openssl s_client -connect funkforum.global.ssl.fastly.net:443
CONNECTED(00000003)
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert SHA2 High Assurance Server CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=California/L=San Francisco/O=Fastly, Inc./CN=a.ssl.fastly.net
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 High Assurance Server CA
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA
openssl s_client -connect forum.freifunk.net:443
CONNECTED(00000003)
depth=2 C = CN, O = WoSign CA Limited, CN = Certification Authority of WoSign
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/CN=forum.freifunk.net
i:/C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
1 s:/C=CN/O=WoSign CA Limited/CN=WoSign CA Free SSL Certificate G2
i:/C=CN/O=WoSign CA Limited/CN=Certification Authority of WoSign
2 s:/C=CN/O=WoSign CA Limited/CN=Certification Authority of WoSign
i:/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
das tut mir leid für dich. ich sehe es nach wie vor so, dass wir, als Freifunk, dienste mit vorbildfunktion betreiben sollten. in diesem fall: selber hosten, nicht unnötig externe parteien (in diesem fall 2) mit metadaten versorgen.
Das tut mir leid für dich. Ich sehe es nach wie vor so, dass ein Forum funktionieren sollte, anstelle mit übertriebener aluhutigkeit sinnlose Forderungen und „Ethik Standards“ auf Basis von Halbwissen die wenige und wertvolle Arbeitszeit von Fachpersonal zu binden, die besser in der weiteren Technischen Realisierung investiert wäre.
Im Ernst: Es ist aus meiner Sicht weder eine sinnlose Forderung noch sind es übertriebene Ethik-Standards, wenn Bedürfnisse in Richtung Metadaten-Sammel-Vermeidung formuliert werden.
Vergleiche dazu bitte die öffentliche Positionen auf freifunk.net hinsichtlich Datenschutz/Privatsphäre und die explizit von Freifunk.net unterstützten Kampagnen.
Auf der einen Seite solche öffentlichen Positionen zu beziehen und Forderungen in Richtung Politik aufzustellen, selbe diese im Grunde nicht zu leben, passt nicht so wirklich - meine Sicht.
Dann muss man prüfen, wie das zu realisieren ist und plant entsprechend mittelfristig.
Kurzfristig muss das Forum laufen. Wenn dazu zunächst ein CDN dieser jetzigen Art benutzt werden musste, ok.
Aber bitte mittel-langfristig eigene Standards beherzigen - oder diese nicht nauch außen aufstellen. Das ist inkonsequent.
Mal ganz unabhängig von der bisherigen Diskussion, glaubt ihr wirklich das selber hosten euch vor irgendeiner Art von Datensammlung schützt?
Hat sich eigentlich irgendjemand der hier Diskutierenden mal ernsthaft mit den Geschehnissen rund um die BND Affaire befasst?
Selbst wenn ihr die Server in eure Keller stellt, davor schlaft und euren Vorgarten vermient, man kommt trotzdem an die Daten.
Wer sie sammeln will leitet sie an einem Peering Point aus und hat sie.
Auch die hochgehaltenden Bewegungsdaten/ Metadaten können mit externen Tools abgefangen werden, denn keiner weis ob nicht irgendeiner der Transitserver vielleicht kompromitiert ist.
Man könnte zwar selber hosten, damit eure Chance VIELLEICHT senken das man die Datenhoheit verliert, objektiv ist das aber eine Milchmädchenrechnung und am Ende bleibt nicht mehr als ein „gutes Gefühl“.
Also ich bitte euch erneut, das ist ein CDN kein Passwort und Bankdatenausleitendes Schattennetzwerk.
So und mach ich den Hasen um Saurons Blick auszuweichen …
Der Cache von Fastly ist prinzipiell auch für den gesamten Traffic zum Forum nutzbar, da er schlicht alle Anfragen an das Forum durchleitet. Dazu verwendet er ein ein eigenes Zertifikat, um sich vor den Usern auszuweisen und bei der Verbindung zum Applikations-Server prüft er, ob dieser ein stimmiges Zertifikat hat.
@anonhamborg Schau dir doch mal den HTML Source des Forum an. Dort siehst du, dass nur die Stylesheets und Javascripts über fastly ausgeliefert werden. Richtig wäre also:
HTML/JSON: FFRL Server <-> Client
JS/CSS: FFRL Server <-> FASTLY <-> CLIENT
Wie @nomaster geschrieben hat, geht es um einen Teil der Assets
Da vergleichst Du Äpfel mit Birnen, äh nein, mit Gummisandalen…
Staatliche Überwachung ala NSA/BND und Peering Port-Abgriffe kannst Du nicht verhindern, klar.
Verhindern kann ich aber beim Hosting auf eigener Hardware mit Serverstandort Deutschland und vertrauenswürdigem inländischen Hoster, dass kein Datenabfluss an Datenkraken oder Auslandsbehörden erfolgt.
Und/oder zusätzlich kann aufgrund von Gesetzen der ausländische Hoster gezwungen sein, die Daten an Behörden/Geheimdienste rauszugeben.
Fazit: Selberhosten in DL und ohne ausländisches CDN sorgt für weniger (Meta)Datenabfluss.
…sorry, aber Du möchtest mich mit aller „Gewalt“ nicht verstehen, oder?
