Forumhosting teilweise durch CDN (funkforum.global.ssl.fastly.net)

Guck es Dir an :slight_smile:

openssl s_client -connect funkforum.global.ssl.fastly.net:443
CONNECTED(00000003)
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=US/ST=California/L=San Francisco/O=Fastly, Inc./CN=a.ssl.fastly.net
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
   i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA

openssl s_client -connect forum.freifunk.net:443
CONNECTED(00000003)
depth=2 C = CN, O = WoSign CA Limited, CN = Certification Authority of WoSign
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/CN=forum.freifunk.net
   i:/C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
 1 s:/C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
   i:/C=CN/O=WoSign CA Limited/CN=Certification Authority of WoSign
 2 s:/C=CN/O=WoSign CA Limited/CN=Certification Authority of WoSign
   i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority

Gruß Jörg

das tut mir leid fĂŒr dich. ich sehe es nach wie vor so, dass wir, als Freifunk, dienste mit vorbildfunktion betreiben sollten. in diesem fall: selber hosten, nicht unnötig externe parteien (in diesem fall 2) mit metadaten versorgen.

Das tut mir leid fĂŒr dich. Ich sehe es nach wie vor so, dass ein Forum funktionieren sollte, anstelle mit ĂŒbertriebener aluhutigkeit sinnlose Forderungen und „Ethik Standards“ auf Basis von Halbwissen die wenige und wertvolle Arbeitszeit von Fachpersonal zu binden, die besser in der weiteren Technischen Realisierung investiert wĂ€re.

3 Likes


Moment, suche grad noch meinen Aluhut


So. Jetzt! :grinning:

Im Ernst: Es ist aus meiner Sicht weder eine sinnlose Forderung noch sind es ĂŒbertriebene Ethik-Standards, wenn BedĂŒrfnisse in Richtung Metadaten-Sammel-Vermeidung formuliert werden.

Vergleiche dazu bitte die öffentliche Positionen auf freifunk.net hinsichtlich Datenschutz/PrivatsphĂ€re und die explizit von Freifunk.net unterstĂŒtzten Kampagnen.

Auf der einen Seite solche öffentlichen Positionen zu beziehen und Forderungen in Richtung Politik aufzustellen, selbe diese im Grunde nicht zu leben, passt nicht so wirklich - meine Sicht.

Dann muss man prĂŒfen, wie das zu realisieren ist und plant entsprechend mittelfristig.
Kurzfristig muss das Forum laufen. Wenn dazu zunÀchst ein CDN dieser jetzigen Art benutzt werden musste, ok.

Aber bitte mittel-langfristig eigene Standards beherzigen - oder diese nicht nauch außen aufstellen. Das ist inkonsequent.

Aluhut zurĂŒck zur Ionenbehandlung :wink:

LG
Jörg

4 Likes

Mal ganz unabhĂ€ngig von der bisherigen Diskussion, glaubt ihr wirklich das selber hosten euch vor irgendeiner Art von Datensammlung schĂŒtzt?

Hat sich eigentlich irgendjemand der hier Diskutierenden mal ernsthaft mit den Geschehnissen rund um die BND Affaire befasst?

Selbst wenn ihr die Server in eure Keller stellt, davor schlaft und euren Vorgarten vermient, man kommt trotzdem an die Daten.

Wer sie sammeln will leitet sie an einem Peering Point aus und hat sie.

Auch die hochgehaltenden Bewegungsdaten/ Metadaten können mit externen Tools abgefangen werden, denn keiner weis ob nicht irgendeiner der Transitserver vielleicht kompromitiert ist.

Man könnte zwar selber hosten, damit eure Chance VIELLEICHT senken das man die Datenhoheit verliert, objektiv ist das aber eine MilchmĂ€dchenrechnung und am Ende bleibt nicht mehr als ein „gutes GefĂŒhl“.

Also ich bitte euch erneut, das ist ein CDN kein Passwort und Bankdatenausleitendes Schattennetzwerk.

So und mach ich den Hasen um Saurons Blick auszuweichen 


1 Like

Der Cache von Fastly ist prinzipiell auch fĂŒr den gesamten Traffic zum Forum nutzbar, da er schlicht alle Anfragen an das Forum durchleitet. Dazu verwendet er ein ein eigenes Zertifikat, um sich vor den Usern auszuweisen und bei der Verbindung zum Applikations-Server prĂŒft er, ob dieser ein stimmiges Zertifikat hat.

