[vz-dev] Zugang zum Frontend absichern

Wed Jan 11 22:50:45 CET 2012

kann man middleware und frontend nicht einfach sauber auf Verzeichnisebene trennen?
Dann macht man BasicAuth für das Frontend und die Middleware ist dann eben semi-"public" unter anderem Pfad, das könnte man ja auch auf Verzeichnisebene konfigurieren....SSL hin oder her - mit Login ist immer noch besser als ohne....

Grüsse
Roland

-----Ursprüngliche Nachricht-----
Von: "Michael Pape" <pe82 at gmx.de>
Gesendet: 11.01.2012 22:33:16
An: "volkszaehler.org" <volkszaehler-dev at lists.volkszaehler.org>
Betreff: Re: [vz-dev] Zugang zum Frontend absichern

>Moin,
>
>Am 11.01.2012 um 21:44 schrieb Justin Otherguy:
>> Hi,
>>
>> Am 11.01.2012 um 21:28 schrieb devzero at web.de:
>>
>>> das Stichwort nach dem Du suchst lautet "Basic Auth".
>> mir fallen dazu zwei Dinge ein:
>>
>> 1. wenn Du kein SSL verwendest, kann die UUID bei der Übertragung der Zählerimpulse und beim Zugriff mit dem Browser abgehört werden
>> 2. wenn Du den Zugriff auf das Frontend per Authentifizierung einschränkst, die Middleware aber weiterhin erreichbar ist, verhinderst Du nicht, dass Jemand mit einem anderen Frontend auf Deine Middleware zugreift
>
>falls du einen virtuellen Root-Server hast kannst du auch eine Subdomain nur fuer den Controller einrichten, die von aussen ohne Authentifizierung erreichbar ist. So kann jemand anders hoechstens neue Werte hinzufuegen aber die gespeicherten nicht auslesen. Die UUID abfangen wenn der Controller mit dem Server kommuniziert geht natuerlich immernoch. Hier mal die conf die ich fuer meinen Server benutz:
>
># Standard domain forces SSL
><VirtualHost *:80>
> ServerAdmin admin at domain.de
> ServerName domain.de
> ServerAlias www.domain.de
>
> Redirect permanent / https://domain.de/
>
> ErrorLog /srv/www/domain.de/logs/error.log
> CustomLog /srv/www/domain.de/logs/access.log combined
></VirtualHost>
># Subdomain grants access for vz controller
><VirtualHost *:80>
> ServerAdmin admin at domain.de
> Servername vz.domain.de
> DocumentRoot /srv/www/volkszaehler.org/htdocs
>
> RewriteEngine on
>
> # Reject all non middleware data requests
> RewriteRule !^/middleware\.php/data - [F]
>
> # Reject non POST requests
> #RewriteCond %{REQUEST_METHOD} !^POST$
> #RewriteRule ^ - [F]
>
> ErrorLog /srv/www/domain.de/logs/error.log
> CustomLog /srv/www/domain.de/logs/access.log combined
></VirtualHost>
>
>Auf dem anderen VirtualHost der denn SSL macht laeuft die Authentifizierung. Die fehlt bei mir noch. Ich lass erstmal niemanden rein um zu zeigen dass es funktioniert.
>
><Directory ~ "/srv/www/.*">
> deny from all
></Directory>
>
>Vielleicht bekommt man so ein Verhalten auch irgendwie mit .htaccess dateien hin, hab ich mich aber nicht mit beschaeftigt. Das schwierige wird sein dass die .htaccess nur im Kontext des Ordners laeuft. Je nachdem ob der von der Subdomain, ueber Port 80 oder ueber SSL angesteuert wird verhaelt er sich ja anders.
>
>Gruss,
>Pepe
>

___________________________________________________________
SMS schreiben mit WEB.DE FreeMail - einfach, schnell und
kostenguenstig. Jetzt gleich testen! http://f.web.de/?mc=021192