[gelöst] Authentifizierung ohne SSL
-
Hallo,
warum kann ich die Authentifizierung nicht ohne SLL benutzen?
Die sicherheitsrelevanten Punkte sind mit an sich Schin klar (Verhinderung des aus sniffens von Kennworten bei fehlendem SLL) - aber es gibt m.E. durchaus sinnvolle Anwendungen :shock:
Da man so nicht ind Internet geht ist mit durchaus auch klar.
Was will ich machen:
1. Instanz –> web.0 Zugriff über Cloud, web.0 fixiert auf localhost, kein SLL, keine Authentifizierung
2. Instanz --> web.1 Zugriff nur über das interne Netz, kein Routing in die Cloud oder über Portweiterleitung, kein SSL aber Authentifizierung
Ich denke das das durchaus Sinn nach - auch aus Sicherheitssicht. WLAN-Netz sind verschlüsselt und wenn es einer bis zu meinem Switch schafft ist Sniffing glaub ich mein kleinstes Problem
Hat jemand einen Tip, wie ich das realisieren kann? Tnx.
-
WLAN-Netz sind verschlüsselt `
Haha und meine oma fährt Skateboard, sorry aber jede WiFi Sicherung ohne Radius Server ist für die katz und leicht hackbar…
Passwort nu mit SSL macht Sinn, ohne kannst du genauso gut keins nehmen wird ja doch plain Text geschickt
Nimm doch einfach ein kostenloses Zertifikat
Send from mobile device
-
-
Es freut mich ja, dass ich ein wenig zur Erheiterung beitragen konnte…
Aber mal im Ernst: Weil das WLAN theoretisch so unsicher ist lasse ich dann gleich auch die Authentifizierung weg und gestatte jeden der das WLAN hackt Admin-Zungang zu ioBroker, ohne sich wenigstens die Mühe zu machen die Kennwörter zu schniffen - denn das ist ja der Ist-Zustand, oder?
Dann passt es im Bild ja ganz gut, dass die Oma eine Sonnenbrille sehr dunkel ist, dann sieht sie den Sturz nicht
Mit den kostenlosen Zertifikaten das ist ein guter Tip, funktioniert nur nicht, wenn der Server im Web gar nicht erreichbar ist - bin mir nicht mal sicher ob man für sowas ein kostenpflichtiges bekommen würde.
Meines Wissens machen alle diese Dienste wenigstens einen Verfügbarkeitstest.
-
Es freut mich ja, dass ich ein wenig zur Erheiterung beitragen konnte… `
Ja danke ! Auch dir @homoran der war gut !
Aber mal im Ernst: Weil das WLAN theoretisch so unsicher ist lasse ich dann gleich auch die Authentifizierung weg und gestatte jeden der das WLAN hackt Admin-Zungang zu ioBroker, ohne sich wenigstens die Mühe zu machen die Kennwörter zu schniffen `
Das ist ja nicht die basis discussion, man moechte ein security technisch taugliches produkt erstellen und passwoerter submitten ohne SSL ist nicht sicher darum geht es auch nicht.
Man baut naemlich eine "schein" sicherheit
-
Na gut - ich bin ja nicht beratungsresistent
Ich habe da Problem jetzt gelöst.
1. Ich habe die Instanz web.0 auf 127.0.0.1 limitiert, damit kommt nur noch der Raspi mit Port 8082 drauf.
2. ich habe mir für die zweite Instanz (web1.) ein Zertifikat selbst gebaut:
openssl genrsa -out /etc/ssl/private/zertifikat.key 4096 openssl req -new -x509 -key /etc/ssl/private/apache.key -nodes -days 3650 -sha256 -out /etc/ssl/certs/zertifikat.crtHabe das dann in den ioBroker-Admin eingespielt und die Instanz web.1 auf Port 443 mit diesem Zertifikat mit Authentifizierung gesetzt.
Als FDQN für das Zertifikat habe ich den Namen für den Raspi aus der Fritz!Box (Heimnetz –> Heimnetzübersicht) genommen - "iobroker".
Damit kann ich das jetzt von innen unter "https://iobroker" aufrufen.
Habe es getestet - funktioniert auch mit FLOT - nachdem ich das Zertifikat aus vertrauenswürdig eingestellt habe (dass muss man dann allerdings für jedes Geräte/Tablet machen).
Von außen kann ich dann über die Cloud zugreifen.
Passt also soweit.
Habe es hier nur mal ausführlicher dokumentiert, falls es jemand nachmachen will....
-
Habe es hier nur mal ausführlicher dokumentiert, falls es jemand nachmachen will…. `
Danke!
