HB:Sonstige Anträge 2011.1/Sonstiger Antrag LQFB

Aus Piratenwiki
Wechseln zu: Navigation, Suche
Pictogram voting wait blue.svg Dies ist ein eingereichter/eingereichtes Sonstiger Antrag für den Landesverband Bremen von Sven.

Bitte diskutiere den Antrag, und bekunde Deine Unterstützung oder Ablehnung auf dieser Seite. Der Antragstext darf nicht mehr verändert werden! Eine Übersicht aller Anträge findest Du in der [[Antragsfabrik Bremen]].

Sonstiger Antrag Nr.
A_02
Beantragt von
Sven
Titel 
Betrieb der LQFB-Landesinstanz
Antrag

Hiermit beantrage ich, dass der Landesparteitag der PIRATEN Bremen über den Weiterbetrieb der Landesinstanz von LiquidFeedback gemäß der Anforderung Berlin entscheidet.

Begründung

Mail vom 23.5.2011 an den LaVo von Simon Weiß:

Hallo,

ich schreibe euch als Landesvorstände bzw. Ansprechpartner für die LiquidFeedback-Instanzen an, die wir als Berliner Landesverband für euch auf lqpp.de betreiben.

Wahrscheinlich habt ihr ja schon von der inzwischen geschlossenen Sicherheitslücke in LF gehört, die es in der Vergangenheit erlaubt hätte, Accounts zu übernehmen. Ich würde gerne mit euch klären, wie wir jetzt vorgehen, um die Integrität eurer Instanzen sicherzustellen. Bei dieser Gelegenheit will ich außerdem gleich die Umstellung auf neue Nutzungsbedingungen mit abhandeln.

Zur Sicherheitslücke: In der Nacht vom 16. auf den 17. Mai würde eine Lücke entdeckt, durch die ein Angreifer einen Account mithilfe der Passwortrücksetzfunktion hätte übernehmen können. Nach Entdeckung wurde unser Server, auf dem auch eure Instanzen betrieben werden, sofort heruntergefahren und innerhalb weniger Stunden ein Sicherheitsupdate eingespielt, dass die Lücke schließt.

Dennoch kann nicht ausgeschlossen werden, dass in der Vergangenheit Accounts übernommen wurden. Daher wurde für die Bundes- und die Berliner Instanz folgendes Vorgehen beschlossen: Jeder Teilnehmer wird innerhalb einer Frist angeschrieben und gebeten zu bestätigen, dass er Zugriff auf seinen Account hat. Accounts, deren Besitzer dies nach Ablauf der Frist nicht bestätigt haben, werden gesperrt.

Das erscheint uns - abgesehen von einem kompletten Reset - der einzige sichere Weg, die Integrität des Systems zu gewährleisten. Diese Möglichkeit steht auch euch zur Verfügung.

Zu den Nutzungsbedingungen: Für die Berliner Instanz wurden vor einer Weile neue Nutzungsbedingungen (einschließlich Datenschutzerklärung) beschlossen, die vollständig und rechtssicher sind. Der Plan ist es nun, für jede von uns auf dem Server betriebene Landesinstanz einen von zwei Wegen zu gehen:

  • Wir sind der Betreiber des Systems; dann läuft es, da wir die Verantwortung dafür übernehmen, unter unseren Nutzungsbedingungen und entsprechenden Konfigurationsoptionen.
  • Ihr seid der Betreiber des Systems, und wir administrieren es in eurem Auftrag; dann könnt ihr eigene Nutzungsbedingungen wählen, tragt aber auch die rechtliche Verantwortung.

In wohl jedem Fall ist eine Umstellung der Nutzungsbedingungen erforderlich. Wieder abgesehen von einem kompletten Reset gibt es dazu prinzipiell zwei Möglichkeiten. Eine ist ein Prozess, in dem jeder Teilnehmer innerhalb einer gewissen Zeitspanne die neuen Nutzungsbedingungen im System akzeptieren kann oder nach Ablauf automatisch gesperrt wird (diesen Prozess haben wir in Berlin bereits zweimal durchlaufen). Falls jedoch der weiter oben beschriebene Prozess durchlaufen wird, um sicherzustellen, dass keine Accounts kompromittiert sind, würde es sich natürlich anbieten, die Umstellung der Nutzungsbedingungen gleich mit bestätigen zu lassen.

Bitte lasst mich wissen, welches weitere Vorgehen ihr für eure jeweilige Landesinstanz für sinnvoll haltet.


Abgerufen von „https://wiki.piratenpartei.de/wiki/index.php?title=HB:Sonstige_Anträge_2011.1/Sonstiger_Antrag_LQFB&oldid=2000340