Wider den Fetisch des "keine IPs loggen" und "Wenn Cooky, dann bitte fragen!"

Cookies

Die Diskussion über das Speichern von IP-Nummern, wie sie hier von Bartolomeo/IMC linksunten losgetreten wird ist gefährlich und kontraproduktiv. Dass sich in England anhand einer derart irrelevanten Frage Indymedia-Netzwerke entzweien sollen ist bitter bis bezeichnend.

 

Inernet-Datenpakete werden auf ihrem Weg von IMC-Server zu meinem Rechner zuhause über ein gutes Dutzend (oft mehr) sog. Router weitergeleitet. In der Regel stehen diese Router bei kommerziellen Internet-Providern, zB der Deutschen Telekom. Dort lassen sich die IPs aller Nutzer_innen von IMC-Seiten problemlos mitschneiden und an Geheimdienste und die Polizei weiterreichen. Ob jetzt auf dem Zielserver die IPs auch noch mal geloggt werden ist dafür völlig irrelevant.

 

Jetzt wird aus der Tatsache, dass das mir-System einige IPs für ein paar Stunden im RAM speichert ein ungeheuerliches Tribunal gemacht. Menschen, die sich nicht stundenlang mit Technik auseinandersetzen wollen suggeriert dass: "Wenn bei den Ziel-Servern nur ÜBERHAUPT GAR NIEMALS IRGENDWELCHE IPs zwischengespeichert werden, dann ist ja alles gut! Falsch. Und deswegen ist die Diskussion, wie sie hier  und in England und auf den imc-Mailinglisten von Bartolomeo geführt wird kontraproduktiv und gefährlich.

 

Klar ist: Es sollten immer so wenig Datenspuren wie möglich zurückbleiben.

 

Deswegen finde ich es auch ärgerlich, dass indymedia-Linksunten (ohne mich darauf hinzuweisen) eindeutig identifizierbare Daten auf meiner Festplatte speichert. Die zwei Cookies nützen mir als End-User gar nichts und dienen lediglich irgendwelchem web-2.0-Schnickschnack.

 

Zeige Kommentare: ausgeklappt | moderiert

Wenn dir Sicherheit so sehr am Herzen liegt, dann fang doch damit an, https zu nutzen. Damit das Zertifikat vom Browser als gültig akzeptiert wird, solltest du das CAcert root-Zertifikat installieren. Damit wird eine verschlüsselte Verbindung zwischen deinem Browser und Indy linksunten aufgebaut und es ist "nur" noch sichtbar, dass du die Seite besucht hast, nicht jedoch, was du dort gemacht hast.

 

Zu deinem Kommentar, den du hier zu einem (schlechten) Artikel ausgebaut hast, noch einmal die Antwort:

Der Traffic beim Provider nutzt den Bullen nix, wenn er verschlüsselt ist. Bei Tor und VPN wird eine verschlüsselte Verbindung zum (ersten) Knotenpunkt aufgebaut, deshalb greift die Überwachung beim Enduser in diesem Fall nicht.

 

Zu den Cookies: Drupal verwendet Cookies zur Identifizierung des Users auf der Website. Das ist jedoch kein Sicherheitsrisiko, da diese Cookies auf dem Rechner des Users gespeichert werden. Dennoch versucht linksunten den Einsatz von Cookies zu reduzieren, so ist zum Beispiel auch das autologout-Modul installiert, das dafür sorgt, dass Logins nur eine gewisse Zeit gültig sind.

 

Die Frage, ob Accounts generell sinnvoll sind, wurde beim Start von Indy linksunten lange diskutiert. Das ist aber nicht "irgendwelcher web-2.0-Schnickschnack" sondern ermöglicht die Zuordnung von Artikeln zu Accounts (wenn gewünscht), die Änderung der eigenen Texte (wenn eine Vertrauensbasis da ist), die User-Moderation von Kommentaren (fertig implementiert, aber zur Zeit deaktiviert) und die Einrichtung von Blogs auf Indymedia linksunten (kommt demnächst).

 

Und zu der Person, die die Mails abgeschickt hat: Globale Indymedia-Listen sind über Liaisons organisiert. Das heißt, dass eine oder mehrere Personen aller IMCs auf den Listen stehen (sollten) und Mails ihrer Kollektive weiterleiten. Deshalb kommen zwar fast alle Mails von IMC linksunten auf den globalen Indylisten von einer Mailadresse, aber es sind Mails des Kollektivs, die lediglich weitergeleitet wurden.

