[vz-dev] Frohe Weihnachten && User und Passwort im Frontend

[Frank Richter]

Hallo Andreas,

Am 25.12.2017 12:43 schrieb "Andreas Goetz" <cpuidle at gmail.com>:

Servus,

Der PR steht hier zur Verfügung: https://github.com/
volkszaehler/volkszaehler.org/pull/659

Vor Merge wär unabhängiger Test gut. Für die Installation im Image sind
zwei Punkte wichtig:

1. unbeschränkten Zugang gibts jetzt nur noch von localhost und localnet
2. es werden ein secretkey (salt) und user/passwort für Schreibzugriffe
benötigt, ggf -secretkey im installer automatisch erzeugen


da fällt mir unsere alte Diskussion um manuelle, d.h. nicht vom Frontend
abgesetzte API-Requests von extern ein. Diese funktionieren dann nicht
mehr, weil man keine Möglichkeit hat, dem Request das nötige
Authentifizierungs-Token mitzugeben. Das könnte ein Problem sein für alle,
die ihren vz extern hosten.
Auch vzlogger könnte Stand heute nicht zu einer externen, abgesicherten
Installation loggen, oder? Außer man erlaubt POST standardmäßig, aber das
macht ja die Absicherung irgendwie witzlos.

Letztlich bleibt dann die Frage ob es die ganze “public” Channel Mimik noch
braucht oder die weggeschmissen werden sollte. Wer keinen Zugriff will kann
ja einfach die Installation privat halten und hinter U//P verstecken.


Du würdest also alle Kanäle so behandeln wie die die heutigen public
channels? Wäre für mich okay, allerdings funktioniert damit
demo.volkszaehler.org nicht mehr in der heutigen Form.

Der letzte konsequente Schritt wäre dann eine echte Userverwaltung statt
Konfigurationsdatei und damit auch “Owner” von Kanälen und
Sichtbarkeitssteuerung. Aber das ist noch eine ganz andere Diskssuion und
bräucht ein wenig Spec bevor losgecodet wird.


Das wäre zumindest eine Lösung für o.g. Problem mit demo.

Euch weiterhin Frohe Tage,
Andreas


Viele Grüße
Frank

On 24. Dec 2017, at 18:45, Frank Richter <frank.richter83 at gmail.com> wrote:

Hallo,

auch von mir frohe Weihnachten an alle!

Der next-branch von Andreas mit Login und einigen anderen Goodies läuft bei
mir seit fast einem Jahr im Produktivbetrieb. Kann ich nur empfehlen!
Höchstens bei Updates ist manchmal ein bisschen Handarbeit angesagt, wenn
ein einfaches "git pull" wegen nichtlinearer History versagt.

jwt (also Login/Firewall) kann von mir aus gern gemerged werden. Ich weiß
nur nicht genau was passiert wenn das Feature durch ein Update in eine
vorhandene Installation reinrutscht, aber keine passende
volkszaehler.conf.php da ist. Andererseits sollte man eh wissen was man tut
wenn man updaten will, zumal ja neuerdings PHP7 erforderlich ist.

Viele Grüße
Frank

Am 23.12.2017 23:41 schrieb "Koch, Michael" <princemichi at gmail.com>:

> Guten Abend!
>
> Und bevor ich meine Frage an euch zu dieser heiligen Zeit absetze, wünsche
> ich euch allen ein frohes Weihnachtsfest!
> Vielen Dank, vor allem an andig, j-a-u, Justin, Frank, Udo, Daniel und
> Christian für eure tolle Arbeit dieses Jahr - nochmal vielen vielen lieben
> Dank!
> Das Ergebis ist dieses tolle Projekt! Ich wollte das mal an euch richten ,
> dachte Ihr habst verdient!
>
> Jetzt zu meiner eigentlichen Frage, weil ich da nicht so ganz durchblicke:
> Wie weit ist eigentlich der Entwicklungsstand, das Frontend durch Benutzer
> und Passwort zu sperren?
> (Wäre ja auch für die App von Interesse,weil dort ja bereits vorgesehen)
>
> Alles Gute,
> Michael
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-dev/attachments/20171225/6714a703/attachment.html>