[vz-dev] public kanaele ?

[Justin Otherguy]

Hi,

Am 24.06.2011 um 17:41 schrieb Steffen Vogel:

>> ABER, zum nachdenken:  damit kann dann jeder, der eine private UUID kennt, diese dann
>> auch public setzen ?!?  oder die "resolution" usw. aendern ?!  
...und Daten senden...

> Ich hatte mal an eine Art Token System gedacht. Oder doch ein
> konventionelles Passwort, dass zum Bearbeiten & Löschen angegeben werden
> muss?
> 
> Wir könnten so ein Passwort auch rein optional machen:
> 
> - Geheimer Kanal (public=0) braucht nicht unbedingt ein Passwort.
> - Öffentlicher Kanal (public=1) kann ein Passwort bekommen um ihn vor
> dem Löschen/Bearbeiten zu schützen?
Passwort gefällt mir nicht; sobald wir Passwörter haben, brauchen wir Mailadressen für den Reset...

Und bei dem Ansatz wäre das Passwort nur für öffentliche Kanäle verzichtbar...

Hab mir mal sowas ausgedacht:
- ein public-Kanal ist ein ganz normaler Kanal mit einer einzigen Besonderheit: er hat einen "public"-Eintrag
- der bewirkt, dass die middleware keine schreibenden Zugriffe auf die Daten dieser uuid zulässt
- zu jedem public-Kanal gibt es einen "secret twin" mit einer separaten uuid
- unter dieser uuid stehen keine Daten
- diese nichtöffentliche uuid verweist auf die zugehörige uuid des public-Kanals

-> Zugriff auf die public-uuid: middleware erlaubt nur lesenden Zugriff
-> Zugriff auf die private-uuid: middleware setzt die Zugriffe auf die zugehörige public-uuid um

Haken an der Sache:
- bei jedem Zugriff erfolgt zuerst ein Check, ob die uuid public ist :-/

Was meint Ihr?


Gruss von der GPN, J.