Thomas Wölfers Baustatik-Blog

Thomas Wölfers Baustatik Blog

Baustatik: Alles verschlüsselt


Ich hatte gestern einen kleinen SSL-Grundlagenbeitrag veröffentlicht. Wenn Sie den noch nicht gelesen haben: Jetzt wäre ein guter Zeitpunkt. Ich warte. Smile

Fertig? Prima!

Es gibt eine Menge Anbieter im Internet, deren Engagement zum Thema Sicherheit im Wesentlichen daraus besteht, im Impressum einen Satz wie "Wir nehmen Ihre Sicherheit und die Ihrer Daten sehr ernst" zu hinterlassen und sonst nichts weiter zu tun.

Wir so oft sind wir da natürlich A N D E R S, denn wir investieren in nicht unerheblichem Umfang in die Sicherheit unserer Anwender und Webseitenbesucher. Beim betriebenen Aufwand geht es nicht um "einen Manntag", sondern um erheblich mehr – und das sowohl in Arbeitsleistung als auch in finanzieller Hinsicht.

Dieser Aufwand manifestiert sich in vielerlei Dingen die man meist gar nicht bemerkt: Und das ist auch so beabsichtigt. Von güldenen "Sicherheitszertifikaten" auf der Webseite halte ich nicht viel: Sowas ist reine Marktschreierei, hat aber keinen anwendbaren Nutzen.

Was also tun wir? Hier eine kurze Übersicht.

Unsere Webseiten verwenden SSL schon seit geraumer Zeit optional – wer wollte konnte die also schon Jahren gesichert besuchen. Seit einigen Wochen ist die Verwendung von SSL aber nicht mehr optional, es gibt schlicht keine ungeschützten Varianten der Webseiten mehr.

image


Bei dieser Umstellung habe wir auch noch ein paar andere Dinge getan: Die Webseiten verwenden keine Cookies mehr. Keine von uns und schon gar keine von Dritten. Ebenso enthalten die Webseiten keinerlei Javascripte von Dritten mehr. Also keine Tracking-Scripts oder Cookies von Google, keine "Like" Scripts von Facebook und auch sonst nichts, was nicht von unseren eigenen Servern kommt oder Daten an Server von Dritten übertragen kann.

Wir selbst führen natürlich keine Daten über Webseiten-Besucher und deren Verhalten mit. (Traurig genug, das man diese Selbstverständlichkeit extra erwähnen muss.)

Auch die Downloads der Programme, und zwar sowohl die kompletten Versionen als auch die automatischen Updates erfolgen per SSL über von uns kontrollierte Server. Wir verwenden keine "kostenlosen" Download-Portale, nur weil das billiger ist.

Alle unsere ausführbaren Dateien (also .exe und .dll-Dateien) werden digital signiert (Was bedeutet das ?). Mir ist bewusst das dies niemand tut – aber wenn man wollte, könnte man in der Tat auch manuell überprüfen, ob eine Datei tatsächlich in unveränderter Form vorliegt, wie sie von uns produziert wurde. Wenn man sich das ansieht, dann sieht so ein digitales Zertifikat so aus:

image


Das mit der Überprüfbarkeit setzt sich übrigens auch bei unserem Mailserver fort: Wir haben passende DNS-Einträge, mit denen Server die Mails mit einem Absender @die.de empfangen überprüfen können, ob der versendende Server auch wirklich Mail für die.de versenden darf.

Und schließlich gibt es da noch den Teil, bei dem unsere Programme – hauptsächlich die Baustatik und der TimeServer über das Internet mit unseren Server kommunizieren. Das passiert unter verschiedenen Umständen. Zum Beispiel dann, wenn Sie im TimeServer Zeit aus Ihrem Online-Konto auf den lokalen Server buchen oder wenn Sie statt dessen den Online-TimeServer verwenden. Ebenso passiert so etwas natürlich, wenn Sie uns direkt aus der Baustatik heraus eine Fehlermeldung, eine Datei oder sonstige Daten schicken, oder wenn im Hintergrund automatisch neue Lizenzdaten von unserem Server heruntergeladen werden.

All das ist ab dem nächsten Update ebenfalls per SSL gesichert – es gibt nach diesem Update dann keinerlei ungesicherte Kommunikation über das Internet mehr, zumindest nicht von unserer Software und allem was dazu gehört.