[Qgis-user] [QGIS-DE] Repositorium im Internet

Brengelmann, Uwe (LGLN) Uwe.Brengelmann at lgln.niedersachsen.de
Fri Sep 16 01:44:21 PDT 2022 

Hallo,
die Einschätzung des QGIS-Kernteams ist ja vom 26.8.2016. Zu der Zeit war wohl noch ein Grundvertrauen in das Internet nachvollziehbar. Inzwischen gibt es aber ja zahlreiche Vorfälle mit Viren, Erpressung usw, Tendenz weiter steigend, die mit QGIS direkt erst mal nichts zu tun haben. Trotzdem ist das Internet-Repositorium sicher ein potentielles Einfallstor; bisher wurde es Gott sei Dank nicht missbraucht.

Unsere Verwaltung hat seit Kurzem einen neuen IT-Dienstleister, und das Thema Sicherheit wird jetzt wichtiger genommen. Hier werden im Moment 2 Wege diskutiert:

  *   Jedes QGIS-Plugin (das kann auch eines aus dem Internet sein) wird vom IT-Dienstleister verpackt, in einem Softwarecenter zur Verfügung gestellt, und kann dann vom Nutzer selbst installiert werden. Jedes dieser plugins hat innerhalb unserer Verwaltung einen sogenannten Anwendungsverantwortlichen, d.h. auch ein plugin aus dem Internet muss vom Anwendungsverantwortlichen sicherheitstechnisch geprüft werden; z.Z. erst in Teilen realisiert.
  *   Einrichtung eines Intranet-Repositoriums, auf die die Anwendungsverantwortlichen ihr plugin (ob aus dem Internet oder selbst programmiert) selbst hochladen können. Das ist im Moment wohl der Favorit, einfach weil das Verpacken durch den IT-Dienstleister einen nicht tragbaren Zeitrahmen erfordert; warum auch immer.

Es ist wohl so, dass die QGIS-Community beim Thema Sicherheit noch nachlegen sollte. Crowdfunding ist da sicher eine gute Idee. Vielleicht können wir das als qgis.de ja mal anstoßen.

Mit freundlichen Grüßen, Im Auftrage
Uwe Brengelmann

Landesamt für Geoinformation und Landesvermessung Niedersachsen (LGLN)
- Regionaldirektion Oldenburg-Cloppenburg -
Dezernat 2 - Geodatenmanagement
Im Hagen 2, 27793 Wildeshausen
Tel.:       +49 4431 73798-35
Fax:       +49 4431 73798-11
mailto:uwe.brengelmann at lgln.niedersachsen.de
www.lgln.niedersachsen.de<http://www.lgln.niedersachsen.de>

Von: Thomas B <rdbath.regiodata at gmail.com>
Gesendet: Freitag, 16. September 2022 10:02
An: Bernhard Ströbl <nospam at stroweb.de>
Cc: Brengelmann, Uwe (LGLN) <Uwe.Brengelmann at lgln.niedersachsen.de>; qgis-de at lists.osgeo.org
Betreff: Re: [QGIS-DE] Repositorium im Internet


ACHTUNG!! Diese E-Mail erreicht Sie von einem Absender außerhalb der niedersächsischen Landesverwaltungs-Infrastruktur mit TLS-Verschlüsselung. Bitte klicken Sie auf keine Links oder öffnen Sie keine E-Mail-Anhänge, falls Sie den Absender nicht kennen und nicht wissen, ob der Inhalt sicher ist.
Hallo Uwe und Bernd,
ich persönlich halte es allein von der vorhandenen "manpower" für nicht gegeben, dass alle >1000 Plugins im offiziellen Repository manuell auf Sicherheitslücken hin überprüft werden können. In einem nicht mehr ganz aktuellen Blogeintrag wurde die Tatsache, dass der Inhalt der Plugins außerhalb der Kontrolle des QGIS-Projektes selbst steht folgendermaßen eingestuft:  "We view this as a potential security risk ". (s.u.)
In Bereichen, in denen IT-Sicherheit wichtig ist oder gar auf bestimmten ISO-Normen hin überprüft wird würde ich nur ein hausinternes Repository einbinden. Besser noch wäre es den Plugin-Installer anzupassen, so dass man mit einer Whitelist arbeiten kann und nur freigegebene Plugins überhaupt installiert/aktiviert werden können aber das wäre sicherlich ein gewisser Aufwand. Je nachdem wie viel Bedarf es hier gibt könnte das ja auch mal ein Thema für ein Crowdfunding sein.

