<div dir="ltr"><div><div><div><div><div><div><div><div><div><div>Hallo Zusammen,<br><br></div>ich hole das Thema nochmal nach oben da ich das Thema Sicherheit von VZ Installationen nicht ganz unerheblich finde. <br><br>Meine Konfiguration sieht jetzt so aus:<br><br></div>- Volkszähler/Raspi läuft auf eigener Domain (z.B. <a href="http://ddns.net">ddns.net</a>) und ist mittels Zertifikat von letsencrypt und Login abgesichert<br></div>- Ums einfacher zu machen ist zusätzlich noch optionaler Login mittels Google Account möglich<br></div>- Fritzbox ist ebenfalls über letsencrypt Zertifikat abgesichert, läuft aber auf anderer Domain<br></div>- http wird für beide Domains auf https umgeleitet<br></div>- aus dem lokalen Netz bleibt VZ weiterhin ohne Username/Passwort erreichbar<br></div>- das ganze als Dual Stack IPv4/IPv6<br><br></div>Wer Interesse hat einfach hier rein schauen: <a href="https://github.com/volkszaehler/volkszaehler.org/pull/458" target="_blank">https://github.com/<wbr>volkszaehler/volkszaehler.org/<wbr>pull/458</a> oder fragen.<br><br></div>Viele Grüße,<br></div>Andreas<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">2016-08-27 12:33 GMT+02:00 Andreas Goetz <span dir="ltr"><<a href="mailto:cpuidle@gmail.com" target="_blank">cpuidle@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Hallo Zusammen,<div><br></div><div>das prinzipielle Feedback war zwar “brauche ich nicht”, ich habe mir aber trotzdem mal den Spass gemacht, Firewall und User Authorization prototypisch zu implementieren.</div><div><br></div><div>Wer damit spielen möchte findet hier den Code: <a href="https://github.com/volkszaehler/volkszaehler.org/pull/458" target="_blank">https://github.com/<wbr>volkszaehler/volkszaehler.org/<wbr>pull/458</a></div><div><br></div><div>Das Ganze basiert auf JSON Web Tokens für Bearer Authentication und sollte tunlichst- da Username/ Passwort übertragen werden- _nur_ über HTTPS Anwendung finden.</div><div><br></div><div>Die Änderungen an der vz.conf Datei sollten eigentlich hinreichen erklären was es zu konfigurieren gibt. Freue mich über Feedback im PR. </div><div><br></div><div>Viele Grüße, </div><span class="HOEnZb"><font color="#888888"><div>Andreas</div></font></span><div><div class="h5"><div><br></div><div><br><div><blockquote type="cite"><div>On 15.08.2016, at 11:36, Andreas Goetz <<a href="mailto:cpuidle@gmail.com" target="_blank">cpuidle@gmail.com</a>> wrote:</div><br class="m_-3687934619575360549Apple-interchange-newline"><div><div dir="ltr"><div><div><div><div><div><div><div><div>Ich mache Jacobs Mail mal als neues Thema auf:<br><br><span class="m_-3687934619575360549im"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Bei der Durchsicht der URL-Befehle habe ich gesehen, dass anscheinend<br>
auch schreibend auf die Datenbank zugreifen kann. Ist das nicht<br>
gefährlich, so einen Webserver ins öffentliche Netz zu stellen, wenn<br>
jeder daran herum fummeln kann?<br>
</blockquote>
<br></span>
Äh, ja, das ist das Prinzip von vz. Allerdings muß man ja die UUID
kennen, um Kanäle und deren Daten manipulieren zu können, deswegen
sollte man die UUID auch geheim halten (und Kanäle nicht einfach public
machen, sonst kann man sie einfach so auflisten). Neue Kanäle anlegen
und nutzen geht aber natürlich schon.<br>
M.W. hatte Justin das so konzipiert, damit z.B. <a href="http://demo.volkszaehler.org/" rel="noreferrer" target="_blank">demo.volkszaehler.org</a>
ohne Anmeldung (und Passwort-Recevory, Email etc. pp.) genutzt werden
kann. Faktisch ist es aber heute wohl so, daß die meisten ihren eigenen
VZ-Server laufen haben, da finde ich das eher ungeschickt (zumal die
UUIDs auch etwas unhandlich sind).<br><br></div><div>-- snip --<br><br></div>Ich sehe- wenn wir es einfach halten wollen- 2 Anwendungsfälle:<br><br></div>a) Absicherung einer privaten Installation<br></div>b) Usermanagement für eine öffentliche Installation wie demo<br><br></div>Letzteres klammere ich mal aus da es grundlegende Änderungen an VZ erfordern würde. Für a) gibt es verschiedene Möglichkeiten von furchtbar einfach bis etwas umfangreicher:<br><br></div>1) Basic Authentication, also Username + Password. Für ein Mindestmaß an Sicherheit ist SSL erforderlich- das gilt ebenso aber auch für alle weiteren Varianten. Das muss zusätzlich so konfiguriert werden dass vzlogger (aus dem internen Netz) ohne Basic Auth weiterhin seine Daten abliefern kann.<br><br></div>2) Token Authentication: initiales Login per U/P, ab da Token der expired. Dabei hätten wir sogar die Möglichkeit einzelne User zu definieren- imeinfachsten Falle per Konfigurationsdatei, sonst als Datenbankerweiterung. Wenn Datenbankerweiterung dann können wir auch Rechte vergeben (schreiben, löschen, lesen) und Kanäle zu Usern "gehören" zu lassen. <br>Weiterhin wäre es ggf. sinnvoll authentifizierten Nutzern auch "private" Kanäle ohne Kenntnis der UUID anzubieten. <br><br></div><div>Gibts Bedarf?<br><br></div>Viele Grüße,<br></div>Andreas<br><br></div>
</div></blockquote></div><br></div></div></div></div></blockquote></div><br></div>