[vz-dev] Zugang zum Frontend absichern

[Justin Otherguy]

Hi,

Am 11.01.2012 um 21:28 schrieb devzero at web.de:

> das Stichwort nach dem Du suchst lautet "Basic Auth".
mir fallen dazu zwei Dinge ein:

1. wenn Du kein SSL verwendest, kann die UUID bei der Übertragung der Zählerimpulse und beim Zugriff mit dem Browser abgehört werden
2. wenn Du den Zugriff auf das Frontend per Authentifizierung einschränkst, die Middleware aber weiterhin erreichbar ist, verhinderst Du nicht, dass Jemand mit einem anderen Frontend auf Deine Middleware zugreift

Derzeit sehe ich keine Lösung für Deine Anforderung. Der einfachste Weg erscheint mir:
- verwende einen Linux-basierten Controller (iconnect o.ä.), damit kannst Du SSL für die Zählerinformationen nutzen
- aktiviere SSL für Dein Hosting-Paket (...)
- halte Deine UUID geheim

Die ATmega-basierten Controller können kein SSL und werden es auch nicht lernen. Sofern es Dir nicht um den Schutz vor einem Abhören geht, kannst Du mithelfen, watchasync beim HTTP-Zugriff die Authentifizierung beizubringen. Das ist nicht unlösbar - der Twitter-Client in ethersex (von dem httplog und damit die HTTP-Funktion in watchasync abstammt) hat eine solche. Ich erinnere mich an eine ähnliche Anfrage vor ner Weile - vielleicht finden sich ja Mitstreiter, denen es genauso geht?


Gruss, J.