Bedeutet das, dass auch der Name, unter dem ich Kommentare poste in einem Cookie gespeichert wird?

 

comment_info_name

Das Cookies im Gegensatz zu IP-Logging bsw. IP-Monitoring ein nur sehr kleines Problem darstellen wurde in dem Kommentar weiter oben schon erläutert. Grundsätzlich sollten entsprechende Sicherheitseinstellungen im Browser vorgenommen werden, es ist zum Beispiel ratsam Cookies nach dem Beenden des Browsers automatisiert zu löschen.


Mit dem Firefox funktioniert das so:

Bearbeiten -> Einstellungen -> Datenschutz

 

Dort unter Cookies ...behalten bis  Firefox geschlossen wird einstellen

Wenn mensch automatisches löschen der Cookies aktiviert hat hat auch dieser Cookie keinen Sinn mehr, wenn also davon ausgegangen wird das er kein Problem darstellt weil jeder Nutzer seine Cookies regelmäßig löscht frage ich mich warum es ihn denn nun gibt.

Doch, die Cookies machen bis zum nächsten schließen des Browsers durchaus Sinn, auch wenn sie danach gelöscht werden

Cookies können unter bestimmten Umständen ähnlich gefährlich oder gefährlicher als IP-Logging/Monitoring auf dem Webserver sein. Sie könnten zumindest als Indiz herangezogen werden, dass wer auf der entsprechenden Indymedia Seite war und - sofern wie bei linksunten der Benutzername auch noch im Cookie selbst gespeichert wird - das Pseudonym mit der realen Person verknüpfen. Das könnte zum Beispiel bei Beschlagnahmungen von mutmaßlichen Bekennerschreiber-PCs verhängnisvoll sein.

 

Bei de.indymedia.org hatten wir zur Layout-Umstellung vor einigen Jahren auch Diskussionen, ob automatisch in einem Cookie das zuletzt gewählte Layout gespeichert werden soll (de.indy-Startseite, linke Spalte bei "Stylesheet"), uns dann aber aus diesen Gründen dagegen entschieden.

 

Das Argument, dass Cookies im Vergleich zu IP-Monitoring "ein sehr kleines Problem" darstellen, weil sie von Benutzern ausschaltbar sind, ist deswegen relativer Unfug, da Leute mit ausreichend Fachwissen auch entsprechende Möglichkeiten zum Anonymen Surfen benutzen können (TOR etc.). Unter schlechten Voraussetzungen können beide Techniken sehr negativ für die Benutzer sein.

Das Problem mit den Bekennerschreiben sollte ja zumindest für de.indymedia.org keines sein, denn die werden da ja sowieso zensiert. Und auf linksunten veröffentlicht hoffentlich niemand ein Bekennerschreiben unter einem Account und nur Accounts tauchen in den Cookies auf. Und wenn doch, dann ist das vielleicht auch gewollt. Bei anonymen Postings wird bei linksunten wird natürlich kein Benutzername in Cookies gespeichert und anhand des Session Cookies lässt sich nicht nachvollziehen, welcher Artikel von welchem User gepostet wurde. Die Frage nach der Verwendung von Cookies ist die Frage, ob es die Möglichkeit von Accounts geben soll oder nicht.

 

Das IP-Logging von de.indymedia.org hingegen wurde jahrelang bewusst verschwiegen und das ist das eigentliche Problem. Solchen Moderatoren kann in Zukunft nicht vertraut werden, denn sie haben den Vertrauensbruch bereits in der Vergangenheit begangen. Insofern ist diese Diskussion hier nur Ablenkung, denn linksunten verschweigt keine Sicherheitsrisiken, sondern diskutiert offen darüber. Das "Indymedia Deutschland"-Kollektiv hingegen wurde beim Lügen erwischt und versucht nun seinen Ruf zu retten.

Naja, also ein (Groß?)Teil der Linksunten-Mods war bis ca. Anfang 2008 genau so im de.indy-Modkollektiv und offenbar mit den anderen Mods dort darüber einig, das Thema nicht an die große Glocke zu hängen, um bei entsprechenden Stellen keine Begehrlichkeiten zu wecken. Daher müssten sich diese den Vorwurf genau so zu Eigen machen.

