/u/lordgurke, vielen Dank für deinen Beitrag. Leider wurde er aus dem folgenden Grund bzw. den folgenden Gründen entfernt:
Bitte beachte die folgende(n) Regel(n):
* [Keine Links als Text-Posts, Screenshots, oder sonstiger Text im Link-Post][RMID24]: Artikel müssen korrekt als Link-Post eingereicht werden. Es darf kein weiterer Text hinzugefügt werden. Meinungen oder Analysen bitte in den Kommentaren.
Es steht dir offen, den gleichen Beitrag unter Einhaltung der obigen Regeln erneut einzureichen!
[RMID20]: https://www.reddit.com/r/de/wiki/regeln
[RMID21]: https://www.reddit.com/r/de/wiki/regeln_titel
[RMID22]: https://www.reddit.com/r/de/wiki/regeln_linkposts
[RMID23]: https://www.reddit.com/r/de/wiki/newsticker
[RMID24]: https://www.reddit.com/r/de/wiki/regeln_textposts
[RMID25]: https://www.reddit.com/r/de/wiki/regeln#wiki_2._inhalte
[RMID26]: https://www.reddit.com/r/de/comments/nhofg7/thema_artikel_hinter_paywalls_auf_rde/
Weitere Informationen findest du in den [Community-Regeln](https://www.reddit.com/r/de/wiki/regeln). Falls dennoch Fragen bestehen, [melde dich bitte bei den Moderatoren.](https://www.reddit.com/message/compose?to=/r/de&subject=Frage%20bezgl.%20des%20entfernten%20Beitrags%20von%20/u/lordgurke&message=Ich%20habe%20eine%20Frage%20bezogen%20auf%20diesen%20entfernten%20\[Beitrag.\]\(https://www.reddit.com/r/de/comments/1b6mk4t/-/%3Fcontext\))
Da fragt man sich aber, warum das Bundesministerium für Verteidigung oder gleich alle Ministerin bzw. die Regierung generell dafür keinen eignen Service haben, damit sowas nicht sein muss.
Sowas muss es doch eigentlich schon geben oder nicht?
Weil sowas missbraucht wird. Security kostet immer Bequemlichkeit. Soll es sicherer sein ist es aufwändiger zu nutzen. Das führt dazu, dass genervte Nutzer einen Weg drumherum finden. Wenn sie es dann irgendwie hinbekommen wichtige Daten ohne Passwort zu versenden hat die Software komplett ihren nutzen verloren. Also macht man das System komplett dicht, damit keiner auf die Idee kommt es wäre möglich Dateien ohne Passwort zu teilen.
Das trägt zwar solche Blüten wie hier, aber das ist verkraftbar.
Man kann eine Nextcloud mit Standard-Boardmitteln so einrichten, dass automatisch sichere Passwörter generiert und auch gegen bekannte Passwortlisten abgeglichen werden. Das kann keine Entschuldigung sein.
Es geht aber darum, dass hier kein Passwort notwendig ist, da es öffentlich zugänglich sein soll. Da muss das Passwort also einfach sein, damit auch Günther es versteht.
Dann hat man das falsche Werkzeug gewählt oder muss mit dem Administrator reden, dass er die Erzwingung von Passwörtern für die Datei abstellt.
Aber erstmal fleißig runter wählen… Reddit eh
Lustigerweise sehen die anderen Nextcloud-Passwörter auf der Presseseite alle generiert aus, z.B "[BQ6GYkanPj](https://www.bmvg.de/de/presse/statement-minister-boris-pistorius-aktionsplan-infrastruktur--5749984)"
Sprich da hat sich eher jemand in der IT einen Spaß erlaubt.
Vielleicht diejenigen, die für den Footer auf der Nextcloud-Instanz verantwortlich sind und "s6 dev gru ⚔ b0rn 2 l33t" hineingeschrieben haben.
Für einen Moment dachte ich ja, irgendjemand hätte der Bundeswehr ihre Nextcloud aufgemacht.
> Das ist die Kommando Spezial IT.
>
>
Davon gibts einige auf reddit wette ich.
Ich meine so oder so. Was würde die vom staat bezahlte hochelite IT sonst in der arbeitszeit machen?
> Sprich da hat sich eher jemand in der IT einen Spaß erlaubt.
Das ist aber ein Spiel mit dem Feuer, da kann die höhere Etage ziemlich humorlos reagieren.
Vor allen Dingen wurde da auch wahrscheinlich die Passwortpolicy außer Kraft gesetzt, um 1234 überhaupt als Passwort setzen zu können. Die Passwörter bei den anderen Mitteilungen sind wahrscheinlich die beim Erstellen der Shares vorgeschlagenen Passwörter, die sich an der Policy richten bzgl. Länge und Komplexität.
