Senfcall.de

Privatsphäre respektierende Videokonferenzen

Seit Beginn unseres offenen Beta-Tests gab es Probleme mit der Nutzung von Senfcall unter Safari unter iOS und MacOS. Beim Starten einer Videokonferenz auf Senfcall wurde bei diesen Geräten der Echo-Test nicht geladen. Wir empfahlen, bis zur Lösung des Problems, einen anderen Browser zu nutzen. Erfreulicherweise konnten wir das Problem am Samstagabend beheben.

So können nun vor allem auch iPhone- und iPad-User an Senfcall-Meetings teilnehmen. Die Umgehung des Problems mithilfe eines anderen Browsers war auf diesen Geräten nicht möglich, da unter iOS (anders als bei MacOS) aufgrund Apples App-Store-Restriktionen nur Browser genutzt werden können, die unter der Haube Safari verwenden, und damit das gleiche Problem hatten.

Technischer Hintergrund

Da niemand aus dem Senfcall-Team über einen MacOS-Computer verfügt, dieser aber zur Fehleranalyse notwendig gewesen wäre (auch Safari auf iOS muss sich zur Fehleranalyse mit einem Safari auf MacOS verbinden), war die Fehlersuche mit starken Verzögerungen verbunden. Freundlicherweise hat uns ein befreundter Mac-Nutzer seine Hilfe angeboten (Danke, Kevin!), und wir haben den Fehler mittels Senfcall-Screensharing (über Firefox auf MacOS) schnell gefunden:

Im Interesse einer höheren Sicherheit gegen diverse Angriffe haben wir Senfcall mithilfe des Mozilla-Dienstes "Observatory" auf seine Sicherheitseinstellungen überprüfen lassen. Observatory überprüft von außen diverse Sicherheitseinstellungen des Webservers und gibt Verbesserungsvorschläge. In der Standardkonfiguration von BigBlueButton (der Videokonferenzsoftware, die Senfcall nutzt), zeigt Observatory eine Reihe von Mängeln an. Das sind zwar für sich genommen keine Sicherheitslücken, die eine Gefahr für Nutzer*innen bedeuten, die jedoch in Verbindung mit eventuell auftretenden Lücken in BigBlueButton eine zusätzliche Gefahr darstellen könnten. Wir haben daher die Sicherheitseinstellungen des Webservers entsprechend den Observatory-Empfehlungen angepasst. Eine dieser Anpassungen bestand im Setzen von Content-Security-Policy-Headern (CSP). Diese legen fest, welche Ressourcen (Grafiken, Gestaltungsdateien, Skripte...) eine Seite nachladen darf und von welchen Servern. Im Unterschied zu anderen Browsern verlangt Safari hier eine gesonderte CSP-Freigabe für verschlüsselte Websockets (wss), welche während eines Meetings für die Kommunikation zwischen Browser und Senfcall-Server benötigt werden. Safari hat folglich den Aufbau dieses Websockets blockiert, was sich für die Nutzer*innen im Hängenbleiben des Echo-Tests geäußert hat. Nach Hinzufügen der entsprechenden Freigabe funktionieren der Echo-Test und das anschließende Meeting nun auch mit Safari.