Erstens stimmt es nicht, dass ein Großteil der linksunten-Mods bei de.indymedia.org aktiv war. Zweitens stimmt es nicht, dass diese Mods sich die Kritik zu eigen machen müssen. Denn von ihnen kam in den neun Monaten der Existenz der Freiburger Modgruppe die Kritik an der Speicherung der IPs und der Vorschlag, das IP-Logging ganz abzuschalten. Stattdessen wurde die Modgruppe im März 2008 ausgeschlossen und die Praxis der IP-Speicherung beibehalten. Erst die neuerliche Kritik Anfang 2010 scheint zu dem Patch geführt zu haben. Seit wann ist der eigentlich aktiviert?

Was ich mit meiner Ausführung meinte war, dass die Freiburger in dieser Zeit genau so die Öffentlichkeit im Dunkeln darüber gelassen haben - was eben damals Konsens war, um zu vermeiden, dass es deswegen Infiltrationsversuche gibt. Die Modgruppe wurde nicht wegen der Kritisierung des Spamfilters ausgeschlossen. Seit November letzten Jahres wird der Patch benutzt, aber es war eigentlich wenig später nachdem es von bart vor fast einem Jahr schon angesprochen wurde Konsens den Filter zumindest so weit zu entschärfen.

Die Aussage

Bei anonymen Postings wird bei linksunten wird natürlich kein Benutzername in Cookies gespeichert

war falsch. Tatsächlich wurde der Name in einem Cookie gespeichert. Das wurde nun durch einen Patch abgeschaltet.

Der Cookie comment_info_name wird vom Kommentar-Modul des Drupal Cores in module/comment/comment.module gesetzt:

 

 

/**

 * Validate comment form submissions.

 */

function comment_form_validate($form, &$form_state) {

  global $user;

  if ($user->uid === 0) {

    foreach (array('name', 'homepage', 'mail') as $field) {

      // Set cookie for 365 days.

      if (isset($form_state['values'][$field])) {

        setcookie('comment_info_'. $field, $form_state['values'][$field], time() + 31536000, '/');

      }

    }

  }

  comment_validate($form_state['values']);

}

 

Dieser Cookie wird nur bei anonymen Usern gesetzt und ermöglicht, dass in dem Kommentarfeld bereits der von anonymen Usern zuletzt verwendete Name steht. Da linksunten weder die Angabe von Mailadresse noch Website erlaubt (um die Anonymität der User zu wahren), wird nur dieser eine und nicht wie sonst drei Cookies gesetzt.

Tatsächlich merkt sich das comment.module des Cores den Namen, unter dem anonyme User Kommentare posten. Das könnte ein Problem sein, wenn jemand seine/ihre Cookies nicht löscht, deswegen haben wir das Cookie ausgeschaltet:

 

--- comment.module      2011-01-31 22:54:24.486345293 +0100
+++ comment.nocookie.module     2011-01-31 22:55:08.898335294 +0100
@@ -1488,15 +1488,15 @@ function comment_form_add_preview($form,
  * Validate comment form submissions.
  */
 function comment_form_validate($form, &$form_state) {
-  global $user;
-  if ($user->uid === 0) {
-    foreach (array('name', 'homepage', 'mail') as $field) {
-      // Set cookie for 365 days.
-      if (isset($form_state['values'][$field])) {
-        setcookie('comment_info_'. $field, $form_state['values'][$field], time() + 31536000, '/');
-      }
-    }
-  }
+//  global $user;
+//  if ($user->uid === 0) {
+//    foreach (array('name', 'homepage', 'mail') as $field) {
+//      // Set cookie for 365 days.
+//      if (isset($form_state['values'][$field])) {
+//        setcookie('comment_info_'. $field, $form_state['values'][$field], time() + 31536000, '/');
+//      }
+//    }
+//  }
   comment_validate($form_state['values']);
 }

Ich habe die Kritik zum Anlass genommen, alle Cookies, die von linksunten.indymedia.org gesetzt werden, zu untersuchen. Generell zu Cookies: das sind kurze Infos, die Websites im Browser des Users speichern.