1 Like

Das von dir beschriebene Szenario wÀre ein MITM Angriff und findet nicht statt. Bitte bei der Diskussion sachlich bleiben.

2 Likes

(Beitrag wurde vom Autor zurĂŒckgezogen und wird automatisch in 24 Stunden gelöscht, sofern dieser Beitrag nicht gemeldet wird)

Nur mal so als Hinweis: Das Forum lÀuft momentan super stabil und schnell, danke an alle, die da Arbeit reingesteckt haben.

6 Likes

Ist natĂŒrlich schon kritisch, wenn irgendwelche CSS-Files und dergleichen unverschlĂŒsselt im Cache liegen


3 Likes

@anonhamborg Schau dir doch mal den HTML Source des Forum an. Dort siehst du, dass nur die Stylesheets und Javascripts ĂŒber fastly ausgeliefert werden. Richtig wĂ€re also:
HTML/JSON: FFRL Server <-> Client
JS/CSS: FFRL Server <-> FASTLY <-> CLIENT
Wie @nomaster geschrieben hat, geht es um einen Teil der Assets

Da vergleichst Du Äpfel mit Birnen, Ă€h nein, mit Gummisandalen
 :confused:

Staatliche Überwachung ala NSA/BND und Peering Port-Abgriffe kannst Du nicht verhindern, klar.

Verhindern kann ich aber beim Hosting auf eigener Hardware mit Serverstandort Deutschland und vertrauenswĂŒrdigem inlĂ€ndischen Hoster, dass kein Datenabfluss an Datenkraken oder Auslandsbehörden erfolgt.

Und/oder zusÀtzlich kann aufgrund von Gesetzen der auslÀndische Hoster gezwungen sein, die Daten an Behörden/Geheimdienste rauszugeben.

Fazit: Selberhosten in DL und ohne auslĂ€ndisches CDN sorgt fĂŒr weniger (Meta)Datenabfluss.

1 Like

Tut mir leid aber du lieferst dir in deinem Text den „Gegenbeweis“ selbst.


sorry, aber Du möchtest mich mit aller „Gewalt“ nicht verstehen, oder?

Es ist fĂŒr mich definitiv ein Unterschied, ob ich durch mein Verhalten (Serverstandort, Host-Anbieter) leicht ermögliche, z.B. einem bekannten US-Konzern mit nachgesagter Datensammelleidenschaft eben Zugang zu (Meta)Daten zu verschaffen. Und wenn ich weiß, dass US-Firmen der NSA nach US-Gesetz die Daten zugĂ€nglich machen muss, dann nutze ich sowas einfach nicht.

Wenn mein Datenverkehr z.B. im Frankfurter DE-CIX behördlicherseits aus einer Glasfaser ausgeleitet wird, dann kann ich auch noch so gute Serverstandorte und Hostanbieter in DL oder Timbuktu wÀhlen, da kann ich nix gegen tun. Dabei wird ja JEGLICHER Datenverkehr abgeschnorchelt.

Also nix mit „Gegenbeweis“


Du hast es offensichtlich nicht ausprobiert, ich schon. Mit

127.0.0.1       funkforum.global.ssl.fastly.net

hat sich das Thema Forum schneeweißlich gelöst:

Es wird hier ohne Not Datentransfer in den Einflußbereich fremder MĂ€chte erzwungen, was Ende 2015 schon im kommerziellen Umfeld fragwĂŒrdig ist, fĂŒr ein unter der Freifunk-Fahne segelndes Projekt schlicht inakzeptabel. »Effizientere Auslieferung der Assets« schön und gut, was fehlt, ist die BegrĂŒndung, warum diese »Effizienz« unter zwingender Übermittlung von »personally identifiable information« â€șalternativlosâ€č sei. Auch vermisse ich einen entsprechenden Hinweis in als auch ĂŒberhaupt die DatenschutzerklĂ€rung des Forums (nach 3x Klicken ans Ende von https://forum.freifunk.net/ wurden noch immer nur Artikel nachgeladen, das dĂŒrfte jedem Gericht in D als unzureichend erreichbar reichen).

Nicht falsch verstehen: ich wertschĂ€tze durchaus, daß Menschen in ihrer Freizeit sich einbringen; explizit auch an die Adresse von @nomaster. Aber generell lĂ€uft diese Aktion in die falsche Richtung; Zitat Monic: »Und generell sammeln freifunkas so wenig Daten wie möglich.« Das schließt auch die Ermöglichung der Datensammlung durch Dritte ein, IMO. Insbesondere durch Dritte in anderen Jurisdiktionen.

