[vz-dev] Zugang zum Frontend absichern
Justin Otherguy
justin at justinotherguy.org
Wed Jan 11 23:21:32 CET 2012
Hi Roland,
Am 11.01.2012 um 22:59 schrieb devzero at web.de:
> Dann würd ich sagen, daß das aber aus Sicherheitsaspekten nicht ganz ideal designt ist. Es gibt ja nunmal einen GUI Zugriffspfad
...der aber ohne UUID keine Daten preisgibt
> und einen "Zählerdaten Data-Post"-Zugriffspfad
sofern Du die Middleware-URL meinst: ja; wiederum: ohne UUID hilft diese nichts.
> und ich würde mir wünschen, daß die gesondert/getrennt behandelt werden kann.
das ist der Fall:
Das Frontend liegt vollständig im Verzeichnis /frontend; das kann auch woanders liegen.
Die Middleware liegt in htdocs/middleware.php und benötigt die anderen Verzeichnisse (etc + lib)
Einverstanden?
> Lässt sich aber vermutlich auch nicht mal eben mit geringem Aufwand ändern, oder?
siehst Du immer noch Änderungsbedarf?
> Der Apache kann auch noch Zugriffe auf Basis ACL`s regeln, d.h. man könnte den Zugriff z.B. nur für bestimmte IP-Adressbereiche erlauben.
...das hilft, wenn Du eine feste IP hast. Wenn das eine Option ist, ist das sicher der Königsweg (ich vermute, dass das bei den wenigsten der Fall ist)
> Auch hier wäre eine Trennung von GUI (Zugriff von überallher) und "Daten-Eingangskanal" (Datenempfang nur aus dem IP-Range in dem der Stromzähler steht) hilfreich.
s.o.: kein Problem - das geht jetzt schon.
Das Einzige, was dann noch offen bleibt: Angriffe auf middleware.php; dafür gibt es derzeit keinen Schutz (ausser bei fixer IP am Client).
Eine Authentifizierung erscheint mir lösbar, für die ATmega-Controller und das Frontend (für die Linux-Controller sowieso); falls das genügend Leute interessiert, könnten wir das verfolgen (lies: es sollten sich Nutzer und Umsetzer melden...). Dann könnte man auch middleware.php hinter einer Authentifizierung verstecken.
Gruss, J.
More information about the volkszaehler-dev
mailing list