 

Es werden (nachdem der Patch bzgl. des Cookies comment_info_name gestern aktiviert wurde) noch drei Cookies gesetzt:

  • Session Cookie. Dieser Cookie ist notwendig, um z.B. Anmeldungen zu ermöglichen. Auch anonyme User haben Session Cookies, die jedoch via session_expire regelmäßig aus der Datenbank gelöscht werden. Außerdem ist autologout installiert, so dass Anmeldungen nach einer gewissen Zeit verfallen.
  • has_js. In diesem Cookie wird gespeichert, ob der User JavaScript aktiviert hat. Daran erkennt der Browser, ob Fallback-Routinen benutzt werden sollen. Das sind Routinen, die JavaScript-Funktionalität in HTML für Browser nachbauen, bei denen JavaScript deaktiviert ist.
  • DRUPAL_UID. Dieses Cookie ist zur Unterscheidung in angemeldete und nicht angemeldete User da. Anhand des Cookies wird entschieden, ob der (angemeldete) User dynamische Seiten angezeigt oder der (anonyme) User Seiten aus dem (Varnish-)Cache angezeigt bekommt. Diese Unterscheidung ist sinnvoll, jedoch wurde bisher bei angemeldeten Usern nicht nur gespeichert, dass sie angemeldet waren, sondern auch unter welchem Account. Dies stellte eine Gefahr für die Anonymität von angemeldeten Usern dar, deshalb wird in Zukunft in dem Cookie nur noch eine 0 für anonyme User und eine 1 für angemeldete User gespeichert.

Ich hoffe, dass damit die Unklarheiten bezüglich der Cookies auf linksunten behoben sind. Auch wenn die Kritik wenig solidarisch und ohne Vorwarnung direkt öffentlich formuliert wurde, finde ich sie bereichernd, denn dadurch konnten Sicherheitslücken geschlossen werden.

 

Bezüglich meiner Kritik an de.indymedia.org: Zwar begrüße ich ausdrücklich briks' Patch, durch den die Mods nicht mehr die volle IP-Adresse einsehen können, jedoch hätte ich mir eine Reaktionszeit von unter drei Jahren nach der internen und unter einem dreiviertel Jahr nach der öffentlichen Kritik gewünscht.

 

Ich bin jedoch der Meinung, dass es inakzeptabel ist, dass de.indymedia.org weiterhin IP-Logs aller Postings anlegt (sonst könnten die IPs nicht durch den Patch für Mods verschleiert angezeigt werden). Diese Funktion muss ausgeschaltet werden, um die Anonymität der User nicht zu gefährden.

mcp hat vorgeschlagen, obigen Core-Patch durch eine hook-Funktion zu ersetzen. Das haben wir mittlerweile auf Indy linksunten umgesetzt. Im hook_form_alter überschreiben wir die Validierungsroutine für Kommentar-Formulare:

 

function indymedia_linksunten_form_alter(&$form, &$form_state, $form_id) {
  switch ($form_id) {
  ...

    case 'comment_form':

      ...
      $form['#validate'] = array('indymedia_linksunten_comment_form_validate');
      break;
  }

}

 

Die neue Validierungsfunktion für Kommentar-Formulare ruft ihrerseits nur noch die Core-Validierungsroutine für Kommentare auf:

 

function indymedia_linksunten_comment_form_validate($form, &$form_state) {
  comment_validate($form_state['values']);
}

 

Dadurch wird das Setzen des Cookies comment_info_name ausgeschaltet.

 


 

Wir haben zusätzlich ein Modul cookie_delete_comment_info_name programmiert und in linksunten eingebaut, das bereits gesetzte Cookies comment_info_name per JavaScript löscht:

 

cookie_delete_comment_info_name.info

name = Cookie Delete Comment Info Name
description = Deletes the comment_info_name cookie set by the core comment module for one year
dependencies[] = comment
core = 6.x
package = "Indymedia"
version = "6.x-0.1-dev"

 

cookie_delete_comment_info_name.module

<?php

function cookie_delete_comment_info_name_init() {
  drupal_add_js(drupal_get_path('module', 'cookie_delete_comment_info_name'). '/cookie_delete_comment_info_name.js');
}
?>

 

cookie_delete_comment_info_name.js

if (Drupal.jsEnabled) {
  var cookie = document.cookie.split(";");
  for (var i=0;i<cookie.length;i++) {
    if (cookie[i].substr(0,18).match("comment_info_name")) {
      document.cookie = 'comment_info_name=anonym;expires=;domain=;path=/';
    }
  }
}

Tor, PGP, Truecrypt und Menschen sind nicht sicher. Die letzte Backdoor bei Truecrypt wurde z.B. vor ein paar Monaten "public". Veröffentlicht werden die Lücken nicht, da sich daraus Profit schlagen lässt.  Akten zu Gerichtsprozessen zeigten jedoch, dass sich die Behörden an den o.g. Programmen die Zähne ausbeissen.

