dr. Michael Dreyer. Beide sollten gemeinsam eine Podiumsdiskussion zum Thema Snowden und NSA bestreiten.

Ströbele erzählte zu Beginn seines Vortrages von seinem Besuch in Moskau bei Edward Snowden. Währenddessen oder kurz danach hatte er sich vorgenommen, den Whistleblower zu unterstützen. Dies sollte zum einen durch die Errichtung eines Untersuchungsausschusses wie auch durch einen Aufenthalt Snowdens in Deutschland passieren.

Der NSA-Untersuchungsausschuss lag zu Beginn der Legislaturperiode in weiter Ferne. Die SPD, die vor der Wahl noch einen anderen Zungenschlag hatte, verlor mit Regierungsbeteiligung das Interesse an Snowden. Interessanterweise war es die CDU, die den Weg zu dem Untersuchungsausschuss ebnete. Ströbele machte hierfür den Druck aus den Reihen der Bevölkerung verantwortlich. Im Verlaufe des Vortrages versuchte er immer wieder klar zu machen, dass politischer Druck »von der Straße« durchaus in die Politik einwirkt. Die Schritte, die dann passieren, sind leider klein, manchmal zu klein.

Mittlerweile wurden erste Juristen im Untersuchungsausschuss angehört. Auch hier erwähnte Ströbele, dass alle drei Juristen einhellig meinten, dass die Überwachung des BND verfassungswidrig ist. Hier gilt es nun, die Gesetze und auch die Arbeit des parlamentarischen Kontrollgremiums anzupassen. Dies soll nach dem Vorbild des United States Senate Select Committee on Intelligence sowie ähnlicher Behörden passieren. Diese haben neben den eigentlichen Gremiumsmitgliedern eine Reihe von unterstützenden Mitarbeitern. Die Mitarbeiter helfen dann beispielsweise bei der Einschätzung technischer Fragen.

Ströbele erwähnte einige Male stolz das Unternehmen Posteo. Das kümmert sich um gute Verschlüsselung und sitzt in Kreuzberg. Ich war ja versucht, noch mailbox.org zu erwähnen. Auch das Unternehmen sitzt in Berlin und verschlüsselt die Daten auf dem Transportweg wie auch in der Inbox. :-)

Insgesamt regte Ströbele an, dass sich US-Unternehmen, die Probleme wegen starker Verschlüsselung bekommen haben, in Deutschland ansiedeln.

Zum Abschluss seines Vortrages klebte er einen Ein-Bett-für-Snowden-Aufkleber in den Hörsaal und überließ Prof. Dreyer das Wort.

Dreyer bemühte sich um Gegenrede. Denn nach seinem Bekunden ist ein Podium mit gleichen Meinungen langweilig. Nachdem er einen Werbeblock für diverse andere Veranstaltungen abgespult hatte, fragte er das Publikum, wer denn Jonathan Pollard kenne. Erwartungsgemäß meldete sich (fast) niemand. Pollard gab Dokumente an den israelischen Geheimdienst (oder, wie die offizielle Bezeichnung lautete, das Büro für wissenschaftliche Verbindungen) weiter. Dafür wurde Pollard zu lebenlänglicher Haftstrafe verurteilt. Seit der Verurteilung setzte sich ziemlich jeder israelische Premier bei dem jeweiligen US-Präsident für die Freilassung ein. Bisher waren alle ohne Erfolg. Dreyer nahm dies als Beispiel oder Parallele für ein eventuelles Vorgehen gegen Snowden. Aus meiner Sicht hinkt dieser Vergleich jedoch. Denn Pollards Veröffentlichungen sorgten für die Enttarnung diverser CIA-Agenten und vermutlich sogar für Hinrichtungen einiger Agenten. Das Damage Assessment besteht aus diversen Dateien. Auf der anderen Seite versuchte Snowden Dokumente zu wählen, die niemandem einem Risiko aussetzen und die auch keine legitime nachrichtendienstliche Tätigkeit aufdeckt. Stattdessen versuchte er nur den ungesetzlichen Teil aufzudecken und mit Dokumenten zu belegen. Daher würde ich erwarten und hoffen, dass er im Falle eines Gerichtsverfahrens wenig streng bestraft wird.

Die anderen Argumente Dreyers bezogen sich auf die Auslieferungsabkommen, die Deutschland natürlich einhalten muss. Ströbele wandte ein, dass einerseits die Regierung sich gegen eine Auslieferung aussprechen kann und andererseits die Auslieferung für politische Vergehen verboten ist. Die Bundesregierung wurde angefragt, ob es sich bei Snowden um einen solchen handelt. Daraufhin fragte die Regierung in den USA nach deren Meinung. Das sorgte für einige Lacher im Publikum.

Dreyer schlug weiterhin vor, statt Snowdens lieber Glenn Greenwald oder Laura Poitras einzuladen. Hier stellte sich heraus, dass er diesen Aspekt nicht gut vorbereitet hatte. Denn beide sind bereits eingeladen. Allerdings werden sie wohl keine Aussage machen, sondern als Journalisten Quellen schützen.

Die Empfehlung von Dreyer war, dass sich alle umfassend Gedanken über Vor- und Nachteile machen sollten. Diese Gedanken sollten als Grundlage einer Entscheidung stehen und eventuelle Emotionen sollten zurücktreten.

Insgesamt fand ich die Veranstaltung sehr schön. Gerade dadurch, dass Prof. Dreyer versuchte, einen Kontrapunkt zu setzen, wurde die Diskussion interessanter und einige Argumente traten stärker zu Tage. Ich würde mir mehr solcher Veranstaltungen wünschen. :-)

tweetbackcheckcronjob