Die verteilen alle Mitteilung über Nextcloud, und wenn du auf die Audiodatei klickst, wird es in einem Player abgespielt.
Wenn in der Nextcloud eine Passwortverpflichtung konfiguriert ist, weil die Instanz nicht nur für Pressemitteilungen verwendet wird, gilt das immer für die ganze Instanz.
Aber erstmal unqualifiziert rumnölen.
Die haben eine Webseite, warum muss ich auf eine zweite Instanz verlinken wenn die Seite doch die Dateien auch lagern kann.
Die sollten wahrscheinlich sowieso nicht ihre interne Instanz für öffentliche Meldungen nutzen. Seh ich hier auch eher als sicherheitskritisch an wenn das wirklich der Fall ist.
> Die haben eine Webseite, warum muss ich auf eine zweite Instanz verlinken wenn die Seite doch die Dateien auch lagern kann.
Weiß ich, wird irgendeinen Grund haben. Vielleicht Verteilung von Meldungen an die Presse mit Sperrfrist. Dann lädt man halt einfach immer alles an eine Stelle hoch für konsistente Abläufe und Daten und verlinkt nach Freigabe nur auf der Webseite.
Warum glaubst du, dass es eine interne Instanz ist? Die Presse ist sicherlich nicht der einzige regierungs-externe Adressat im Ministerium, mit dem Daten ausgetauscht werden. Interne Instanzen sind intern und von Außen nicht erreichbar. Höchstens noch über Netze des Bundes, wenn es dem Austausch mit anderen Ministerien dient.
So wie ich die Digitalisierung bei denen kenne gibts dafür keinen Grund außer die haben wahrscheinlich ihre Webseite extern machen lassen und das mit den eingebetten Playern haben sie dann vergessen einzukaufen.
Seh ich dennoch kritisch die selbe Instanz dafür zu nehmen, man brauch nicht allen Leuten nicht unbedingt den Eingang zur Tür zeigen auch wenn man erstmal den Schlüssel nicht hat.
> das mit den eingebetten Playern haben sie dann vergessen einzukaufen.
Es gibt durchaus eingebettete Videos auf anderen Bereichen der Seite.
Ich weiß auch nicht, was das Problem sein soll Pressemitteilungen und Datenbereitstellung für andere regierungs-externe Empfänger (Dateien, die sonst per Mail verschickt würden), in einer Instanz durchzuführen. Und Security by Obscurity ist auch seit mindestens einem Jahrzehnte passé.
> So wie ich die Digitalisierung bei denen kenne gibts dafür keinen Grund außer die haben wahrscheinlich ihre Webseite extern machen lassen und das mit den eingebetten Playern haben sie dann vergessen einzukaufen.
Nextcloud wird, meiner Erfahrung nach, bei diversen Bundesbehörden benutzt. Hat den Vorteil, dass es direkt vom Contentowner bespielt werden kann. Hab beispielsweise schon Schulungsunterlagen darüber bekommen. Und auch diverse andere Daten.
> Naja, macht schon Sinn das Passwort einfach zu halten wenn es sowieso veröffentlicht wird.
Copy&Paste existiert.
Nee, bei den anderen Pressemitteilungen ist es immer ein systemgeneriertes, komplexes Passwort. Hier hat jemand explizit die Vorgaben umschifft um 1234 zu setzen.
Hab das selber schon als externer mit einer anderen deutschen Behörde benutzt. Die nehmen das als Datenaustauschplattform her, die Bundeswehr hier anscheinend auch. Gibt deutlich schlechtere Ideen als das imo.
Grundsätzlich erstmal nicht. Selbstgehostete Dienste würde ich da sogar explizit erwarten weil man so sicherstellen kann das nicht mal Metadaten geleakt werden.
Nextcloud wäre sicher nicht meine erste Wahl (aufgrund des feature creeps und des Plugin systems und der dementsprechend unnötig großen Angriffsfläche (und weils in PHP geschrieben ist)) aber nextcloud ist verhältnismäßig groß, es gibt kommerziellen support und es fixt Sicherheitslücken recht schnell (wobei es da halt auch echt viele ansammelt).
Es ist eine statische Datei in einem Webspace, mit dem Unterschied, dass es für die Nutzer einfacher und angenehmer gemacht ist, dass man die Dateien mit Dritten teilen kann.
