Apache Friends Support Forum

[salvi5]

Hallo,
mein Problem lässt sich möglicherweise in aller Kürze lösen, aber nicht in aller Kürze beschreiben. Ich versuche es trotzdem.
Meine Oma ist 92 Jahre und benutzt einen Rechner, um Solitair zu spielen und Familienmitglieder auf Kameras zu beobachten, weil sie nicht mehr oft raus kommt.
Ich habe ihr eine Webseite eingerichtet, auf der sie zwischen meinen Cams und denen ihres Sohnes umherswitchen kann. Diese Kameras sind mit unterschiedlichen Benutzernamen und Passwörtern geschützt. Um meiner Oma das lästige Eingeben der Authentifizierung zu ersparen (ehrlich gesagt habe ich ihr die Tastatur weggenommen) habe ich die Kameras über Proxypass mit requestheader auf meine domain umgeleitet und somit quasi Passworteingabe-befreit.

Die Seite mit den eingebetteten Cams liegt selbst in einem htaccess-geschützten Ordner, die Eingabe eines Passworts bei meiner Oma umgehe ich mit einer Verknüpfung auf ihrem Desktop im Format http://user:passwort@domain.de. Funktioniert auch!
Unglücklicherweise habe ich natürlich mit dem Proxypass-requestheader jedem dem die neue URL der Cams, warum auch immer, bekannt ist das Kamerabild ohne Passwort zur Verfügung gestellt.

Kann ich das einfacher lösen?
z.B. Proxypass in eine <directory> (habe ich nichts dazu gefunden)
oder irgendwie anders die virtuellen Pfade der Cams in meinen geschützten Ordner /var/www/htdocs mappen

Die Seite mit den Cams wird übrigens von mehreren Familienmitgliedern benutzt, denen ist die Eingabe eines Passwortes egal, so lange sie nicht für jede Cam eines eingeben müssen. Nur meiner Oma möchte ich das gerne ersparen und trotzdem die Cams für andere Personen nicht öffentlich machen.

Sorry für die lange Geschichte, aber ich wusste nicht wie ich mein Problem kürzer beschreiben sollte.

Gruß Mike

[Nobbie]

Könntest Du die Konfiguration dieser ReverseProxys mal zeigen, insbesondere was Du mit Requestheader meinst und machst? Proxypass geht nicht im <Directory> Container, aber u.a. in VirtualHosts.

[salvi5]

Die Proxys sehen im Moment etwa so aus:

Code: Select all

        ProxyPass /meine1cam  http://192.168.0.100:8086/
        ProxyPass /meine2cam  http://192.168.0.101:8087/
        ...

        ProxyPass /cam1woanders  http://dyndns.oma_sohn.de:8080/
        ProxyPass /cam2woanders  http://dyndns.oma_sohn.de8081/
        ...

        <Location /meine*>
        RequestHeader set Authorization "Basic hjw4370987w03jKHHHK"
        </Location>
        <Location /*woanders>
        RequestHeader set Authorization "Basic HKzu74z78z78rrr87eTZZ"
        </Location>


Das mit den VHosts ist natürlich ein Tip... Wenn ich für die Seite mit den Cams einfach einen neuen VHost erstelle mit Port 8080 oder wasweißich, dann kann ich den ja eigens absichern. Und wenn ich die Proxypass-Einträge da einfach reinstecke, sind die jeweiligen Ziele (/camwoanders /meinecam) auch mit abgesichert, richtig? Oder irre ich mal wieder?
Gruß Mike

[Nobbie]

Wo ist denn jetzt das Problem?? Das wäre exakt das, was ich auch vorgeschlagen hätte. An welcher Stelle finde ich denn jetzt "http://user:passwort@domain.de" (wie Du oben schreibst) und wieso glaubst Du, dass man diese URL (die nirgends steht) sehen könnte??

Ich verstehe ehrlich nicht ansatzweise, was denn jetzt das Problem sein soll??

[salvi5]

An welcher Stelle finde ich denn jetzt "http://user:passwort@domain.de" (wie Du oben schreibst)

Könntest Du die Konfiguration dieser ReverseProxys mal zeigen, insbesondere was Du mit Requestheader meinst und machst?

Du wolltest nur die Proxys und Requestheader

und wieso glaubst Du, dass man diese URL (die nirgends steht) sehen könnte??

Weil ich nicht weiß, was mit bots und Scannern alles möglich ist. Deshalb hätte ich die Cams gerne wenigstens mit einer Authentifizierung versehen.

Ich verstehe ehrlich nicht ansatzweise, was denn jetzt das Problem sein soll??

