[vz-users] Login/Absicherung von VZ Installationen

Sirko mail_ist at nurfuerspam.de
Wed Jan 4 08:28:21 CET 2017 

Hi,


 > High Performance Middleware

du meinst den ppm?

Früher gab's mal den httpd https://github.com/volkszaehler/httpd

Worin unterscheiden die beiden sich?


Grüße

Sirko



Am 03.01.2017 um 20:33 schrieb Andreas Goetz:
> Hallo,
>
> Frohes Neues Jahr Zusammen!
>
> Ihr wisst ja dass ich hartnäckig sein kann. In den letzten Tagen haben 
> ich nach dem mißglückten Merge daher massiv Arbeit darein gesteckt 
> alle VZ Komponenten wieder 100%ig funktionsfähig zu machen.
>
> Dazu gehören auch die High Performance Middleware (siehe 
> https://github.com/volkszaehler/volkszaehler.org/tree/master/misc/tools) 
> und der zuletzt nicht mehr korrekt funktionierende push-server 
> (gleicher Link).
>
> Apropos High Performance Middleware: ich muss nochmal Werbung dafür 
> machen dass die MW damit in der Lage ist Requests in wenigen (<10!) 
> Millisekunden zu beantworten. Wäre Klasse wenn wir das in das Image 
> einbauen könnten (@Udo: einmalig kann ich das gerne einrichten, ist im 
> Link aber auch recht gut dokumentiert).
>
> Auf der Basis habe ich dann auch gleiche die Testskripte renoviert und 
> User Authorization neu aufgesetzt 
> (https://github.com/volkszaehler/volkszaehler.org/pull/551). Aus 
> meiner Sicht wäre das Feature damit reif standardmäßig in VZ 
> einzuziehen. Bei Bedarf könnte ich noch eine Option einbauen es ggf. 
> auch komplett abzuschalten falls sich die individuelle Konfiguration 
> der Firewall Regeln dafür als zu aufwändig erweist.
>
> Viele Grüße, Andreas
>
>
>> On 27 Aug 2016, at 12:33, Andreas Goetz <cpuidle at gmail.com 
>> <mailto:cpuidle at gmail.com>> wrote:
>>
>> Hallo Zusammen,
>>
>> das prinzipielle Feedback war zwar “brauche ich nicht”, ich habe mir 
>> aber trotzdem mal den Spass gemacht, Firewall und User Authorization 
>> prototypisch zu implementieren.
>>
>> Wer damit spielen möchte findet hier den Code: 
>> https://github.com/volkszaehler/volkszaehler.org/pull/458
>>
>> Das Ganze basiert auf JSON Web Tokens für Bearer Authentication und 
>> sollte tunlichst- da Username/ Passwort übertragen werden- _nur_ über 
>> HTTPS Anwendung finden.
>>
>> Die Änderungen an der vz.conf Datei sollten eigentlich hinreichen 
>> erklären was es zu konfigurieren gibt. Freue mich über Feedback im PR.
>>
>> Viele Grüße,
>> Andreas
>>
>>
>>> On 15.08.2016, at 11:36, Andreas Goetz <cpuidle at gmail.com 
>>> <mailto:cpuidle at gmail.com>> wrote:
>>>
>>> Ich mache Jacobs Mail mal als neues Thema auf:
>>>
>>>     Bei der Durchsicht der URL-Befehle habe ich gesehen, dass
>>>     anscheinend
>>>     auch schreibend auf die Datenbank zugreifen kann. Ist das nicht
>>>     gefährlich, so einen Webserver ins öffentliche Netz zu stellen, wenn
>>>     jeder daran herum fummeln kann?
>>>
>>>
>>> Äh, ja, das ist das Prinzip von vz. Allerdings muß man ja die UUID 
>>> kennen, um Kanäle und deren Daten manipulieren zu können, deswegen 
>>> sollte man die UUID auch geheim halten (und Kanäle nicht einfach 
>>> public machen, sonst kann man sie einfach so auflisten). Neue Kanäle 
>>> anlegen und nutzen geht aber natürlich schon.
>>> M.W. hatte Justin das so konzipiert, damit z.B. 
>>> demo.volkszaehler.org <http://demo.volkszaehler.org/> ohne Anmeldung 
>>> (und Passwort-Recevory, Email etc. pp.) genutzt werden kann. 
>>> Faktisch ist es aber heute wohl so, daß die meisten ihren eigenen 
>>> VZ-Server laufen haben, da finde ich das eher ungeschickt (zumal die 
>>> UUIDs auch etwas unhandlich sind).
>>>
>>> -- snip --
>>>
>>> Ich sehe- wenn wir es einfach halten wollen- 2 Anwendungsfälle:
>>>
>>> a) Absicherung einer privaten Installation
>>> b) Usermanagement für eine öffentliche Installation wie demo
>>>
>>> Letzteres klammere ich mal aus da es grundlegende Änderungen an VZ 
>>> erfordern würde. Für a) gibt es verschiedene Möglichkeiten von 
>>> furchtbar einfach bis etwas umfangreicher:
>>>
>>> 1) Basic Authentication, also Username + Password. Für ein 
>>> Mindestmaß an Sicherheit ist SSL erforderlich- das gilt ebenso aber 
>>> auch für alle weiteren Varianten. Das muss zusätzlich so 
>>> konfiguriert werden dass vzlogger (aus dem internen Netz) ohne Basic 
>>> Auth weiterhin seine Daten abliefern kann.
>>>
>>> 2) Token Authentication: initiales Login per U/P, ab da Token der 
>>> expired. Dabei hätten wir sogar die Möglichkeit einzelne User zu 
>>> definieren- imeinfachsten Falle per Konfigurationsdatei, sonst als 
>>> Datenbankerweiterung. Wenn Datenbankerweiterung dann können wir auch 
>>> Rechte vergeben (schreiben, löschen, lesen) und Kanäle zu Usern 
>>> "gehören" zu lassen.
>>> Weiterhin wäre es ggf. sinnvoll authentifizierten Nutzern auch 
>>> "private" Kanäle ohne Kenntnis der UUID anzubieten.
>>>
>>> Gibts Bedarf?
>>>
>>> Viele Grüße,
>>> Andreas
>>>
>>
>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20170104/cb644124/attachment-0001.html>

More information about the volkszaehler-users mailing list