Sicherheit

Wir auf jabber.at nehmen deine Sicherheit sehr ernst. Das gilt natürlich auch für unsere weiteren Domains, jabber.zone und xmpp.zone.

​ Achtung: Fachbegriffe!

Sicherheit ist ein komplexes Thema und das bringt automatisch viele Fachbegriffe mit sich. Falls sie die Begriffe nicht verstehen, macht das nichts. Wir versuchen ihre Bedeutung kurz zu erklären und verlinken auf Wikipedia, falls sie sich weiter informieren möchten.

Transport Layer Security (TLS)

Transport Layer Security (TLS) (früher SSL) verschlüsselt Verbindungen im Jabber-Netzwerk, mit der selben Methode werden auch Verbindungen zu Webseiten verschlüsselt (HTTPS). Wir verschlüsseln alle Verbindungen und nutzen nur die stärksten Verschlüsselungsmethoden. Das heißt 4096 Bit TLS-Zertifikat und keine unsicheren Verschlüsselungsmethoden ("TLS cipher").

​ TLS ist keine "Ende-zu-Ende-Verschlüsselung", Nachrichten sind im Klartext auf unserem Server einsehbar. Für Ende-zu-Ende-Verschlüsselung müssen beide Seiten ihrer Konversation einen entsprechenden Client verwenden.

Ein Tool um das zu verifizieren findet sich auf xmpp.net:

  • jabber.at: xmpp.net score
  • jabber.zone: xmpp.net score
  • xmpp.zone: xmpp.net score

DNSSec und DANE

Unsere Domains sind mit DNSSec gesichert. Das heißt, dass DNS Anfragen (mit denen eine Domain einer IP-Adresse zuordnet wird) signiert sind und von niemanden modifiziert wurden.

Wir nutzen außerdem DANE. Damit kann dein Client verifizieren, dass das TLS-Zertifikat auch wirklich jenes ist, dass von uns verwendet wird.

Passwörter

Anders als viele anderen Jabber/XMPP Server speichern wir Passwörter nicht mehr im Klartext sondern hashen sie mit SCRAM-SHA1. Das heißt, dass selbst bei einem Einbruch in unsere Server die Passwörter nur sehr schwer einsehbar sind.

E-Mail

Wenn wir ihnen E-Mails schicken (z.B. bei der Registrierung oder wenn sie ihr Passwort vergessen haben) werden unsere E-Mails mit DKIM und SPF gesichert. So wird sicher gestellt, dass E-Mails wirklich von uns, und nur von uns, kommen können.

Wenn sie einen GPG-Schlüssel konfigurieren, sind außerdem alle E-Mails an sie mit GPG verschlüsselt. 

Gespeicherte Daten

Wir speichern so wenig Daten wie möglich. Das wird der Schaden, sollte doch einmal erfolgreich in unseren Server eingebrochen werden (oder wir einen Durchsuchungsbefehl der Justiz bekommen), möglichst gering gehalten. Wir haben eine Privacy Policy die genau offen legt, welche Daten wir warum speichern.

System-Administration

Um das Risiko eines Einbruchs möglichst zu minimieren, macht unser Jabber-Server wirklich nichts anderes: Alle anderen Services (inkl. dieser Homepage) laufen auf einem anderen Server. Der Server wird außerdem streng überwacht und Sicherheitsupdates sofort eingespielt.

Das Jabber/XMPP-Netzwerk verbessern

Wir sind stolz darauf, immer wieder die Sicherheit im gesamten Jabber-Netzwerk vorangetrieben zu haben. Mitte 2013 waren wir buchstäblich der einzige Server, der TLS für Verbindungen zwischen Servern verlangt hat, mittlerweile hat sich die Situation deutlich verbessert.

Mit unseren aktuellen Debian/Ubuntu Paketen für ejabberd (siehe APT repositories) bekommen nicht nur wir, sondern auch viele andere Server neue Versionen und damit Sicherheitsupdates - inklusive solcher, die wir zwischen Veröffentlichungen vorab einspielen.

Sprache
Tools