Sind Eure WG-Finanzen auch ein Desaster? Führt ihr Excel Tabellen, die niemand mehr überblickt? Oder habt Ihr ein "Haushaltsbuch", das sich so langsam in seine Bestandteile auflöst?

Wir haben die Lösung: Ein Webportal zur Verwaltung der WG-Finanzen. "Wir" - das sind zwei Informatiker der TUD. In der eigenen WG konfrontiert mit diesem Problem, haben wir uns ein paar Nächte um die Ohren geschlagen und in die Tasten gehauen, um ein solches Webportal zu programmieren. Nachdem Freunde und Bekannte uns dann lange genug darauf gedrängt haben, wurde das Portal 2005 öffentlich zugänglich gemacht. Inzwischen kann jede WG sich kostenlos anmelden und online ihre Finanzen verwalten. Bereits mehr als 100 WGs ziehen die Webseite anderen Methoden vor.

Auf http://www.kruemel-kacker.de finden sich mehr Informationen über das Projekt. Für Neulinge gibt es sogar Videos in denen ausführlich erklärt wird, wie die Finanzverwaltung mit der Webseite funktioniert.

Viel Spaß damit!

So rein datenschutztechnisch sicher nicht unkritisch...
Was macht das Projekt so sicher? Ich meine mal: Gibts https? Wie schuetzt man sich vor URL/Cookie-Manipulationen oder SQL-Injections oder vergleichbaren Sachen...?
Oder anders gefragt: Wer sollte so daemlich sein, in Zeiten, in denen selbst die Polizei mal "aus Versehen" persoenliche Daten online stellt, einer WILDFREMDEN Person, die nicht eben mit einem Sicherheitskonzept prozt, Telefonrechnungsdaten und ähnliche persönliche Daten zu offenbaren?!
Klingt fuer mich eher danach, als wenn eine "gute Idee" relativ schlecht oder zumindest nur halbherzig umgesetzt worden ist. Als Offline-Applikation, die man kaufen kann, waere das sicher eine sinnvolle Sache, aber so...?

Sehr schön! Endlich stellt mal jemand die richtigen Fragen.

Zu den technischen Dingen:

1. HTTPS: Gibt es im Moment leider nicht. Das hat einfach den Grund, dass die Seite kostenlos ist und wir uns kein Verisign (o.ä.) Zertifikat leisten können. Ein selbst ausgestelltes Zertifikat würde auch gehen, aber das führt beim Otto-Normal-Benutzer zu Verunsicherung ("Hä wassn das fürn Fenster?"). Ich denke aber wir werden es zumindest als Option (Einloggen mit SSL) in Zukunft anbieten.

2. URL/Cookie-Manipulation: Ganz richtig, wer beim Login "Auf diesem Rechner merken" anklickt läuft Gefahr, dass das Cookie gestohlen wird und ein anderer sich einloggt. Wer sich hiervor schützen will, darf dieses Feature nicht nutzen. URLs mit Benutzerspezifischen Daten drin, gibt es nur an einer Stelle, nämlich in den Mails zum Bestätigen von Ausgaben. Kann ein Angreifer so eine Mail abfangen oder mitlesen, so kann er sich auch gleich ein neues Passwort schicken lassen und so den Account des Benutzers übernehmen. Dagegen würde nur eine Verschlüsselung der Mail helfen und dazu müsste man entweder seinen öffentlichen PGP Schlüssel mit angeben oder in einem Verzeichnis nachschlagen. Geht technisch alles, aber ist sehr viel Aufwand für die wenigen Nutzer, die das wollen. Wenn sich allerdings mehr Nutzer dafür aussprechen, rüsten wir auch das nach.

3. SQL-Injections: Der gesamte Sourcecode der Anwendung wird bei jedem Build daraufhin überprüft, dass er nur PreparedStatements benutzt. Meines Wissens nach sind damit keine SQL Injections mehr möglich.

4. Warum keine Offline-Applikation? Weil uns der Komfort der verteilten Nutzung und des Zugriff von beliebigen Orten wichtiger war, als die Bedenken bzgl. der Datensicherheit. Wir sind uns der Probleme sehr wohl bewusst, aber immer an einen Rechner eines Mitbewohners zu gehen nervt auf die Dauer.

Fazit: Wir sorgen uns sehr wohl um die Daten unserer Nutzer und beantworten auch gerne mehr Fragen zum Thema Datensicherheit. Letztendlich muss jeder selbst entscheiden, ob er die genannten Risiken eingehen will oder nicht. Wir freuen uns, dass diese Diskussion hier geführt werden kann, damit alle Interessenten wissen, wo die Probleme liegen.

