[vz-dev] Zugang zum Frontend absichern

Michael Pape pe82 at gmx.de
Wed Jan 11 22:33:16 CET 2012 

Moin,

Am 11.01.2012 um 21:44 schrieb Justin Otherguy:
> Hi,
> 
> Am 11.01.2012 um 21:28 schrieb devzero at web.de:
> 
>> das Stichwort nach dem Du suchst lautet "Basic Auth".
> mir fallen dazu zwei Dinge ein:
> 
> 1. wenn Du kein SSL verwendest, kann die UUID bei der Übertragung der Zählerimpulse und beim Zugriff mit dem Browser abgehört werden
> 2. wenn Du den Zugriff auf das Frontend per Authentifizierung einschränkst, die Middleware aber weiterhin erreichbar ist, verhinderst Du nicht, dass Jemand mit einem anderen Frontend auf Deine Middleware zugreift

falls du einen virtuellen Root-Server hast kannst du auch eine Subdomain nur fuer den Controller einrichten, die von aussen ohne Authentifizierung erreichbar ist. So kann jemand anders hoechstens neue Werte hinzufuegen aber die gespeicherten nicht auslesen. Die UUID abfangen wenn der Controller mit dem Server kommuniziert geht natuerlich immernoch. Hier mal die conf die ich fuer meinen Server benutz:

# Standard domain forces SSL
<VirtualHost *:80>
	ServerAdmin admin at domain.de
	ServerName domain.de
	ServerAlias www.domain.de

	Redirect permanent / https://domain.de/

	ErrorLog /srv/www/domain.de/logs/error.log
	CustomLog /srv/www/domain.de/logs/access.log combined
</VirtualHost>
# Subdomain grants access for vz controller
<VirtualHost *:80>
	ServerAdmin admin at domain.de
	Servername vz.domain.de
	DocumentRoot /srv/www/volkszaehler.org/htdocs

	RewriteEngine on

	# Reject all non middleware data requests
	RewriteRule !^/middleware\.php/data - [F]

	# Reject non POST requests
	#RewriteCond %{REQUEST_METHOD} !^POST$
	#RewriteRule ^ - [F]

	ErrorLog /srv/www/domain.de/logs/error.log
	CustomLog /srv/www/domain.de/logs/access.log combined
</VirtualHost>

Auf dem anderen VirtualHost der denn SSL macht laeuft die Authentifizierung. Die fehlt bei mir noch. Ich lass erstmal niemanden rein um zu zeigen dass es funktioniert.

<Directory ~ "/srv/www/.*">
                deny from all
</Directory>

Vielleicht bekommt man so ein Verhalten auch irgendwie mit .htaccess dateien hin, hab ich mich aber nicht mit beschaeftigt. Das schwierige wird sein dass die .htaccess nur im Kontext des Ordners laeuft. Je nachdem ob der von der Subdomain, ueber Port 80 oder ueber SSL angesteuert wird verhaelt er sich ja anders.

Gruss,
Pepe

-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4335 bytes
Desc: not available
URL: <http://volkszaehler.org/pipermail/volkszaehler-dev/attachments/20120111/4bd5f8ad/attachment.bin>

More information about the volkszaehler-dev mailing list