Hadmut Danisch

Ansichten eines Informatikers

Vom Jugendschutzfilter geblockt

Hadmut
28.1.2019 20:45

Ganz viele Leser schreiben mir immer, wenn sie von irgendeinem Supermarkt oder anderen öffentlichen Netzwerk nicht auf mein Blog gelassen werden, weil deren Jugendschutzfilter blockiert.

Ich weiß, aber es bringt mir jetzt nicht viel, wenn mir da jedesmal für jedes WLAN jemand einen Hinweis schickt.

Vordergrund ist, dass ich ja mal über einen Aktworkshop in Prag berichtet habe und dann – Gottogott – Fotos nackter Frauen im Blog hatte. Herrje. Sowas geht ja nun gar nicht mehr. Hintergrund ist eher, dass ich politisch unerwünscht schreibe und man versucht, den Zugang zu sperren, bei anderen Webseiten filtert man das nämlich nicht so. Wieder mal die Willkür der Maßstäbe.

Aber: Das Problem erledigt sich in Bälde von selbst.

Ich hatte bisher kein TLS auf dem Webserver, weil das eine Vereinsmaschine ist, auf der ganz viele virtuelle Webserver laufen, und man die nicht so trivial aktualisieren kann, wir deshalb nicht auf der allerneusten Linux-Version fahren. Die wird natürlich noch mit Sicherheitsupdates und so weiter versorgt, was sich aber eben nur auf Sicherheitslöcher und so weiter, nicht auf einpflegen neuer Verfahren bezieht. Gerade weil es in letzter Zeit viele Updates bei den Browsern gab, die dieses und jenes fordern, wäre das mit der Softwareversion problematisch gewesen. Aber wir arbeiten dran, die Testinstallation wird gerade erprobt, sobald alle Nutzer grünes Licht geben, aktualisieren wir, und dann kann ich auch auf TLS umstellen (bzw. dann nur noch TLS, weil WP im Gemischtbetrieb nicht funktioniert).

Dazu kommen, und das ist mit ein Grund, warum wir das bisher nicht so eilig hatten, TLS 1.3, was den Servernamen verbirgt, und demnächst auf Client-Seite zumindest optional DNS über HTTPS.

Das führt dazu, dass solche zwischengeschalteten Filter nicht mehr (das heißt nur noch anhand der IP-Adresse, wenn sie die erkennen) in der Lage sein werden, bestimmte Domains selektiv zu blocken.

Das wird noch lustig, denn in nahezu allen Hotels, Supermärkten und Flughäfen der Welt herrscht das Verfahren, den ersten Webseitenzugriff abzufangen und per Redirect auf die eigene Anmeldeseite umzulenken. Was rein technisch gesehen eine Man-in-the-Middle-Fälschung ist, denn mit dem Redirect wird ja ein falscher Inhalt vorgegaukelt. Sowas wird nicht mehr funktionieren, wenn alle standardmäßig auf TLS gehen und die Mobilgeräte dann die StrictTransportSecurity gelernt haben, geht sowas nicht mehr. Was gut ist, denn eigentlich war es schon immer Pfusch und hätte nie funktionieren dürfen. Besser wäre es, in der DHCP-Antwort einen Link auf die Anmeldeseite mitzureichen oder sowas in der Art. (Wobei mein Handy das irgendwie automatisiert – vermutlich über einen Testzugriff – herausfindet und mir gleich einen Hinweis anzeigt, ich möge mich doch auf dieser Webseite da anmelden, was aber bei weitem nicht alle können.)

Wie dem auch sei, ich bitte noch um einige Geduld, und dann sollten solche lästigen Filter generell funktionslos werden. Was ich übrigens schon 2009 zum Thema Kinderpornosperre als deren Problem dargestellt habe, wollte mir damals aber keiner glauben.

Denn auch anhand der IP-Adresse kann man nicht mehr viel erlauben (whitelist) oder sperren (blacklist). Die meisten Firmen haben nämlich ihre Webserver nicht mehr in ihrem Netz mit eigenen IP-Adressen stehen, sondern längst irgendwo beim Hoster oder in der Cloud, wo es mit Adressen bunt durcheinander geht und die IP-Adresse dann oft auch andere virtuelle Server betrifft (wie auch bei mir). Mit der Umstellung auf TLS wir das dann schon schwieriger, weil man die Verbindung dann nicht verhindern, sondern nur unterbrechen kann (und das ist rechtlich heikel), mit 1.3 geht das dann prinzipiell auch nicht mehr, bleibt noch das Sperren von DNS-Antworten. Dafür baut man aber eben an DNS über HTTPS. Was allerdings darauf hinausläuft, dass das Handy die Anmeldeseite erst gar nicht mehr finden könnte, wenn die über Namen und nicht über IP-Adressen läuft.