Duitse school forkt Matrix-messenger als alternatief voor WhatsApp
Door de coronapandemie communiceren steeds meer scholen digitaal met leerlingen en hun ouders. De Hermannschule in de Duitse deelstaat Noordrijn-Westfalen gebruikte in eerste instantie WhatsApp, maar besloot vanwege privacyredenen om hier vanaf te zien. In plaats daarvan forkte het de op Matrix-gebaseerde messenger FluffyChat en zette vervolgens ook een eigen Matrix-server neer.
"De school wist de eerst lockdown met een experiment te overbruggen. We voorzagen alle leraren op school met een tablet, en na enige privacyzorgen, een WhatsApp-account. De configuratie en het gebruik van deze accounts was op zo'n manier dat, vanuit ons standpunt, het voldeed aan de databescherming door contacten niet op te slaan en zo het versturen van deze contacten naar WhatsApp/Facebook te voorkomen", aldus de school.
Op deze manier kon de school nauw contact houden met leerlingen en ouders en onder andere berichten, foto's en video's uitwisselen. De Hermannschule stelt dat het gebruik van WhatsApp voor meerdere redenen problematisch was. Daarom werd er naar een alternatief gezocht, maar geen enkele marktoplossing voldeed aan de wensen van de school.
De school besloot naar opensource-alternatieven te kijken en kwam uit op FluffyChat en Matrix. Matrix is een protocol en platform dat versleutelde communicatie biedt. FluffyChat is een messenger-client voor het Matrix-protocol. De school nam de broncode van FluffyChat en voerde mede vanwege veiligheid en toegankelijkheid verschillende aanpassingen door en gaf de nieuwe messenger de naam Hermannpost.
Ook besloot het een eigen Matrix-server te gebruiken. "Onze server is niet federated, wat inhoudt dat andere Matrix-installaties geen toegang tot onze server hebben. Dit houdt ook in dat kinderen en ouders niet met andere accounts buiten onze server kunnen communiceren. Anders gezegd, onze server is gesloten en beveiligd tegen externe actoren", stelt de Hermannschule.
Voor het registratieproces wordt gebruikgemaakt van een versleutelde qr-code, die ook de registratiedata verbergt. Daardoor is het niet mogelijk om met een andere messenger-client een account te registreren. Om het inloggen te vereenvoudigen wordt er ook met een qr-code gewerkt waarbij de gebruiker nog een aanvullende pincode moet opgeven. Dit als alternatief voor lange, veilige wachtwoorden. Verder is de zichtbaarheid van persoonlijke informatie in de messenger-client beperkt. De Duitse school heeft nu alle broncode en informatie van het project gedeeld en hoopt dat andere scholen er hun voordeel mee kunnen doen.
En niet alleen scholen,maar ook alle andere bedrijven en instellingen die privacy waarderen.
De bal ligt letterlijk voor het doel.
Wat hebben ze voor ELO electronische leeromgeving op deze school? Misschien de Duitse variant op de closed-source ItsLearning en Magister, of misschien de open-source Moodle??
https://nl.wikipedia.org/wiki/Elektronische_leeromgeving
Lovenswaardig initiatief maar ik zie alweer een niet redundant server in een bezemkast draaien met een niet encrypted OS daarop. Dit alles onderhouden door de congierge die dit als bijbaantje heeft.
Te gek voor woorden dat de overheid dit toloreerd.
Lovenswaardig initiatief maar ik zie alweer een niet redundant server in een bezemkast draaien met een niet encrypted OS daarop. Dit alles onderhouden door de congierge die dit als bijbaantje heeft.
De meeste scholen hebben een redelijk IT budget. Kans is groot dat het gehost wordt bij een cloud provider die veel onderwijs sponsort.
Lovenswaardig initiatief maar ik zie alweer een niet redundant server in een bezemkast draaien met een niet encrypted OS daarop. Dit alles onderhouden door de congierge die dit als bijbaantje heeft.
Wat bedoelt u precies? De overheid werkt al jaren met eigen chatdiensten en eigen private servers hiervoor. Blijkbaar wordt u niet gehinderd door enige kennis m.b.t. overheidsinstellingen en hun communicatie methodieken.
Lovenswaardig initiatief maar ik zie alweer een niet redundant server in een bezemkast draaien met een niet encrypted OS daarop. Dit alles onderhouden door de congierge die dit als bijbaantje heeft.
De meeste scholen hebben een redelijk IT budget. Kans is groot dat het gehost wordt bij een cloud provider die veel onderwijs sponsort.
Ik zal even de vertaling doen:
We draaien onze eigen Matrix applicatie op een eigen server in ons schoolgebouw.
Ik doe even de aanname dat hun schoolgebouw niet in de cloud staat ... ;-)
Wat bedoelt u precies? De overheid werkt al jaren met eigen chatdiensten en eigen private servers hiervoor. Blijkbaar wordt u niet gehinderd door enige kennis m.b.t. overheidsinstellingen en hun communicatie methodieken.
