[vz-dev] Testing Pull Request 659 / jwt - Add basic login capabilities

[Frank Richter]

Hallo Andreas,

Am 20. Januar 2018 um 13:49 schrieb Andreas Goetz <cpuidle at gmail.com>:

> Servus,
>
> On 20. Jan 2018, at 11:40, Frank Richter <frank.richter83 at gmail.com>
> wrote:
>
>
> Moin Andreas,
>
> hab ich doofe Fragen gestellt? Sollte eigentlich eine konstruktive
> Diskussion werden...
>
> Viele Grüße
> Frank
>
>
> Da bin ich einmal nicht so schnell :O
>

kein Ding. Hab nur angefangen mich zu wundern, warum zweimal keine Reaktion
zum selben Thema kommt...
Du hast uns halt zu sehr verwöhnt was Reaktionszeit angeht ;-)
Hoffe dein NAS-Recovery ist erfolgreich gewesen oder auf einem guten Weg!


> On 18. Jan 2018, at 13:29, Frank Richter <frank.richter83 at gmail.com>
> wrote:
>
> Hallo Andreas,
>
> Am 18. Januar 2018 um 09:17 schrieb Andreas Goetz <cpuidle at gmail.com>:
>
>> Hallo Zusammen,
>>
>> leider scheint sich das Thema mal wieder tot gelaufen zu haben. Von mir
>> aus könnten wir mergen- das dürfte dann aber viele Anwender überfordern.
>>
>
> ich hatte am 25.12.2017 im ursprünglichen Thread noch einige Fragen
> formuliert, über die wir vor einem Merge vielleicht zumindest mal sprechen
> sollten (Kurzform: Umgang mit plain middlware requests, vzlogger in einem
> Setup mit Firewall, demo.vz.org, Abschaffung public/private chnannels).
> Leider ist die Diskussion danach in Richtung Image abgeglitten.
>
>
> Dann greifen wir die Punkte doch auf:
>
> Am 25.12.2017 12:43 schrieb "Andreas Goetz" <cpuidle at gmail.com>:
>
> Servus,
>
> Der PR steht hier zur Verfügung: https://github.com/
> volkszaehler/volkszaehler.org/pull/659
>
> Vor Merge wär unabhängiger Test gut. Für die Installation im Image sind
> zwei Punkte wichtig:
>
> 1. unbeschränkten Zugang gibts jetzt nur noch von localhost und localnet
> 2. es werden ein secretkey (salt) und user/passwort für Schreibzugriffe
> benötigt, ggf -secretkey im installer automatisch erzeugen
>
>
> da fällt mir unsere alte Diskussion um manuelle, d.h. nicht vom Frontend
> abgesetzte API-Requests von extern ein. Diese funktionieren dann nicht
> mehr, weil man keine Möglichkeit hat, dem Request das nötige
> Authentifizierungs-Token mitzugeben. Das könnte ein Problem sein für alle,
> die ihren vz extern hosten.
> Auch vzlogger könnte Stand heute nicht zu einer externen, abgesicherten
> Installation loggen, oder? Außer man erlaubt POST standardmäßig, aber das
> macht ja die Absicherung irgendwie witzlos.
>
>
> Ich sehe zwei Möglichkeiten (da würde mich auch die Meinung von Justin
> interessieren):
>
> 1) wir erlauben die Erstellung von long-lived Tokens und bringen vzlogger
> bei so einen Token als curl Header mitzuschicken. Ist trivial, hat aber
> einen Nachteil: kommt so ein Token abhanden kann jeder damit machen was er
> will. Das ließe sich noch abmildern wenn wir dem Token eingeschränkte
> Rechte verpassen, z.B. nur POST oder nur für einzelne Kanäle. Das
> Grundproblem bliebe aber- Token weg, Tür offen.
>

Ist das riskanter als eine verlorene Benutzername/Passwort-Kombination.
Kann man ein fragliches Token serverseitig ungültig machen?

2) Man erlaubt tatsächlich POST von außen, und zwar nur auf /data:
>
> [
> 'path' => ‘/data',
> 'methods' => 'POST',
> 'action' => 'allow'
> ],
>
> damit lassen sich ausschließlich Daten schreiben, aber zumindest keine
> Löschen (m.E. auch nicht ändern, wäre zu testen). Wenn dazu noch GET
> verboten wird:
>
> [
> 'methods' => 'GET',
> 'action' => ‘auth'
> ],
>
> gibts auch ohne Login keine Möglichkeit mehr Daten oder Kanäle abzufragen.
> Das würde es mal deutlich schwieriger machen irgendwelche UUIDs
> rauszubekommen um dort Daten zu überschreiben.
>

Das Risiko, dass UUIDs abhanden kommen, dürfte ähnlich sein wie beim Token?