 

Zu Tor:

 

http://www.wired.com/politics/security/news/2007/09/embassy_hacks?curren...

warum tretet ihr hier eine solche schlammschlacht los?

wem nützt die?

 

ihr habt eine sicherheitslücke in mir angekreidet - bauscht sie jetzt ein wenig auf und macht da eine schlammschlacht draus - unglaublich.

de.indymedia hat es doch nie verschwiegen, dass es diese option gibt und sie genutzt wird - sie haben es nur nicht jedem direkt unter die nase gebunden. in den mailinglisten war das nie ein geheimnis.

statt dessen hat de.indymedia.org von anfang an versucht den nutzern klar zu machen, dass sie zum posten von artikeln tor benutzen sollen, da sie nicht einmal garantieren können, dass nicht doch ip´s von fremden mitgeloggt/gesnifft werden. dazu gab es ausführliche artikel und stellungnahmen schon lange bevor es linksunten gab.

 

zusätzlich - was wollt ihr erreichen? laut briks hat de.indymedia.org reagiert und irgend jemand (nicht ihr!) hat sich der sache angenommen und einen patch für die super-alt-dinosaurier-keiner-weiß-mehr-wie-sie-funktioniert-software MIR geschrieben.

ist doch super - freut euch doch.

 

statt dessen klingt hier nur das wehen danach durch, es de.indymedia.org doch nicht so gezeigt zu haben wie ihr gerne wolltet - schließlich habt ihr doch geplant, sie jetzt mal so richtig bloß zu stellen. das zumindest lese ich aus euren artikeln heraus. und das klingt für mich eher nach "jetzt mach ich deine sandburg kaputt" denn nach politisch vernünftigem umgang zweier schwesterprojekte miteinander. wenn das eure art von solidarität ist... aber hier wurde ja auch schon die aktion schwarzer phönix abgefeiert, seit dem darf mich eigentlich nix mehr wundern...

 

zu der problematik mit den cookies muss ich sogar eingestehen, dass ich mich schon fast gefreut habe, dass ausgerechnet euch nun ein sicherheitsfehler unterlaufen ist. und dafür gehe ich mich schämen, denn ich merke, dass ich in einem streit partei ergreife, wo der streit keinen politischen nutzen hat und damit unnütz ist. unterscheidet sich nicht wirklich von den üblichen linken grabenkämpfen - wo doch indymedias stärke immer schon war, über diesen zu stehen...

Der Skandal an der ganzen Sache ist nicht eine Sicherheitslücke in Mir, sondern der Umgang der Mods von de.indymedia.org damit. Deine Behauptung, dass auf den Listen über das IP-Logging diskutiert oder es auch nur erwähnt wurde, stimmt nicht. Aber vielleicht habe ich das auch einfach nur nicht mitbekommen, ergänze doch bitte die Links zu den Mails, denn die Listen sind ja öffentlich archiviert.

 

Für dich mag öffentliche Kritik eine "Schlammschlacht" sein, für mich ist sie in diesem Fall notwendig, um vorwärts zu kommen. Die Mods von de.indymedia.org wurden jahrelang auf das Problem hingewiesen und haben es (wie briks jetzt in den Kommentaren schrieb) nach einem 3/4 Jahr Diskussion nach einer öffentlichen Mahnung nach einer internen Antrag zwei Jahre zuvor endlich geschafft, das IP-Logging zu entschärfen - angeschaltet ist es offenbar noch immer.