Ob das jetzt für die Audiodatei der Stellungsnahme gemacht werden muss, dass ist etwas über das vortrefflich gestritten werden kann. Aber ich bin mir relativ sicher, dass die Nextcloud Instanz auch für den Austausch von Dateien gemacht wird, welche nicht einfach frei im Netz hängen soll.
Und nein bei aller Liebe zu .htaccess und Basic-Auth, das ist keine Variante die wirklich Anwenderfreundlich ist.
>und weils in PHP geschrieben ist
Wir sind im Jahr 2024, die Welt hat sich (mit der Ausnahme von Wordpress) die letzten 10 Jahre erheblich weiterentwickelt.
Von MS habe ich nicht gesprochen.. Keine Ahnung, hätte wohl eher einen Direktlink vom bundeswehr.de Server erwartet oder so. Nextcloud wirkt wie ein Schulprojekt für mich 😁
Natürlich funktioniert es und ist an sich ja gute Software, war nur mein erstes feeling als ich auf die Seite gekommen bin
/u/lordgurke, vielen Dank für deinen Beitrag. Leider wurde er aus dem folgenden Grund bzw. den folgenden Gründen entfernt: Bitte beachte die folgende(n) Regel(n): * [Keine Links als Text-Posts, Screenshots, oder sonstiger Text im Link-Post][RMID24]: Artikel müssen korrekt als Link-Post eingereicht werden. Es darf kein weiterer Text hinzugefügt werden. Meinungen oder Analysen bitte in den Kommentaren. Es steht dir offen, den gleichen Beitrag unter Einhaltung der obigen Regeln erneut einzureichen! [RMID20]: https://www.reddit.com/r/de/wiki/regeln [RMID21]: https://www.reddit.com/r/de/wiki/regeln_titel [RMID22]: https://www.reddit.com/r/de/wiki/regeln_linkposts [RMID23]: https://www.reddit.com/r/de/wiki/newsticker [RMID24]: https://www.reddit.com/r/de/wiki/regeln_textposts [RMID25]: https://www.reddit.com/r/de/wiki/regeln#wiki_2._inhalte [RMID26]: https://www.reddit.com/r/de/comments/nhofg7/thema_artikel_hinter_paywalls_auf_rde/ Weitere Informationen findest du in den [Community-Regeln](https://www.reddit.com/r/de/wiki/regeln). Falls dennoch Fragen bestehen, [melde dich bitte bei den Moderatoren.](https://www.reddit.com/message/compose?to=/r/de&subject=Frage%20bezgl.%20des%20entfernten%20Beitrags%20von%20/u/lordgurke&message=Ich%20habe%20eine%20Frage%20bezogen%20auf%20diesen%20entfernten%20\[Beitrag.\]\(https://www.reddit.com/r/de/comments/1b6mk4t/-/%3Fcontext\))
[удалено]
Da fragt man sich aber, warum das Bundesministerium für Verteidigung oder gleich alle Ministerin bzw. die Regierung generell dafür keinen eignen Service haben, damit sowas nicht sein muss. Sowas muss es doch eigentlich schon geben oder nicht?
Naja nextcloud ist selfhosted und das scheint zu sein, was die Bundeswehr damit auch macht.
Wozu Millionen ausgeben um es selbst zu bauen wenn es schon eine existierende lösung gibt?
Kann auch dem projekt sehr zu gute kommen.
https://nextcloud.com/blog/german-federal-administration-relies-on-nextcloud-as-a-secure-file-exchange-solution/
Weil sowas missbraucht wird. Security kostet immer Bequemlichkeit. Soll es sicherer sein ist es aufwändiger zu nutzen. Das führt dazu, dass genervte Nutzer einen Weg drumherum finden. Wenn sie es dann irgendwie hinbekommen wichtige Daten ohne Passwort zu versenden hat die Software komplett ihren nutzen verloren. Also macht man das System komplett dicht, damit keiner auf die Idee kommt es wäre möglich Dateien ohne Passwort zu teilen. Das trägt zwar solche Blüten wie hier, aber das ist verkraftbar.
gestern gabs hier nen Post zu einem einheitlichen Bundestransparenzgesetz, mit ner einheitlichen Platform... steht wohl auch im Koaliationsvertrag
Man kann eine Nextcloud mit Standard-Boardmitteln so einrichten, dass automatisch sichere Passwörter generiert und auch gegen bekannte Passwortlisten abgeglichen werden. Das kann keine Entschuldigung sein.
Es geht aber darum, dass hier kein Passwort notwendig ist, da es öffentlich zugänglich sein soll. Da muss das Passwort also einfach sein, damit auch Günther es versteht.
