Apache Friends Support Forum

[Nobbie]

Darf ich mal fragen, ob Client Zertifikate nicht eine bessere Alternative wären?
https://httpd.apache.org/docs/2.4/ssl/s ... esscontrol

Da habe ich auch nachgedacht, aber das nutzt ja alles nichts. Wenn es auf dem Rechner der Oma einen Plain Text Link mit UserId:Passwort gibt (und das ist ja der Fall), dann kann ein "Einbrecher" auf Omas Rechner diese Werte auslesen. Da ist ja das (vermeintliche) Problem.

Die Oma soll selbst keine Credentials kennen. Die klickt auf einen Link mit Plain Text Userid und Passwort. Ich halte das nicht für sooo unsicher, aber so wie ich es verstehe (es ist nicht zu verstehen, die Beschreibungen sind chaotisch) ist genau das die Sorge von Mike, dass jemand diesen Link zu sehen bekommt. Dagegen hilft auch kein SSL. Das schützt nur die Kommunikation zwischen Server und Client, aber nicht Omas Festplatte (wo die Werte in Plain Text stehen).

[Altrea]

Da habe ich auch nachgedacht, aber das nutzt ja alles nichts. Wenn es auf dem Rechner der Oma einen Plain Text Link mit UserId:Passwort gibt (und das ist ja der Fall), dann kann ein "Einbrecher" auf Omas Rechner diese Werte auslesen. Da ist ja das (vermeintliche) Problem.

Aber mit Client Zertifikat ist es ja nichtmehr nötig, eine Basic Auth mit Benutzername und Passwort durchzuführen. Die access control wird durch das client Zertifikat legitimiert, die im Client Browser liegt und damit getrennt von der URL ist.

Die Oma soll selbst keine Credentials kennen. Die klickt auf einen Link mit Plain Text Userid und Passwort. Ich halte das nicht für sooo unsicher,

Es ist ja auch nicht unsicher, solange die URL geheim bleibt. Für einen Angreifer, ein neugieriges Familienmitglied oder dergleichen ist es aber dennoch einfacher, ein im Plaintext liegendes Benutzername Passwort Pärchen zu finden und nachzubilden als ein Client Zertifikat. Das Zertifikat ist der Schlüssel und ohne dieses wird der Zugriff vom Webserver zurückgewiesen.

[Nobbie]

" Wenn die URL geheim bleibt" - eben, aber genau das befürchtet Mike ja, dass sie aus irgendeinem Grund nicht geheim bleibt. Das ist ja genau sein Problem (ich halte es allerdings nicht für ein Problem, wieso sollte die nicht geheim bleiben?).

Ich sehe hier ja auch kein Problem, aber Mike glaubt an irgendeine Überlösung, die es nicht gibt.

Inzwischen glaube ich allerdings, dass ich seinen grundsätzlichen Denkfehler gefunden habe: er glaubt, man müsse nur den Link zur Kamera (die als ReverseProxy angebunden ist) zu kennen und schon könne jeder damt das Kameravideo abrufen. Seine Seite ist aber zusätzlich per Basic Authorization geschützt. Er meint aber, dass die Passworteingabe umgangen wird, wenn man den Kameralink direkt eingibt. Das aber glaube ich nicht, viel wahrscheinlicher ist, dass er sich vormals eingelogged hatte und bei seinem Test der Browser bereits ein Cookie angelegt hat um eine zweite Eingabe zu vermeiden. Man muss schon den geheimen Link und die Zugangsdaten kennen, wenn man das Kameravideo sehen will. Oder die Basic Auth ist irgendwie falsch eingerichtet.

Ich habe jedenfalls größte Probleme zu verstehen, wo er die Probleme sieht.