Für die Realisierung der Website nutzen wir nur Open-Source Software und wird auf einem eigenen Webspace gehostet. Die Website basiert auf einem WordPress Blog und für die Realisierung des Terminkalenders nutzen wir der Einfachkeit halber das Plugin Events Manager. Die Seite sollte auch weitgehend ohne JavaScript funktionieren, allerdings lässt sich dann nicht der Terminkalender anzeigen. Stattdessen gibt es auch eine einfachere Liste mit kommenden Veranstaltungen.

Verbindungssicherheit

Es werden mit jedem Request (also jeder Aufruf jeder Website im Internet) Daten mitgeschickt. Grob kann zunächst einmal zwischen sogenannten Verbindungsdaten und den „eigentlichen“ Inhaltsdaten unterschieden werden. Während Verbindungsdaten dafür Sorge tragen, dass ein Browser eine Webseite zugeschickt bekommt und diese üblicherweise ziemlich unsichtbar für uns Nutzer*innen bleiben, sind die Inhaltsdaten jene, die im Browser angezeigt werden (nachdem sie vom Browser interpretiert worden sind).

Nichtsdestotrotz lassen sich auch aus Verbindungsdaten Rückschlüsse auf das Nutzungsverhalten ziehen. Im Falle von lilabi z.B. dass und wie oft nach Terminen gesucht wurde, welche Termine, zu welchen Uhrzeiten, et cetera. Dass dies von durchaus praktischer Relevanz und von Interesse für Repressionsbehörden ist, zeigt die Einführung der Vorratsdatenspeicherung.

Die Einsicht in die Verbindungsdaten ist zu einem gewissen Grad mittels HTTPS vermeidbar. HTTPS stellt nämlich zuerst eine verschlüsselte Verbindung mit dem Server her und erst danach werden der Großteil der Verbindungsdaten und die Inhaltsdaten (verschlüsselt) übertragen. Der Aufbau dieser Kommunikation (d.h. ein Client kommuniziert irgendetwas mit diesem Server, erreichbar unter www.lilabi.net) bleibt aber ersichtlich. Ebenso bleiben während der gesamten Verbindungszeit die Dauer und das Volumen der Requests von außen ersichtlich.

HTTPS funktioniert mit dieser Website. Das TLS/SSL-Zertifikat, das in der verschlüsselten Kommunikation eingesetzt wird, ist von Let’s Encrypt ausgestellt.

Analytik

Uns interessiert, wie viele Leute den Kalender nutzen und ob sicher der doch recht hohe Aufwand, diese Website zu betreiben, dauerhaft lohnt.  Auch gibts so nen paar Fragen, die für Verbesserungen nützlich sind, z.B. ob Nutzer*innen vor allem mit Handy auf unserer Seite unterwegs oder die meisten Leute hier her kommen, weil Veranstaltungen in sozialen Netzwerken geteilt wurden.

Für diese Analytik verwenden wir Piwik, ein Freies-Software-Tool, und explizit nicht Google Analytics oder andere Drittanbieterinnen. Wir haben Piwik so konfiguriert, dass die IP-Adressen nur anonymisiert verarbeitet werden. Dadurch können keine zuverlässigen Rückschlüsse auf Herkunftsländer oder Provider mehr gestellt werden. Außerdem respektiert Piwik den Do-Not-Track-Header eures Browser und unten bietn wir ein opt-out Cookie an, welches ihr nur setzen braucht und dann raus aus der Nummer seid. Die Visitor-Daten werden nach einiger Zeit zu Ergebnissen zusammengefasst. Die ursprünglichen Daten, d.h. die einzelnen Besuche, werden dann gelöscht und nur mehr das aggregierte Resultat steht zur Verfügung.

Piwik (und alles mögliche andere an Analytikdienste) läßt sich aber auch zuverläßig mit Browser-Addons blockieren, z.B. mit Ghostery (gibt’s für Firefox und für Chrome). Wenn JavaScript und/oder Cookies deaktiviert sind, funktioniert Piwik nur noch stark eingeschränkt.

Piwik opt-out

Eigenverantwortlichkeit

Eine Grundsicherheit läßt sich bereits von unserer Seite herstellen und das machen wir auch. Und zwar:

  • anonymisieren von Verbindungsdaten
  • Regelmäßiges Löschen bzw. Nicht-Speichern von nicht benötigten Verbindungsdaten
  • SSL/TLS-Verschlüsselung (https)

Anonymes Surfen liegt aber prinzipiell vor allem in der Verantwortung der einzelnen User*in. Dafür eignet sich beispielsweise wunderbar der Torbrowser.

Mehr dazu z.B. hier

PGP

Wer mit uns per Mail in Kontakt tritt, kann auch die PGP Verschlüsselung nutzen.

 

Danke an die Menschen bei zeitdieb*in für die Inspiration zu diesem Abschnitt.