[vz-users] Security

[Steffen Vogel]

Hallo Sven,

eine Authentifizierung mit Username & Passwort ist nicht vorgesehen.
Eigentlich sogar wollen wir das vermeiden, da es Rückschlüsse auf den
Eigentümer der Daten ermöglicht. Unsere Daten sollen ja anonym bleiben.

Dazu gibt es bisher folgenden Ansatz, der noch nicht komplett umgesetzt
wurde:

Jeder Zähler wird nur durch eine UUID identifiziert. Derzeit hat jeder
Zähler nur eine UUID. Wer diese UUID kennt, hat komplette Zugriff auf
den Zähler, kann ihn löschen, Daten loggen etc.. Die UUID ist in
gewisser Weise Passwort und Username in einem.

Die Erweiterung sieht vor, dass wir beliebig viele UUIDs pro Zähler
erlauben. An jede UUID sind dann verschiedene Rechte geknüpft:
read-only, log-data, delete, usw..

Sollte jetzt eine UUID ungewollt an die Öffentlichkeit gelangen, kann
diese einfach, wie ein Zertifikat, zurückgezogen werden. UUIDs können
also beliebig genieriert und gelöscht werden (natürlich nur wenn man im
Besitzt einer UUID mit entsprechenden Rechten ist).

Ich kann so z.B. einem Bekannten eine UUID generieren, die nur Lese
Rechte besitzt.

Später kann ich diese UUID dann auch wieder löschen um ihm die Rechte zu
entziehen.

viele Grüße

Steffen


Am Donnerstag, den 17.11.2011, 09:22 +0100 schrieb Sven Anders:
> Moin,
> ich wollte mal wissen, ob es beim Volkszaehler schon sowas wie Security
> gibt.
> 
> In meiner gestern aufgesetzten Testinstallation kann jeder der die URL
> kennt:
> 
> * Neue Objekte (Channels, etc.) anlegen
> * Falsche Messwerte eintragen
> * Jeden Zähler ansehen (für den er die UUID kennt, keine Ahnung ob es
> wege gibt die heraus zu bekommen)
> 
> Bei meinen Nachforschungen im Wiki habe ich auch für die
> Messwertübermittlung keine Authentifizierun gesehen.
> 
> Ich denke es macht Sinn, sowas zumindest gleich von Anfang an zu planen,
> sonst müssen die Backends später mehr können, als jetzt bekannt.
> 
> Gruß
> Sven
> 
> _______________________________________________
> volkszaehler-users mailing list
> volkszaehler-users at lists.volkszaehler.org
> https://volkszaehler.org/mailman/listinfo/volkszaehler-users

-- 
Steffen Vogel
Robensstraße 69
52070 Aachen

Mail: info at steffenvogel.de
Web: http://www.steffenvogel.de
Jabber: stv0g at jabber.ccc.de
ICQ: 236033
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 490 bytes
Desc: This is a digitally signed message part
URL: <http://volkszaehler.org/pipermail/volkszaehler-users/attachments/20111117/824a190d/attachment.pgp>