[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Tele-Kiosk-OPAC



On Thu, Jan 31, 2002 at 09:44:08AM +0100, Henriette Althoff wrote:

Hallo,

> Hat jemand bereits Erfahrung mit einem solchen
> geschützten OPAC gemacht 

Ja, wir. Die Geraete kommen von der Firma Sisis. Die Aussenseite der
Kioske ist sehr stabil und muesste schlecht ausgeruesteten Vandalen
leicht standhalten koennen. Die Bedienung des Kiosk funktioniert ueber
einen Trackball, zwei robuste "Mousetasten" und eine gummigekapselte
Tastatur. Innen steckt ein handelsueblicher PC, der hochkant in das
Gehaeuse des Kiosks geschnallt wird. Der Anschluss an das Daten- und
Stromnetz ist wie gewohnt.
Wenn man will oder muss, kann man durch einen Muenzschlitz von den
Benutzern ein Entgeld einwerfen lassen.

Die Software wiederum wurde von einer anderen Firma bereitgestellt. Die
hat ein Suse-Linux und Netscape fuer den Einsatz als Kiosk
gepatcht. Geliefert wird auf lizensierten Platten, die fuer den Betreiber
eine "Black Box" sind. Rudimentaere Einstellungen - und *nur* die -
, wie etwa die Konfiguration des Netscape oder das Einstellen der
Netzwerkparameter, sind ueber ein webbasiertes Frontend zu
erledigen. Dieses Frontend ist gluecklicherweise auch von anderen
Rechnern aus erreichbar.  Die Software beinhaltet u. a. ein Proxymodul
des Apache, das es ermoeglicht, angefragte Urls mit einer Blacklist auf
einem Hamburger Server abzugleichen und ggf. zu sperren (lt. Aussage
eines Technikers des Herstellers soll das BKA diese Blacklist mitpflegen
:-o ). Ausserdem gibt es automatische Software-Updates aus Hamburg
wenn der Rechner gebootet wird. Daraus folgt, dass die Hamburger Firma
unbeaufsichtigen und exklusiven Zugriff auf das Kiosksystem hat.
Die Linux-Box scheint vom Benutzer nur schwer zu knacken. Die ueblichen
Versuche, von der Tastatur des Kiosk aus, jedenfalls schlugen fehl. Aus
sicherheitstechnischer Sicht sollte man sich jedoch ueberlegen, wie
man die Kioske ins eigene Netz stellt: Netz- und Stromanschluesse sind
frei zugaenglich und einige relevante Ports (z. B. 21, 80, 7100, 6000,
usw.) sind offen.

Probleme haben wir bei der Realisierung von zwei Sonderwuenschen. Das
ICA-Plugin des Netscape musste eingepasst werden. Und die bei uns uebliche
Authentifizierung gegenueber der Sisis-Datenbank per Squid-Proxy
musste ebenfalls von einem Entwickler des Herstellers erst hinzugefuegt
werden, da der kioskeigene Proxy den Auth-Header an unseren Proxy
nicht korrekt weitergegeben hat.

Gruss,

Martin Podworny


Listeninformationen unter http://www.inetbib.de.