Viele Grüße,
Thomas

https://blog.qgis.org/2016/08/26/what-are-trusted-plugins/

The vast majority of our plugins (listed in http://plugins.qgis.org/ and inside your copy of QGIS) are developed by third parties, either individuals, companies, and institutions. As such, they are outside our direct control and the developers often relatively unknown to the QGIS community. We view this as a potential security risk. We are convinced the risk is small, because of many factors including the “many eyes” principle (the code is visible to everybody, and in use by thousands of people), but cannot exclude the possibility that someone tries to inject malicious code into a plugin.

In order to address this situation, we looked into the opportunity of implementing automatic tools to scan plugins, before their publication, and spot potential problems. Our research indicated that this approach would be difficult and costly, and easy to circumvent.

We (the PSC) therefore decided to implement a simple yet robust approach to security, based on the ‘web of trust’ principle: we trust people we know well in the community. You will see on the http://plugins.qgis.org web site that there is a ‘Trusted Author’ tag has been applied to plugins created by those members of the community that we know and trust.

Am Do., 15. Sept. 2022 um 15:14 Uhr schrieb Bernhard Ströbl <nospam at stroweb.de<mailto:nospam at stroweb.de>>:
Hallo Uwe,
meines Wissens nach gibt es da keine Gewährleistung über die Community, um sicherzugehen, solltest Du die Frage nochmal auf die QGIS-user ML geben.
Grundsätzlich gibt es derartige Fragen natürlich. Ein paar Ideen, wie man damit umgehen kann:
- organisatorische Lösung: den MA ist es untersagt, Software aus dem Internet zu installieren
- technische Lösung: sperren der URL
- technische Lösung: Deaktivieren des Repos in QGIS
Grundsätzlich kannst Du nicht verhindern, dass jemand sich ein Plugin herunterlädt und auf dem Firmenrechner installiert (notfalls lädt er es zu Hause runter und bringt es per USB-Stick mit), Du kannst es ihm nur erschweren.
Wenn Du dennoch Plugins zur Verfügung stellen willst, kannst Du sie mit QGIS direkt verteilen, oder im Intranet Profile anbieten, die die Nutzer bei sich installieren können oder ein eigenes Plugin-Repo im Intranet betreiben.
Grüße
Bernhard


> Brengelmann, Uwe (LGLN) <uwe.brengelmann at lgln.niedersachsen.de<mailto:uwe.brengelmann at lgln.niedersachsen.de>> hat am 15.09.2022 14:17 CEST geschrieben:
>
>
> Hallo Community,
> In QGIS ist ja ein Internet-Repositorium eingerichtet, das hunderte von QGIS-Plugins enthält. Da das Thema Sicherheit eine immer größere Bedeutung bekommt, hier meine Frage dazu:
> Ist eigentlich sichergestellt, das man sich über das Internet-Repositorium keine Viren oder andere Schadprogramme einfängt? Ist das durch die QGIS-Community gewährleistet und wie? Gibt es da eine Argumentationshilfe den Personen in der eigenen Organisation gegenüber, die sich um IT-Sicherheit kümmern?
>
> Mit freundlichen Grüßen, Im Auftrage
> Uwe Brengelmann
>
> Landesamt für Geoinformation und Landesvermessung Niedersachsen (LGLN)
> - Regionaldirektion Oldenburg-Cloppenburg -
> Dezernat 2 - Geodatenmanagement
> Im Hagen 2, 27793 Wildeshausen
> Tel.:       +49 4431 73798-35
> Fax:       +49 4431 73798-11
> mailto:uwe.brengelmann at lgln.niedersachsen.de<mailto:uwe.brengelmann at lgln.niedersachsen.de>
> www.lgln.niedersachsen.de<http://www.lgln.niedersachsen.de><http://www.lgln.niedersachsen.de>
>
> _______________________________________________
> QGIS-DE mailing list
> QGIS-DE at lists.osgeo.org<mailto:QGIS-DE at lists.osgeo.org>
> https://lists.osgeo.org/mailman/listinfo/qgis-de
_______________________________________________
QGIS-DE mailing list
QGIS-DE at lists.osgeo.org<mailto:QGIS-DE at lists.osgeo.org>
https://lists.osgeo.org/mailman/listinfo/qgis-de
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.osgeo.org/pipermail/qgis-user/attachments/20220916/f2ce98f7/attachment.htm>

More information about the Qgis-user mailing list