U noemt geen voorbeelden van "eigen chatdiensten en eigen private servers"? Dat ik enthousiast ben over het initiatief van deze Hermannschule heeft een geschiedenis:
Minister Henk Kamp, minister van Defensie in de kabinetten Balkenende I,II,III (en tijdelijk ook Rutte III), en minister van Economische Zaken in Rutte II, gebruikte Gmail voor vertrouwelijke stukken:
https://www.security.nl/posting/470643/OM%3A+Gmail-account+minister+Kamp+gehackt+via+phishing
Maar dat was ook de periode waarin er in Groningen nog 55 (!!) miljard kuub aardgas werd opgepompt en er vooral heel veel langdurig onderzoek werd opgestart. Kamp voelde zich erg gebonden aan allerlei contracten, en was bang dat "de mensen in de kou komen te zitten". "Windmolens draaien op subsidie" volgens zijn chef.
Opvolger Ank Bijleveld (Defensie Rutte III) maakte wel gebruik van "moderne communicatiemiddelen" zoals Zoom (en bracht vrolijk via Twitter de inlogcode in beeld) [/sarcasm].
https://www.security.nl/posting/679326#posting679600
"Minister maakt excuses voor delen van foto met deel pincode EU-overleg", woensdag 25 november 2020.
Er is zelfs een recent onderzoek van de Rekenkamer:
https://www.security.nl/posting/704123/Rekenkamer%3A+informatiebeveiliging+Rijksoverheid+nog+niet+op+orde
Dat overzicht zou toch alleen maar "groene vinkjes" moeten weergeven? Of is de Rekenkamer te kritisch?
https://www.rekenkamer.nl/actueel/nieuws/2021/05/19/informatiebeveiliging-rijk-nog-niet-op-orde
Ik vind het wel een dikke pluim voor wat deze school / ontwikkelaar heeft gedaan. Vooral naast wat al in het artikel is vermeld dat er ook netjes terug is gecontributed aan de open source community. De fork van de client staat op https://gitlab.com/hermanncoders/hermannpost en daar is ook weer dankbaar vermelding gemaakt van andere gebruikte resources. Ook heeft de school de voice messages in de fork gemaakt, en zo te zien is dat inmiddels ook in de oorspronkelijke Fluffy client opgenomen.
Dat is hoe vrije open source in mijn optiek mooi floreren. Hopelijk geeft deze persoon ook wat lessen over deze methodiek aan de studenten.
Ik heb wel een paar vraagtekens bij de manier van security en privacy implementatie. Zo staat er in het originele artikel https://hermannschule.de/hermannpost.html "
1) In unserem Client haben wir an mehreren Stellen auch die Sichtbarkeit von personenbezogenen Daten zusätzlich eingeschränkt. So ist Kindern und Eltern nicht möglich, auf Informationen anderer NutzerInnen in den Gruppeninformationen zuzugreifen. Ebenfalls haben wir „state messages“, die oft personenbezogene Informationen beinhalten (z.B. „XYZ hat den Raum betreten/verlassen/das Avatar geändert“), in unserem Client ausgeblendet, was nicht nur dem Datenschutz zugutekommt, sondern auch die Barrierefreiheit erhöht (weniger Text hilft, sich auf die bedeutsamen Inhalte zu konzentrieren)."
Echter als je het aan de client kant afschermt en de client vervolgens open source hebt staan zou vermoed ik een slimme scholier daar weer een fork van kunnen maken, de weergave weer inschakelen en vervolgens met hun server connecten om de data wel te zien.
2) "Die Anmeldung in Matrix ist ein vergleichsweise aufwändiger Vorgang, bei dem Servername, Matrix-ID und (ein idealerweise langes) Passwort eingegeben werden muss. Dies stellt eine Hürde, die für unsere NutzerInnen schwer zu bewältigen ist. Um dieses Anmeldeverfahren zu vereinfachen, haben wir die Anmeldedaten in einem „QR-Schlüssel“ versteckt und mit einer PIN-Nummer ergänzt, die vom / von der NutzerIn eingegeben werden muss. So vereinfachen wir den Anmeldeprozess und ermöglichen gleichzeitig die Nutzung von einem langen, sicheren Passwort, ohne dass der/die Nutzer sich mit der Eingabe mit der Tastatur quälen muss. Die zusätzlich erforderliche PIN verhindert, dass sich Unbefugte allein mit dem QR-Code (oder eine Kopie) anmelden können."
Makkelijk wel. Maar wie aan de QR code kan komen zoals de kopie, kan vermoed ik relatief snel brute forcen?!
Ps. off-topic... ligt het aan mij of ben ik de enige die het vervelend vind dat security.nl anno 2022 niet mobiel geschikt is?
The Matrix
Ik vind het slecht dat als je een server neerzet de database enkele 100MB's is wanneer er maar een paar test accounts actief zijn. Zelfde geldt voor de disk space. Waarom wordt xmpp niet gewoon gebruikt?? Ik zie nog niet echt de meerwaarde van matrix
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