 

In den Logs des Produktionsservers lässt sich also nach wie vor genau nachvollziehen, wer welches Posting gemacht hat, wenn kein Anonymisierungsdienst benutzt wurde. Diese Information muss öffentlich bekannt sein, damit sich Leute vor Repression schützen können. Die Veröffentlichung als unsolidarisch zu bezeichnen bedeutet, dass du den Ruf der Mods oder der Website höher gewichtest als den Schutz der User.

"In den Logs des Produktionsservers lässt sich also nach wie vor genau nachvollziehen"

 

moment. jetzt wird aus einem spam-filter eine log-datei auf dem produktionsserver.

das wäre tatsächlich etwas neues, wenn nun doch bei de.indymedia.org log-dateien angelegt werden - das wurde von de.indymedia.org immer dementiert. was stimmt denn nun?

da MIR open-source software ist, kannst du das ja bestimmt belegen, was du da gerade behauptest. ansonsten wirkt das hier nämlich langsam wirklich wie eine schmutzkampagne, wo mit ängsten und fehlendem technischem wissen gearbeitet wird.

denn im text oben sagt ihr selbst noch, dass log-dateien umständlich von den mods selbst hätten angelegt werden müssen.

das geht ja laut briks seit dem patch nicht mehr - und nun wird hier behauptet, dass doch ein log angelegt wird, auf den der spam-filter dann zugreift. wo liegt diese log-datei? wie heißt sie? wo steht das in MIR?

Ich vermute mal, dass es nicht um Mir geht, sondern um den zugrundeliegenden Webserver, auf dem Mir läuft - sei es Tomcat, Apache mit Java-Erweiterung oder etwas anderes. Denn wenn Mir die Daten bekommt (was ja auch mit dem Patch noch der Fall ist), dann muss der Webserver sie auch kennen. Ob da auf dem Produktionsserver von de.indymedia.org Logs geschrieben werden oder nicht entzieht sich meiner Kenntnis. Man kann aber mit Sicherheit anhand der Mir-Quellen weder belegen noch widerlegen, ob Logs geschrieben werden.

 

Zu deinen Beschönigungen: der "Spam-Filter" ist tatsächlich eine Liste mit Postings und dazugehörigen IP-Adressen. Das kannst du nun wirklich an den (mittlerweile wieder) öffentlichen Mir-Quellen sehen. Ob alle IP-Adressen der Artikel und Kommentare der letzten zehn Jahre an die Polizei gingen oder nicht, ob nun aktuell Logs geschrieben werden oder nicht: definitiv haben die Mods von Indy Deutschland gelogen, denn sie hatten Zugriff auf die IP-Adressen und es wurden Logs angelegt, nur eben (vielleicht) nicht dauerhaft gespeichert.

 

Und das jahrelange Lügen betrifft nicht nur die Mods von Indymedia Deutschland, sondern auch die von Indymedia Großbritannien: "In the early days of Indymedia UK, which recently celebrated it's 10th Birthday, site admins believed that they would never be able to gain the trust of posters, if the range of anti-abuse measures were made public." (siehe https://www.indymedia.org.uk/en/regions/birmingham/2011/01/472560.html)

 

Zu uk.indymedia.org und de.indymedia.org fällt mir nur noch die argentinische Losung ein: Alle müssen gehen!

Es gibt keine Logdateien mit IP-Adressen. Der Apache verwendet Custom Logformate, wo IP und User-Agent nicht enthalten sind. Die IP-Adressen werden von Mir nur temporär im Arbeitsspeicher vorgehalten, worauf der Spamfilter zugreift. Wie der Spamfilter funktioniert, steht im Wesentlichen hier: http://git.codecoop.org/projects/mir/repository/revisions/master/show/source/mircoders/abuse und bei /templates/admin/abuse(.log).template, wobei das die ungepatchte Version ist. Bei de.indy wird den Mods nur z. B. "123.123.123.x" angezeigt.

Die präzise IP bringt ja ohne Vorratsdatenspeicherung selbst für die Ermittlungsbehörden nichts, wenn sie nicht entweder die IP fast zeitgleich woanders entdecken oder wenn sie fast sofort zuschlagen. Interessanter ist ja die Lokalisierung der IP, was auch noch viel später geht. Und das geht mit dem Patch auch weiterhin, die Mods können also noch immer sehen, aus welcher Stadt ein Artikel oder Kommentar kommt? Und heißt das, dass ihr dann gleich ganze IP-Ranges sperrt?