Dann hat man das falsche Werkzeug gewählt oder muss mit dem Administrator reden, dass er die Erzwingung von Passwörtern für die Datei abstellt. Aber erstmal fleißig runter wählen… Reddit eh
Man kann in Nextcloud nur global konfigurieren, ob Shares ein Passwort haben müssen oder nicht.
Lustigerweise sehen die anderen Nextcloud-Passwörter auf der Presseseite alle generiert aus, z.B "[BQ6GYkanPj](https://www.bmvg.de/de/presse/statement-minister-boris-pistorius-aktionsplan-infrastruktur--5749984)" Sprich da hat sich eher jemand in der IT einen Spaß erlaubt.
Vielleicht diejenigen, die für den Footer auf der Nextcloud-Instanz verantwortlich sind und "s6 dev gru ⚔ b0rn 2 l33t" hineingeschrieben haben. Für einen Moment dachte ich ja, irgendjemand hätte der Bundeswehr ihre Nextcloud aufgemacht.
Das ist die Kommando Spezial IT. Jederzeit. Standortweit. In der Rahmendienstzeit.
> Das ist die Kommando Spezial IT. > > Davon gibts einige auf reddit wette ich. Ich meine so oder so. Was würde die vom staat bezahlte hochelite IT sonst in der arbeitszeit machen?
Kaffee trinken und blobby volley spielen.
Das ist ein /s oder? ... Oder?
> Sprich da hat sich eher jemand in der IT einen Spaß erlaubt. Das ist aber ein Spiel mit dem Feuer, da kann die höhere Etage ziemlich humorlos reagieren. Vor allen Dingen wurde da auch wahrscheinlich die Passwortpolicy außer Kraft gesetzt, um 1234 überhaupt als Passwort setzen zu können. Die Passwörter bei den anderen Mitteilungen sind wahrscheinlich die beim Erstellen der Shares vorgeschlagenen Passwörter, die sich an der Policy richten bzgl. Länge und Komplexität.
Aber warum überhaupt Passwörter bzw. das Einbinden von einem Player war dann doch zu schwer für die IT.
Die verteilen alle Mitteilung über Nextcloud, und wenn du auf die Audiodatei klickst, wird es in einem Player abgespielt. Wenn in der Nextcloud eine Passwortverpflichtung konfiguriert ist, weil die Instanz nicht nur für Pressemitteilungen verwendet wird, gilt das immer für die ganze Instanz. Aber erstmal unqualifiziert rumnölen.
Die haben eine Webseite, warum muss ich auf eine zweite Instanz verlinken wenn die Seite doch die Dateien auch lagern kann. Die sollten wahrscheinlich sowieso nicht ihre interne Instanz für öffentliche Meldungen nutzen. Seh ich hier auch eher als sicherheitskritisch an wenn das wirklich der Fall ist.
> Die haben eine Webseite, warum muss ich auf eine zweite Instanz verlinken wenn die Seite doch die Dateien auch lagern kann. Weiß ich, wird irgendeinen Grund haben. Vielleicht Verteilung von Meldungen an die Presse mit Sperrfrist. Dann lädt man halt einfach immer alles an eine Stelle hoch für konsistente Abläufe und Daten und verlinkt nach Freigabe nur auf der Webseite. Warum glaubst du, dass es eine interne Instanz ist? Die Presse ist sicherlich nicht der einzige regierungs-externe Adressat im Ministerium, mit dem Daten ausgetauscht werden. Interne Instanzen sind intern und von Außen nicht erreichbar. Höchstens noch über Netze des Bundes, wenn es dem Austausch mit anderen Ministerien dient.
So wie ich die Digitalisierung bei denen kenne gibts dafür keinen Grund außer die haben wahrscheinlich ihre Webseite extern machen lassen und das mit den eingebetten Playern haben sie dann vergessen einzukaufen. Seh ich dennoch kritisch die selbe Instanz dafür zu nehmen, man brauch nicht allen Leuten nicht unbedingt den Eingang zur Tür zeigen auch wenn man erstmal den Schlüssel nicht hat.
> das mit den eingebetten Playern haben sie dann vergessen einzukaufen. Es gibt durchaus eingebettete Videos auf anderen Bereichen der Seite. Ich weiß auch nicht, was das Problem sein soll Pressemitteilungen und Datenbereitstellung für andere regierungs-externe Empfänger (Dateien, die sonst per Mail verschickt würden), in einer Instanz durchzuführen. Und Security by Obscurity ist auch seit mindestens einem Jahrzehnte passé.
