_Bastler/we_bstly-web
1
0
Fork 0
Code Issues Pull Requests Projects Releases Activity

add build

Browse Source
This commit is contained in:
Lurkars
2021-03-14 13:11:02 +01:00
parent ed325c7e14
commit ec7e28f5be
42 changed files with 2343 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files
dist/we-bstly-angular/assets/templates/de-informal/privacy/design.html
Vendored
+25
View File
@@ -0,0 +1,25 @@
<p>Hier findest du eine kleine Übersicht über Datenschutz bei uns und unser Verständnis davon. Die genaue Auflistung der
Verwendung deiner Nutzungsdaten findest du in unserer <a href="/privacy-policy">Datenschutzerklärung</a>.</p>
<p>Privacy by Design bedeutet, dass die Systeme grundlegend auf Datensparsamkeit ausgelegt sind. Wir versuchen generell immer so
wenig Daten wie möglich zu erheben. Frei nach dem Motto 'was man nicht hat, kann man auch nicht verlieren'. Das gilt
zuerst einmal generell für Daten, die wir erheben, aber auch für die Verknüpfung verschiedener Daten zueinander.</p>
<p>Um Account- und Zahlungsdaten zu trennen, benutzen wir das Ticket-System Pretix mit seinem Check-In System. Für jedes
Item wird ein geheimes Token generiert. In unserer selbst entwickelten Serverkomponente, we.bstly, können dann diese
Tokens eingelöst werden und die entsprechende Leistung gespeichert werden. Das Token wird dann in Pretix als
eingelöst markiert.</p>
<p>Die Verknüpfung von Account/Leistung und Token ist also nur temporär für die bestehende Browser Session gültig und
wird sonst nicht dauerhaft gespeichert. Sprich: es gibt zwei Datenbanken, eine für Zahlungsdaten und Tokens
(Pretix-System) und eine mit Account- und Berechtigungsdaten (we.bstly-System). Die Verknüpfung findet nur in einer
aktiven Browser-Session statt und wird nach Einlösen des Tokens auch dort vergessen. Es gibt also keinerlei
Verknüpfung von Zahlungsdaten und Account.</p>
<p>Abstriche machen wir aktuell bei der Verknüpfung von Accounts bei den einzelnen Services. Wie immer haben Komfort und
Einfachheit ihren Preis. Durch Single-Sign-On (SSO) über OIDC heißt das: Ein Account für Alles. Sprich, die Nutzung
der einzelnen Services ist immer auf deinen we.bstly-Account zurückzuführen. Zum Einen bietet das den Komfort von
SSO, dass du nur auf diesen einen Account gut aufpassen musst. Zum Anderen bekommt man dafür natürlich auch die
Einfachheit, dass alle die Sicherheit haben, dass es sich bei den verschiedenen Services immer um den gleichen
we.bstly-Account handelt. So weißt du z.B., dass du auch genau dem Menschen eine E-Mail schreibst, mit dem du gerade
gechattest hast.</p>
dist/we-bstly-angular/assets/templates/de-informal/privacy/email.html
Vendored
+8
View File
@@ -0,0 +1,8 @@
<p>Aktuell werden die E-Mails so wie sie ankommen auf dem Server gespeichert. Da dies einige Nachteile und unnötiges
Vertrauen benötigt, arbeitet _Bastler an einer Lösung, dass alle E-Mails automatisch mit deinem Public Key
verschlüsselt werden. Das gibt dir die Sicherheit, dass auch nur du die E-Mails entschlüsseln kannst. Allerdings
bedeutet dies auch, dass du all deine E-Mail-Clients für die Entschlüsselung einrichten musst. Wir werden
selbstverständlich detaillierte Anleitungen dazu veröffentlichen wenn es soweit ist und vermutlich auch ein Opt-Out
anbieten, wenn du auf diese Funktion verzichten möchtest.</p>
<p>Zur Authentifizierung werden deine we.bstly Account-Daten verwendet, d.h. hier gilt immer dieselbe Sicherheit.</p>
dist/we-bstly-angular/assets/templates/de-informal/privacy/nextcloud.html
Vendored
+14
View File
@@ -0,0 +1,14 @@
<p>Wie sensibel die Daten in der Nextcloud sind, hängt natürlich nur von deiner Nutzung ab. Vom Dienst selber fallen
keine Daten außer deine Account-Daten (nur Username und freiwillige Profildaten) an. Da hier ausschließlich von
Usern
selbst erstellte Inhalte gespeichert werden, kommt es darauf an, was du hochlädst, veröffentlichst und schreibst.
