Baustatik: Noch mehr Verschlüsselung


Thomas Wölfer
Thomas Wölfer

06. Dezember 2022


Wir haben ja bereits vor geraumer Zeit unsere komplette Webseite und auch die Kommunikation der Baustatik (und die des TimeServers für Work&Cash) mit der Internet auf per SSL verschlüsselte Verbindungen umgestellt. Seit dem werden alle Daten zwischen unserem Server und der Baustatik nur noch verschlüsselt verteilt. Dabei waren noch 2 Dinge nicht ganz so sicher, wie wir uns das vorgestellt haben und diese beiden Punkte wurden nun auch endlich beseitigt.

1.) Die Anfragen an unsere Server erfolgten zum Teil über parametrisierte URLs. Es gab also URLs wie https://services.die.de/zugangs-key/zeit-statistik/username/password. Wenn man key, username und passwort kannte, dann konnte man die API aufrufen – wenn also jemand zwischen dem Kunden und unserem Server horchte, dann war es diesem Dritten möglich, aus den URLs Daten zu extrahieren. Das wurde nun beseitigt. Die URLS haben keinerlei Parameter mehr. Benötigt eine Anfrage Parameter, dann sind die Körper der Anfrage untergebracht – der ist im Gegensatz zur URL an sich nämlich auch verschlüsselt.

2.) Anfragen waren für jedermann möglich. Man musste also kein Kunde bei D.I.E. sein, um die APIs in “services.die.de” zu verwenden. Auch das ist ab sofort anders: Die APIs haben nun ein Zugriffs-Schutz und nur Anwender unserer Programme können auf die APIs zugreifen. (Dabei geht es uns hier mehr darum, die Crawler von Search-Engines und sonstige “Neugierige” auszusperren – es handelt sich da nicht um einen echte (oder notwendige) Sicherheitsmaßnahme.

Und so läuft die Umstellung

Serverseitig ist die “Umstellung” quasi vollzogen – für alle APIs bei denen das notwendig war gibt es nun eine zusätzliche Variante mit der verbesserten Sicherheit. Wir sperren aber natürlich niemanden aus. Ab dem nächsten Update der Baustatik werden aber weder von der Baustatik noch vom TimeServer mehr alte APIs aufgerufen. Nachdem die Baustatik fast zu 95% per automatischen Updates erneuert wird, sollte es also etwa ab Februar 2023 quasi keine ungeschützten Aufrufe mehr geben. Bei TimeServer-Installationen ist das ein bisschen haariger – denn der TimeServer wird zwar im Rahmen der automatischen Updates der Baustatik mit upgedatet, es gibt aber einige TimeServer-Installationen, die auf Systemen ohne automatische Updates laufen.


image


Wenn Sie so ein System verwalten: Bitte den TimeServer im Laufe des Februars durch die neue Version ersetzen. Sie benötigen dabei mindestens die Version 14.1 vom 06.12.2022. (Noch einfacher und meiner Ansicht nach auch besser: Stellen Sie die Nutzung des TimeServers ein und verwenden Sie unseren TimeServer im Internet.)

Ab Mitte nächsten Jahres werden wir dann Stück für Stück die alten APIS auf services.die.de abstellen.