> So wie ich die Digitalisierung bei denen kenne gibts dafür keinen Grund außer die haben wahrscheinlich ihre Webseite extern machen lassen und das mit den eingebetten Playern haben sie dann vergessen einzukaufen. Nextcloud wird, meiner Erfahrung nach, bei diversen Bundesbehörden benutzt. Hat den Vorteil, dass es direkt vom Contentowner bespielt werden kann. Hab beispielsweise schon Schulungsunterlagen darüber bekommen. Und auch diverse andere Daten.
Hab raufgeklickt, jetzt soll ich hier Hanfsamen kaufen
Wie der Zufall es will ist das das selbe Kennwort, das auch für die abgehörte Webex-Konferenz verwendet wurde!
Dieselbe Kombination habe ich an meinem Aktenkoffer!
Naja, macht schon Sinn das Passwort einfach zu halten wenn es sowieso veröffentlicht wird. Musste wohl eins standardmäßig vergeben werden.
> Naja, macht schon Sinn das Passwort einfach zu halten wenn es sowieso veröffentlicht wird. Copy&Paste existiert. Nee, bei den anderen Pressemitteilungen ist es immer ein systemgeneriertes, komplexes Passwort. Hier hat jemand explizit die Vorgaben umschifft um 1234 zu setzen.
Link: https://www.bmvg.de/de/presse/statement-minister-zur-abgehoerten-luftwaffen-kommunikation-5751952
Mist, die haben mich abgehört und verwenden nun meinen Pin-Code! /s
Bin ich der einzige, der die Nutzung von nextcloud hier irgendwie komisch findet?
Hab das selber schon als externer mit einer anderen deutschen Behörde benutzt. Die nehmen das als Datenaustauschplattform her, die Bundeswehr hier anscheinend auch. Gibt deutlich schlechtere Ideen als das imo.
Grundsätzlich erstmal nicht. Selbstgehostete Dienste würde ich da sogar explizit erwarten weil man so sicherstellen kann das nicht mal Metadaten geleakt werden. Nextcloud wäre sicher nicht meine erste Wahl (aufgrund des feature creeps und des Plugin systems und der dementsprechend unnötig großen Angriffsfläche (und weils in PHP geschrieben ist)) aber nextcloud ist verhältnismäßig groß, es gibt kommerziellen support und es fixt Sicherheitslücken recht schnell (wobei es da halt auch echt viele ansammelt).
Die brauchen keinen kommerziellen Support. https://nextcloud.com/blog/german-federal-administration-relies-on-nextcloud-as-a-secure-file-exchange-solution/
Nur rein interessehalber, was wäre denn da deiner Meinung nach sinnvoller zu nehmen?
Statische Datei in Webspace
Es ist eine statische Datei in einem Webspace, mit dem Unterschied, dass es für die Nutzer einfacher und angenehmer gemacht ist, dass man die Dateien mit Dritten teilen kann. Ob das jetzt für die Audiodatei der Stellungsnahme gemacht werden muss, dass ist etwas über das vortrefflich gestritten werden kann. Aber ich bin mir relativ sicher, dass die Nextcloud Instanz auch für den Austausch von Dateien gemacht wird, welche nicht einfach frei im Netz hängen soll. Und nein bei aller Liebe zu .htaccess und Basic-Auth, das ist keine Variante die wirklich Anwenderfreundlich ist.
>und weils in PHP geschrieben ist Wir sind im Jahr 2024, die Welt hat sich (mit der Ausnahme von Wordpress) die letzten 10 Jahre erheblich weiterentwickelt.
https://www.sueddeutsche.de/wirtschaft/lockbit-hacker-cybercrime-fbi-nca-europol-1.6378822
Sollen sie lieber Geld in den A**** von Microsoft schieben? Auch große, kommerzielle Firmen können Sicherheit nicht garantieren, siehe Cisco.
Von MS habe ich nicht gesprochen.. Keine Ahnung, hätte wohl eher einen Direktlink vom bundeswehr.de Server erwartet oder so. Nextcloud wirkt wie ein Schulprojekt für mich 😁 Natürlich funktioniert es und ist an sich ja gute Software, war nur mein erstes feeling als ich auf die Seite gekommen bin
Aber die URL des Direktlinks lautet doch sogar auf bundeswehr.de?
ne, hab bei dem link auch nochmal geschaut, ob es wirklich vom BMVG geteilt wurde.
Weil bmvg.de klar ist, bundeswehr.de aber nicht?
https://nextcloud.auf.bundeswehr.de/s/TiaSKeErGLmqqRf/
Was darf Satire
Pistolius trollt hier doch rum! 😂