<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Hallo Zusammen,<div class=""><br class=""></div><div class="">das prinzipielle Feedback war zwar “brauche ich nicht”, ich habe mir aber trotzdem mal den Spass gemacht, Firewall und User Authorization prototypisch zu implementieren.</div><div class=""><br class=""></div><div class="">Wer damit spielen möchte findet hier den Code: <a href="https://github.com/volkszaehler/volkszaehler.org/pull/458" class="">https://github.com/volkszaehler/volkszaehler.org/pull/458</a></div><div class=""><br class=""></div><div class="">Das Ganze basiert auf JSON Web Tokens für Bearer Authentication und sollte tunlichst- da Username/ Passwort übertragen werden- _nur_ über HTTPS Anwendung finden.</div><div class=""><br class=""></div><div class="">Die Änderungen an der vz.conf Datei sollten eigentlich hinreichen erklären was es zu konfigurieren gibt. Freue mich über Feedback im PR. </div><div class=""><br class=""></div><div class="">Viele Grüße, </div><div class="">Andreas</div><div class=""><br class=""></div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On 15.08.2016, at 11:36, Andreas Goetz <<a href="mailto:cpuidle@gmail.com" class="">cpuidle@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class=""><div class=""><div class=""><div class=""><div class=""><div class=""><div class=""><div class="">Ich mache Jacobs Mail mal als neues Thema auf:<br class=""><br class=""><span class="im"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Bei der Durchsicht der URL-Befehle habe ich gesehen, dass anscheinend<br class="">
auch schreibend auf die Datenbank zugreifen kann. Ist das nicht<br class="">
gefährlich, so einen Webserver ins öffentliche Netz zu stellen, wenn<br class="">
jeder daran herum fummeln kann?<br class="">
</blockquote>
<br class=""></span>
Äh, ja, das ist das Prinzip von vz. Allerdings muß man ja die UUID 
kennen, um Kanäle und deren Daten manipulieren zu können, deswegen 
sollte man die UUID auch geheim halten (und Kanäle nicht einfach public 
machen, sonst kann man sie einfach so auflisten). Neue Kanäle anlegen 
und nutzen geht aber natürlich schon.<br class="">
M.W. hatte Justin das so konzipiert, damit z.B. <a href="http://demo.volkszaehler.org/" rel="noreferrer" target="_blank" class="">demo.volkszaehler.org</a>
 ohne Anmeldung (und Passwort-Recevory, Email etc. pp.) genutzt werden 
kann. Faktisch ist es aber heute wohl so, daß die meisten ihren eigenen 
VZ-Server laufen haben, da finde ich das eher ungeschickt (zumal die 
UUIDs auch etwas unhandlich sind).<br class=""><br class=""></div><div class="">-- snip --<br class=""><br class=""></div>Ich sehe- wenn wir es einfach halten wollen- 2 Anwendungsfälle:<br class=""><br class=""></div>a) Absicherung einer privaten Installation<br class=""></div>b) Usermanagement für eine öffentliche Installation wie demo<br class=""><br class=""></div>Letzteres klammere ich mal aus da es grundlegende Änderungen an VZ erfordern würde. Für a) gibt es verschiedene Möglichkeiten von furchtbar einfach bis etwas umfangreicher:<br class=""><br class=""></div>1) Basic Authentication, also Username + Password. Für ein Mindestmaß an Sicherheit ist SSL erforderlich- das gilt ebenso aber auch für alle weiteren Varianten. Das muss zusätzlich so konfiguriert werden dass vzlogger (aus dem internen Netz) ohne Basic Auth weiterhin seine Daten abliefern kann.<br class=""><br class=""></div>2) Token Authentication: initiales Login per U/P, ab da Token der expired. Dabei hätten wir sogar die Möglichkeit einzelne User zu definieren- imeinfachsten Falle per Konfigurationsdatei, sonst als Datenbankerweiterung. Wenn Datenbankerweiterung dann können wir auch Rechte vergeben (schreiben, löschen, lesen) und Kanäle zu Usern "gehören" zu lassen. <br class="">Weiterhin wäre es ggf. sinnvoll authentifizierten Nutzern auch "private" Kanäle ohne Kenntnis der UUID anzubieten. <br class=""><br class=""></div><div class="">Gibts Bedarf?<br class=""><br class=""></div>Viele Grüße,<br class=""></div>Andreas<br class=""><br class=""></div>
</div></blockquote></div><br class=""></div></body></html>