Wolfgang Wiese: Java «» CGI bezüglich Datensicherheit

Beitrag lesen

SELF-Forum

Java «» CGI bezüglich Datensicherheit

Wolfgang Wiese
Informationen zu den Bewertungsregeln

Hi,

Bei diesen meldepflichtigen Daten handelt es sich nicht nur um Peanuts, sondern um harte

Zahlen (gewinne, Umsätze, etc)

Bislang wird diese ganze meldeproblematik via Papier gemacht.
D.h. Meldebögen an Firmen verschicken, in den Unternehmen die Bögen anhand im

PC gespeicherter Daten ausfüllen, die gefüllten Bögen zurück an die Behörde schicken
und dort die aus dem PC extrahierten Daten wieder von Paper in den Rechner füttern.

Einziger Vorteil: SICHERHEIT.

Da wird dir der Verfassungsschutz aber was anderes erzaehlen!!

Jetzt versucht man in Zukiunf die ganze Sache direkt online mit Hilfe von JAVA-Applets

zu bewerkstelligen.

Lange Rede kurzer Sinn:

Reichen nicht CGI- (Perl-)Scripte aus um ein Maximum an Datensicherheit zu erlangen??

NEIN!
CGI beschreibt nur die Art und Weise wie ein Webserver Daten an
ein Programm weitergibt, nicht aber die Sicherheit.
Im Normalfall werden alle daten uebers Netz unverschluesselt
uebertragen.
Es ist heutzutage kein Problem einen Sniffer in einem Backbone-Knoten
einzubauen, der dann alles was von und zu dir geht, mithoert.
Ebenso -und das bestaetigt der Verfassungsschutz- kann man davon ausgehen,
das alles was durch die Luft uebertragen wird abgehorcht werden kann und wird.
Laut Aussage des (Bayerischen) Verfassungsschutz ist es kein Problem die
entsprechenden Messages zu decoden. (Und das trotz CDMA und/oder FDMA.)

Wenn du ein Webinterface machst, dann ist es erst sicher, wenn
du die Uebertragung sicher machst. Dies kriegst du derzeit mit SSL oder
HTTPS zustande.

Das Problem das ich bei dir eher sehe ist die Organisation.
Bedenke das du es mit einem Amt zu tun hast, welches Richtlinien fuer sowas
hat, die vom Amt fuer Verfassungsschutz gemacht wurden.
Diese Richtlinien muessen nunmal dort eingehalten werden. Das heisst was immer du
machst muss erst auf diese abgestimmt sein.

Was die Technik selbst angeht wuerde ich es nicht direkt ueber
CGI/JAVA machen sondern nur ein CGI machen, das ein anderes Programm
'anstoesst', eine E-Mail an eine feste Adresse zu senden welche
alle Daten enthaelt.
Die E-Mail muss auf alle Faelle verschluesselt sein, wobei entweder
S/MIME oder PGP in Frage kommt. Sobald PGP/MIME sich durchgesetzt hat,
ist dies natuerlich noch besser zu nutzen.

Ciao,
Wolfgang

Beitrag melden
Informationen zu den Bewertungsregeln