Es ist für mich definitiv ein Unterschied, ob ich durch mein Verhalten (Serverstandort, Host-Anbieter) leicht ermögliche, z.B. einem bekannten US-Konzern mit nachgesagter Datensammelleidenschaft eben Zugang zu (Meta)Daten zu verschaffen. Und wenn ich weiß, dass US-Firmen der NSA nach US-Gesetz die Daten zugänglich machen muss, dann nutze ich sowas einfach nicht.
Wenn mein Datenverkehr z.B. im Frankfurter DE-CIX behördlicherseits aus einer Glasfaser ausgeleitet wird, dann kann ich auch noch so gute Serverstandorte und Hostanbieter in DL oder Timbuktu wählen, da kann ich nix gegen tun. Dabei wird ja JEGLICHER Datenverkehr abgeschnorchelt.
Es wird hier ohne Not Datentransfer in den Einflußbereich fremder Mächte erzwungen, was Ende 2015 schon im kommerziellen Umfeld fragwürdig ist, für ein unter der Freifunk-Fahne segelndes Projekt schlicht inakzeptabel. »Effizientere Auslieferung der Assets« schön und gut, was fehlt, ist die Begründung, warum diese »Effizienz« unter zwingender Übermittlung von »personally identifiable information« ›alternativlos‹ sei. Auch vermisse ich einen entsprechenden Hinweis in als auch überhaupt die Datenschutzerklärung des Forums (nach 3x Klicken ans Ende von https://forum.freifunk.net/ wurden noch immer nur Artikel nachgeladen, das dürfte jedem Gericht in D als unzureichend erreichbar reichen).
Nicht falsch verstehen: ich wertschätze durchaus, daß Menschen in ihrer Freizeit sich einbringen; explizit auch an die Adresse von @nomaster. Aber generell läuft diese Aktion in die falsche Richtung; Zitat Monic: »Und generell sammeln freifunkas so wenig Daten wie möglich.« Das schließt auch die Ermöglichung der Datensammlung durch Dritte ein, IMO. Insbesondere durch Dritte in anderen Jurisdiktionen.
BND ist ein Trauerspiel in sich; aber eines, welches zumindest prinzipiell gelöst werden kann — es wäre ja nicht die erste Stürmung eines Geheimdiestens durch das Volk auf deutschem Boden …
Daß der BND unwillig ist – oder/und unfähig, sollte man immer im Hinterkopf behalten –, fremde Dienste auf deutschem Boden im Zaum zu halten, ist ein innerdeutsches Problem.
Mit der Einbindung von fastly.net verlassen die Daten zwingend das deutsche Hoheitsgebiet. Erst das macht sie auch rechtlich vogelfrei, auf deutschem Boden wäre prinzipiell noch was zu retten.
Und das hat mit Aluhüten nichts zu tun. Don’t feed the troll.
… ohne den das Forum aber zu 100% nicht nutzbar ist, siehe Screenshot. Es besteht also keine Wahl, auf ›Assets‹ wie schickes CSS oder so zu verzichten, indem man fastly.net erdet. Entweder erfreut man sich an weißen Seiten, oder man händigt seine personenbezogenen Daten zwangsweise fremden Mächten aus. Das mit Freifunk-Prinzipien aus meiner Sicht mehr als schwer vereinbar, wie @ohrensessel schon ausführte. FTR:
Um das erste Mal etwas zu diesem Thema zu sagen: ich finde es tatsächlich auch nicht toll, wenn / dass meine Daten an eine Firma gelangen, die möglicherweise durch andere (laschere) Gesetze an den Schutz meiner Daten gebunden ist.
Die Nutzung eines solchen CDN hat allerdings zu deutlichen Geschwindigkeitsverbesserungen geführt (wobei ich technisch nicht verstehe, wieso auch das Nachladen von Posts jetzt fixer geht, obwohl es hieß, es würden nur statische Inhalte übers CDN verteilt werden!).
Das ist ja schön und gut, aber es bleiben immernoch meine Daten / die Daten der Nutzerin. Leider kann an dieser Stelle nicht jeder für sich entscheiden, ob ersie das CDN benutzen will. Da ist auch schon das große Problem: Die Gemeinschaft der Forennutzer hätte die Entscheidung gemeinsam treffen müssen. Das ist auch mein abschließendes Wort zu diesem Thema: @nomaster Discourse hat eine wunderbare vote Funktion. Diese Funktion will benutzt werden!
Schön wäre wenn wenigstens ein Europäisches CDN zum Einsatz kommen würde welches nicht seinen Hauptsitz in den USA hat. Fastly ist ein US Unternehmen und somit gehen auch alle Logdaten dorthin. Z.B. bei KeyCDN, einem CDN aus der Schweiz, gehen alle Logdaten nach Deutschland und werden nicht von anderen „Organisationen“ abgegriffen.
fastly.net wird freundlicherweise kostenfrei dem Verein zur Verfügung gestellt. (ein Schelm…)
Vielleicht wäre es sinnvoll, wenn wir den Finanzbedarf für ein „besseres“ CDN ermitteln und dann eine Spendensammlung (Betterplace…) machen würden, wenn es sich denn im realisten Rahmen bewegt.
(Ich habe keine Ahnung, was das bei Key oder tekekom-icss kosten würde. Und auch OVH käme ja in Betracht.
Wobei man da natürlich Gefahr läuft, gleich das nächste Fass aufzumachen hinsichtlich der französischen VDS. Was dann ggf. auch die dort gehosten anderen Freifunk-Dienste beträfe, sofern sie über unverschlüsselte Tunnel arbeiten.
