search

krabina / Datencockpit

Datencockpit.at zur Erfüllung der Dokumentationspflichten laut DSGVO (Fulfilling GDPR requrements with a data cockpit)
GNU General Public License v3.0
25 stars 10 forks source link

Datencockpit im Netz sichern #44

Open ZoXx opened 5 years ago

ZoXx commented 5 years ago

Morgen, wie habt ihr das Cockpit gesichert? Ich habe eine .htaccess erstellt, welche nach einem generellen Login fragt und dann müssen die User sich nochmal anmelden.

Habt ihr das auch so gelöst?

jifflaender commented 5 years ago

Moin, das MediaWiki (und damit auch das Datencockpit) stellt doch eine Benutzer*innen-Verwaltung zur Verfügung. Worin besteht die Notwendigkeit, eine zusätzliche Anmeldung einzubauen?

ZoXx commented 5 years ago

Hallo @jifflaender , unser Wiki liegt in einem Webhosting Paket und ist von außen so gesehen erreichbar. Geht einfach um einen zusätzlichen Schutz. Viele Grüße

jifflaender commented 5 years ago

Hallo @ZoXx, ja, das ist bei mir auch so. Deshalb nochmal meine Frage in etwas anderer Form: Gibt es Schwachstellen in der MediaWiki-Anmeldung (die ich noch nicht mitbekommen habe), die einen zusätzlichen Schutz erfordern? Um das Wiki vor "neugierigen" Augen und zufälligen Besuchern zu verbergen (inkl. der Anmeldemaske), liegt das Wiki bei mir in einem Unterverzeichnis z.B: https://webspace.de/datencockpit-0815 und die robots.txt im Stammverzeichnis enthält

User-agent: *

Disallow: /

Das Datencockpit in einem Unterverzeichnis zu betreiben ist z. B. auch dann sinnvoll, wenn es eine Unternehmensgruppe gibt.

Jede Gesellschaft der Gruppe muss nämlich ein eigenes DSMS betreiben. Spätestens bei der Protokollierung der Wahrnehmung von Betroffenenrechten darf Gesellschaft A nicht die pbD der Betroffenen von Gesellschaft B sehen können. Und man kann über die Lösung mit den Unterverzeichnissen das Datencockpit quasi mandantenfähig machen, da dann auch jeweils eine eigene Datenbank angelegt wird. Aus eigener Erfahrung: läuft problemlos...

Beste Grüße

ZoXx commented 5 years ago

Hallo @jifflaender , genau darumg eht es mir auch. Das Wiki haben wir zwar durch den Benutzer Login gesperrt, aber es muss ja trotzdem keiner sehen. Deshalb einfach die .htaccess, welche vorweg nochmal aussortiert.

krabina commented 5 years ago

Falls man sich auf den MediaWiki-Zugriffsschutz verlässt, muss man beachten, dass es sich nicht um den Zugang zu hochgeladenen Files kümmert. Es gibt zwar eine de-facto-Sicherheit, weil man ii.d.R. den Pfad eines Files ja nicht kennt (z. B. .../images/7/7e/XYZ.pdf), aber wenn man in einem Passwortgeschützen Wiki agiert, vermutet man, dass ein direkter Aufruf solcher Ressourcen nicht möglich ist. Ist es aber schon.

Lösung dazu gibts hier: https://www.mediawiki.org/wiki/Manual:Image_Authorization

Braintelligence commented 5 years ago

Wäre es nicht sinnvoll diese Einstellung fürs Datencockpit dann generell zu nutzen?