> Variante 2) lässt sich heute per Config machen. Reicht das?
>

Ich denke für den Moment reicht's, das mit den Tokens für vzlogger (und
andere Clients) würde das Konzept aber IMHO noch runder machen.


> In jedem Fall wirds nicht schlimmer als heute da die Systeme aktuell ja
> komplett auf sind.
>

Das stimmt, so lang es den Status quo nicht verschlechtert, sollte das
einem Merge nicht im Weg stehen.


> Wenn ich momentan Services ins Internet hänge stelle ich übrigens immer
> Traefik als Reverse Proxy davor- da lässt sich ganz einfach auch SSL und
> Basic Auth mit einschalten, auch das wären zusätzliche
> Absicherungsmöglichkeiten vor einer VZ Installation.
>

Schau ich mir mal genauer an. Macht das auch in einem althergebrachten
System ohne Docker und Konsorten Sinn?


> Letztlich bleibt dann die Frage ob es die ganze “public” Channel Mimik
> noch braucht oder die weggeschmissen werden sollte. Wer keinen Zugriff will
> kann ja einfach die Installation privat halten und hinter U//P verstecken.
>
>
> Du würdest also alle Kanäle so behandeln wie die die heutigen public
> channels? Wäre für mich okay, allerdings funktioniert damit
> demo.volkszaehler.org nicht mehr in der heutigen Form.
>
>
> Das stimmt uns ist auch noch nicht implementiert. Für Demo müsste es dann
> einen automatisch eingeloggten `guest` user geben der im Falle von Demo
> eben mehr Rechte als normalerweise bekäme.
>

Der guest user sollte dann aber nicht alle vorhandenen Kanäle als
öffentlich angezeigt bekommen. Deswegen kann die Unterscheidung
public/private channels erst entfallen, wenn es eine Implementierung von


> Der letzte konsequente Schritt wäre dann eine echte Userverwaltung statt
> Konfigurationsdatei und damit auch “Owner” von Kanälen und
> Sichtbarkeitssteuerung. Aber das ist noch eine ganz andere Diskssuion und
> bräucht ein wenig Spec bevor losgecodet wird.
>
>
> Das wäre zumindest eine Lösung für o.g. Problem mit demo.
>
> gibt.

Aktuell relevant ist egtl. nur der Punkt mit vzlogger. Also was tun- rein
> damit und per Config lösen?
>
>
Grundsätzlich rein damit. Ich bin mir nur unsicher, wie viel
Support-Aufwand wir damit generieren. Was hältst du davon, die Firewall
nicht "scharf geschaltet" auszuliefern ("allow" statt "auth" für alle
verbleibenden Requests)? Dasselbe gilt für unpassende/unvollständige
Config-Files: Lässt es sich mit wenig Aufwand so coden, dass die Firewall
einfach offen bleibt, wenn die erforderlichen Optionen nicht gefunden
werden?
Wer die Absicherung verwenden will, muss sich dann halt damit beschäftigen.

Ansonsten wär ein kleine Script für die einfache Erfassung von
user/password/secretkey bestimmt sinnvoll. Wahrscheinlich macht es wenig
Sinn, in zukünftigen Images schon einen secretkey einzutragen, weil der
dann öffentlich bekannt wäre? Ich kann leider in Sachen Bash-Script nicht
aushelfen.

Das einzige, was mir sonst noch fehlt, ist eine Lösung für den schnellen
Middleware-Request zwischendurch, z.B. auch für deinen neuen query Kontext.
Ich würde eigentlich auch für GET gerne "auth" verwenden, aber darüber
stolpere ich regelmäßig. Kann die middleware.php irgendwie abfragen, ob der
aufrufende Browser ein gültiges Token in den Cookies liegen hat? Ich glaub
wir hatten das Thema schon mal, und du warst unschlüssig, ob das
security-mäßig in Ordnung wäre. Also möglicherweise auch ein Frage an

> @justin?
>
> Viele Grüße, Andreas
>
> ..snip..
>

Viele Grüße
Frank
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-dev/attachments/20180120/3bef0f70/attachment-0001.html>