Danke also für die Hinweise und Fragen...

Dieser Beitrag wurde von cive: 16 Nov 2007, 00:06 bearbeitet

Sagt was ihr wollt, ich hab mich grad mal angemeldet und mir gefällts ziemlich gut.

eXma oder das Wir-sind-alle-Materialistenspacken-und-WG-Nazis Tool?

hehe

also so richtig versteh ich den sinn der sache auch nicht
was soll das bringen wenn ich jeden scheiss den ich ausgegeben hab fein säuberlich irgendwo eintrage?
könnt ihr nicht miteinander reden wer was wofür bezahlt hat?
warum sollt ich mich jedesmal irgendwo einloggen bloß weil ich kackpappe gekauft hab
das hält sich doch eigentlich alles irgendwie auch so die waage

mhh grad erst den namen der domain dazu gelesen.. das erklärt alles

Dieser Beitrag wurde von Onkel Possi: 16 Nov 2007, 12:07 bearbeitet

Apropos reden und bezahlt: Ich krieg noch Geld für die Mayo

welche majo
siehste das mein ich musst du mal das maul aufmachen

evtl sollten wir uns doch da anmelden ^^

*Hehe, na wenn man euch kennt, steigert es das Vertrauen schon erheblich: Ich habe wenig Bedenken gegen die Betreiber, und das will was heißen ^^

zu 1. HTTPS: Zumindest ein Zertifikat von CAcert kann ich euch ausstellen, das wird ja vielleicht doch irgendwann mal in die Browser mit eingebaut.
Die SSL-Option mit anzubieten (wenn auch nicht per default), halte ich für eminent wichtig.

#abd

Danke, das ist eine gute Idee. Ich lese mir den Bugreport mal durch (das ist ja unheimlich viel) und komme dann nochmal direkt auf dich zu. Ich wusste gar nicht, dass es so eine Initiative gibt.

Und es ist gut zu wissen, dass SSL doch für so stark gewünscht wird. Das für das konstruktive Feedback. Ich melde mich hier nochmal, wenn das SSL Feature zur Verfügung steht.

Nun ja, SSL wird ja u.a. deshalb von vielen (meist nur im Login-Bereich) optional angeboten, weil es einen nicht zu unterschätzenden Mehraufwand an Rechenleistung benötigt, das sollte man nicht zu üppig einsetzen.

Datenschutz hin oder her, man muss diesen Dienst ja nicht personalisiert benutzen - oder doch?
Zumal die Inhalte nicht wirklich grade einer Geheimhaltungsstufe unterliegen. Ich meine, wer sein Klopapier mit EC-Karte bezahlt und die Kassenbons zerknüllt dem Müll anvertraut, sollte sich hier nicht aufregen.

Eine Frage die sich mir bei solchen Projekten immer stellt:
* Wenn es kostenlos und gemeinnützig ist, warum kann ich es mir nicht auch runterladen und auf eigenem Webspace selbst installieren?
denn:
* Wie sicher ist die Dauerhaftigkeit dieses kostenlosen Services?

Prinzipiell find ich diese Idee und die grundlegende Umsetzung (laut Videos) gut.

Absolut korrekt. Man kann sich einfach einen Namen ausdenken. Alles was man braucht, ist eine gültige E-Mail-Adresse und die kann man ja bei einem Freemailer anlegen.



Da die Webanwendung in Java geschrieben ist und einen Tomcat o.ä. braucht, reicht kein "billiger" Webspace. Ein Virtual Private Server wäre das Minimum, d.h. Kosten von 15 € pro Monat aufwärts. Diese Kosten wird kaum jemand auf sich nehmen, der den Service nur allein nutzt. Sowas lohnt sich nur, wenn man damit Geld verdient und ob ich Dritten, die sowas vorhaben, die Anwendung in die Hand geben will, bin ich mir noch nicht sicher.



Tja, gute Frage. Versprechen kann man da schwer machen. Den Service gibt es ungefähr seit 2003, d.h. die letzten 4 Jahre hat er durchgehalten. Und wenn es beruhigt: Mein Geld wird auch damit verwaltet



Danke!

Hallo!

Es gibt eine Online-WG-Verwaltung mit Abrechungssystem, Statusmeldungen, Einkaufslisten, Putzplan und Kochplan (...).
Ihr findet die Seite unter http://roomiepla.net

Stift und Zettel kennta?

Hat sich da denn mal jemand angemeldet?
Ich traue mich nicht - Aber das Video ist cool gemacht!

Update: Bin nun angemeldet

Dieser Beitrag wurde von Padex: 07 Mar 2011, 21:44 bearbeitet