[vz-users] Login/Absicherung von VZ Installationen

Sirko mail_ist at nurfuerspam.de
Tue Aug 16 13:56:53 CEST 2016 

Hi,


ich hab anfangs 1) gemacht, jetzt nutze ich nur noch das VPN der 
Fritzbox. Das geht problemlos mit Androiden oder gar von meinem 
Arbeitsplatzrechner aus.

Daher sehe ich für 2) keine Notwendigkeit.


Grüße

Sirko


Am 15.08.2016 um 11:36 schrieb Andreas Goetz:
> Ich mache Jacobs Mail mal als neues Thema auf:
>
>     Bei der Durchsicht der URL-Befehle habe ich gesehen, dass anscheinend
>     auch schreibend auf die Datenbank zugreifen kann. Ist das nicht
>     gefährlich, so einen Webserver ins öffentliche Netz zu stellen, wenn
>     jeder daran herum fummeln kann?
>
>
> Äh, ja, das ist das Prinzip von vz. Allerdings muß man ja die UUID 
> kennen, um Kanäle und deren Daten manipulieren zu können, deswegen 
> sollte man die UUID auch geheim halten (und Kanäle nicht einfach 
> public machen, sonst kann man sie einfach so auflisten). Neue Kanäle 
> anlegen und nutzen geht aber natürlich schon.
> M.W. hatte Justin das so konzipiert, damit z.B. demo.volkszaehler.org 
> <http://demo.volkszaehler.org> ohne Anmeldung (und Passwort-Recevory, 
> Email etc. pp.) genutzt werden kann. Faktisch ist es aber heute wohl 
> so, daß die meisten ihren eigenen VZ-Server laufen haben, da finde ich 
> das eher ungeschickt (zumal die UUIDs auch etwas unhandlich sind).
>
> -- snip --
>
> Ich sehe- wenn wir es einfach halten wollen- 2 Anwendungsfälle:
>
> a) Absicherung einer privaten Installation
> b) Usermanagement für eine öffentliche Installation wie demo
>
> Letzteres klammere ich mal aus da es grundlegende Änderungen an VZ 
> erfordern würde. Für a) gibt es verschiedene Möglichkeiten von 
> furchtbar einfach bis etwas umfangreicher:
>
> 1) Basic Authentication, also Username + Password. Für ein Mindestmaß 
> an Sicherheit ist SSL erforderlich- das gilt ebenso aber auch für alle 
> weiteren Varianten. Das muss zusätzlich so konfiguriert werden dass 
> vzlogger (aus dem internen Netz) ohne Basic Auth weiterhin seine Daten 
> abliefern kann.
>
> 2) Token Authentication: initiales Login per U/P, ab da Token der 
> expired. Dabei hätten wir sogar die Möglichkeit einzelne User zu 
> definieren- imeinfachsten Falle per Konfigurationsdatei, sonst als 
> Datenbankerweiterung. Wenn Datenbankerweiterung dann können wir auch 
> Rechte vergeben (schreiben, löschen, lesen) und Kanäle zu Usern 
> "gehören" zu lassen.
> Weiterhin wäre es ggf. sinnvoll authentifizierten Nutzern auch 
> "private" Kanäle ohne Kenntnis der UUID anzubieten.
>
> Gibts Bedarf?
>
> Viele Grüße,
> Andreas
>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20160816/4d5843f0/attachment.html>

More information about the volkszaehler-users mailing list