Die Daten werden automatisch verschlüsselt gespeichert, es handelt sich
dabei allerdings nur um eine serverseitige Verschlüsselung, sodass du die Daten weiterhin mit Anderen teilen kannst.
Nextcloud bietet allerdings in den aktuellen Versionen auch eine eigene Ende-Zu-Ende-Verschlüsselung (E2EE) an. Es
steht dir natürlich frei diese für sensible Daten zu nutzen, sodass auch niemand anderes an diese Dateien kommt.
Beachte aber, dass diese Dateien dann nicht mehr im Browser zugänglich sind und nicht geteilt werden können.
Außerdem gilt die E2EE nur für Dateien und nicht für andere Daten wie Nachrichten, Kalender o.Ä., so dass die
Empfehlung ist, immer darüber nachzudenken, welche Daten man gerade erzeugt und wie sensibel diese sind.</p>
<p>Da die Nextcloud auch als Basis für unsere Community dient, werden deine Account-Daten mit allen anderen Usern
geteilt. Es steht dir aber auch frei, weitere Daten wie Dateien, Kalender etc. mit anderen Usern zu teilen.</p>
dist/we-bstly-angular/assets/templates/de-informal/privacy/pretix.html
Vendored
+3
View File
@@ -0,0 +1,3 @@
<p>Im Pretix System müssen wir natürlich persönliche Daten zum Zahlungsverkehr sowie eine E-Mail-Adresse speichern zum
Versenden von E-Mails mit Bestätigungen, Zahlungsdaten sowie zum Verschicken der Tokens. Als Vereinsmitglied werden
hier deine zu erhebenden Mitgliedsdaten sowie dein Mitgliedsbeitragskonto gespeichert.</p>
dist/we-bstly-angular/assets/templates/de-informal/privacy/we-bstly.html
Vendored
+12
View File
@@ -0,0 +1,12 @@
<p>Im we.bstly-System brauchst du lediglich einen Usernamen und ein Passwort (gut gesalzen, Argon2 gehashed!).
Zusätzlich wird noch ein Private-Public-Schlüsselpaar erstellt. Mehr nicht. Optional ist noch die Angabe einer
E-Mail Adresse. Diese ist erforderlich beim Verlust der Login-Daten bzw. deines Private-Keys. Wir halten diese
Option allerdings offen, so dass eine völlig anonyme Nutzung aller Dienste möglich ist, wenn du dein Passwort bzw.
deinen Private-Key nicht verlierst!</p>
<p>Zusätzlich zu deinen zentralen Account-Daten werden hier auch deine Berechtigungen und das Ablaufdatum deiner Services
gespeichert. Aktuell ist es auch vorgesehen, die Information zu speichern, ob du ein reguläres Vereinsmitglied bist.
Dies hat den Vorteil, dass wir über unsere Services auch alle Vereinsmitglieder direkt erreichen können oder
erweiterte Services anbieten können. Die Daten werden selbstverständlich nicht mit deinen Mitgliedsdaten und dem
Mitgliedsbeitragskonto verknüpft, sprich: wir wissen lediglich, <strong>dass</strong> du Vereinsmitglied bist,
<strong>nicht welches</strong>!</p>
dist/we-bstly-angular/assets/templates/de-informal/privacy/webserver.html
Vendored
+9
View File
@@ -0,0 +1,9 @@
<p>Alle Dienste laufen über einen Webserver, wie auch z.B. diese Seite. Generell fallen bei einem Webserver automatisch
ein Haufen Daten an, wie z.B. deine IP-Adresse, deine Webbrowser-Version und einiges mehr. Dass diese Daten
übertragen werden ist technisch bedingt und lässt sich nur mit Aufwand von deiner Seite aus verhindern. Wichtig ist
also, was wir mit diesen Daten machen.</p>
<p>Und was machen wir mit diesen Daten? Die Antwort ist einfach: Nichts! Im Allgemeinen werden diese Daten gar nicht
gespeichert. Im Zuge von Wartungsarbeiten o.Ä. kann es dazu kommen, dass diese Daten in Log-Files geschrieben werden,
damit wir Problemen auf den Grund gehen können. Diese werden dann allerdings mit keinen anderen Daten verknüpft und
direkt nach Beendigung der Arbeiten gelöscht!</p>