BND ist ein Trauerspiel in sich; aber eines, welches zumindest prinzipiell gelöst werden kann — es wĂ€re ja nicht die erste StĂŒrmung eines Geheimdiestens durch das Volk auf deutschem Boden 

Daß der BND unwillig ist – oder/und unfĂ€hig, sollte man immer im Hinterkopf behalten –, fremde Dienste auf deutschem Boden im Zaum zu halten, ist ein innerdeutsches Problem.
Mit der Einbindung von fastly.net verlassen die Daten zwingend das deutsche Hoheitsgebiet. Erst das macht sie auch rechtlich vogelfrei, auf deutschem Boden wÀre prinzipiell noch was zu retten.
Und das hat mit AluhĂŒten nichts zu tun. Don’t feed the troll.


 ohne den das Forum aber zu 100% nicht nutzbar ist, siehe Screenshot. Es besteht also keine Wahl, auf â€șAssetsâ€č wie schickes CSS oder so zu verzichten, indem man fastly.net erdet. Entweder erfreut man sich an weißen Seiten, oder man hĂ€ndigt seine personenbezogenen Daten zwangsweise fremden MĂ€chten aus. Das mit Freifunk-Prinzipien aus meiner Sicht mehr als schwer vereinbar, wie @ohrensessel schon ausfĂŒhrte. FTR:

Fastly.com
PO Box 78266
San Francisco, CA
94107
4 Likes

FĂŒr mich bist Du raus! „Heil“-Aussagen in Verbindung solchen Darstellungen sind ein absolutes NoGo! @moderatoren bitte


2 Likes

Es wird komplett und hoffnungslos lÀcherlich in 3
 2
 1


2 Likes

Oh ja. Der Kommentar war direkt viel konstruktiver. :smiley:

1 Like

Um das erste Mal etwas zu diesem Thema zu sagen: ich finde es tatsÀchlich auch nicht toll, wenn / dass meine Daten an eine Firma gelangen, die möglicherweise durch andere (laschere) Gesetze an den Schutz meiner Daten gebunden ist.
Die Nutzung eines solchen CDN hat allerdings zu deutlichen Geschwindigkeitsverbesserungen gefĂŒhrt (wobei ich technisch nicht verstehe, wieso auch das Nachladen von Posts jetzt fixer geht, obwohl es hieß, es wĂŒrden nur statische Inhalte ĂŒbers CDN verteilt werden!).
Das ist ja schön und gut, aber es bleiben immernoch meine Daten / die Daten der Nutzerin. Leider kann an dieser Stelle nicht jeder fĂŒr sich entscheiden, ob ersie das CDN benutzen will. Da ist auch schon das große Problem: Die Gemeinschaft der Forennutzer hĂ€tte die Entscheidung gemeinsam treffen mĂŒssen. Das ist auch mein abschließendes Wort zu diesem Thema:
@nomaster Discourse hat eine wunderbare vote Funktion. Diese Funktion will benutzt werden!

4 Likes

Schön wĂ€re wenn wenigstens ein EuropĂ€isches CDN zum Einsatz kommen wĂŒrde welches nicht seinen Hauptsitz in den USA hat. Fastly ist ein US Unternehmen und somit gehen auch alle Logdaten dorthin. Z.B. bei KeyCDN, einem CDN aus der Schweiz, gehen alle Logdaten nach Deutschland und werden nicht von anderen „Organisationen“ abgegriffen.

1 Like

fastly.net wird freundlicherweise kostenfrei dem Verein zur VerfĂŒgung gestellt. (ein Schelm
)
Vielleicht wĂ€re es sinnvoll, wenn wir den Finanzbedarf fĂŒr ein „besseres“ CDN ermitteln und dann eine Spendensammlung (Betterplace
) machen wĂŒrden, wenn es sich denn im realisten Rahmen bewegt.
(Ich habe keine Ahnung, was das bei Key oder tekekom-icss kosten wĂŒrde. Und auch OVH kĂ€me ja in Betracht.

Wobei man da natĂŒrlich Gefahr lĂ€uft, gleich das nĂ€chste Fass aufzumachen hinsichtlich der französischen VDS. Was dann ggf. auch die dort gehosten anderen Freifunk-Dienste betrĂ€fe, sofern sie ĂŒber unverschlĂŒsselte Tunnel arbeiten.