Das liegt vermutlich an mir. Besser kann ich es halt nicht erklären.
Ich teste in den nächsten Tagen den Tip mit dem separaten Vhost, und ob dann die Proxys hinter der Authentifizierung verschwinden.
Danke für Deine Hilfe!
Gruß Mike

[Nobbie]

Du wolltest nur die Proxys und Requestheader

Ja natürlich, da muss ja dann irgendwo "http://user:passwort@domain.de" stehen. Das ist ja genau das, was Du oben schreibst, ich wollte genau wissen, wo das steht und wie es funktioniert. Du schreibst ja das hier:

"die Eingabe eines Passworts bei meiner Oma umgehe ich mit einer Verknüpfung auf ihrem Desktop im Format http://user:passwort@domain.de. Funktioniert auch!".

Wo steht diese Verknüpfung?? Ich sehe sie nicht.

und wieso glaubst Du, dass man diese URL (die nirgends steht) sehen könnte??

Weil ich nicht weiß, was mit bots und Scannern alles möglich ist. Deshalb hätte ich die Cams gerne wenigstens mit einer Authentifizierung versehen.

Verstehe ich immer noch nicht - es steht doch nirgends "http://user:passwort@domain.de"?? Und die Cams sind doch mit einer Authentifizierung versehen - wieso schreibst Du "hätte ich gerne"??

Ich kann es nur wiederholt fragen: was ist das Problem?? Nirgends(!) steht " http://user:passwort@domain.de", kein Bot oder Scanner kann das finden, weil es nirgends steht. Du "hättest" gerne eine Authentifizierung, die Du aber bereits hast. HÄÄ??????

[salvi5]

Du wolltest nur die Proxys und Requestheader

Ja natürlich, da muss ja dann irgendwo "http://user:passwort@domain.de" stehen. Das ist ja genau das, was Du oben schreibst, ich wollte genau wissen, wo das steht und wie es funktioniert. Du schreibst ja das hier:

"die Eingabe eines Passworts bei meiner Oma umgehe ich mit einer Verknüpfung auf ihrem Desktop im Format http://user:passwort@domain.de. Funktioniert auch!".

Wo steht diese Verknüpfung?? Ich sehe sie nicht.

und wieso glaubst Du, dass man diese URL (die nirgends steht) sehen könnte??

Weil ich nicht weiß, was mit bots und Scannern alles möglich ist. Deshalb hätte ich die Cams gerne wenigstens mit einer Authentifizierung versehen.

Verstehe ich immer noch - es steht doch nirgends "http://user:passwort@domain.de"?? Und die Cams sind doch mit einer Authentifizierung versehen - wieso schreibst Du "hätte ich gerne"??

Ich kann es nur wiederholt fragen: was ist das Problem?? Nirgends(!) steht " http://user:passwort@domain.de", kein Bot oder Scanner kann das finden, weil es nirgends steht. Du "hättest" gerne eine Authentifizierung, die Du aber bereits hast. HÄÄ??????

Ich glaube, ich verstehe was Du meinst.
Die Verknüpfung liegt auf ihrem Desktop, und ruft den Browser (Chromium) direkt mit http://user:passwort@domain.de auf. Stimmt natürlich, das kann niemand sehen. Mein Problem ist, dass die ehemals passwortgesicherte URL http://dyndns.oma_sohn.de:8080/ nun unter https://meineadresse.de/cam1woanders von jedem der sie kennt passwortlos eingesehen werden kann, weil sie virtuell ist und somit nicht in dem gesicherten Bereich /var/www/htdocs liegt.
Ja, das ist so, ich habe es mit einem externen Browser getestet. Die Authentifizierung der originalen Cam habe ich ja mit dem Requestheader ausgehebelt. Jemand, der meine Website mit den embedded Cams sehen will, muss sich authentifizieren, das ist richtig, aber jemand dem die URL https://meineadresse.de/cam1woanders bekannt ist, dem wird sie ohne Authentifizierung präsentiert.
Das ist auch keiner meiner üblichen Denkfehler, sondern ist so.
Gruß Mike

[Nobbie]

Die Verknüpfung liegt auf ihrem Desktop, und ruft den Browser (Chromium) direkt mit http://user:passwort@domain.de auf.

Und wieso gibt es diese zusätzliche Verknüpfung?? Ich dachte, Deine Oma soll über DEINE Domain gehen. So geht sie ja NICHT über Deine Domain, sondern direkt auf die Kamera. Wozu das??

Stimmt natürlich, das kann niemand sehen. Mein Problem ist, dass die ehemals passwortgesicherte URL http://dyndns.oma_sohn.de:8080/ nun unter https://meineadresse.de/cam1woanders von jedem der sie kennt passwortlos eingesehen werden kann

Ja natürlich, das ist doch genau das, was Du willst: Deine Oma soll nicht UserID und Passwort eingeben müssen. Klar, wenn Du (außer Deiner Oma) den Link verrätst, unter dem Deine Oma die Kamera aufruft, dann kann der auch die Kamera aufrufen, ohne sich authentifizieren zu müssen. Das ist ja absolut unvermeidbar, mit nichts auf der Welt. Entweder kennt nur Deine Oma den Link, oder noch jemand anderes. Aber genau dafür hast Du den Link doch eingerichtet??

aber jemand dem die URL https://meineadresse.de/cam1woanders bekannt ist, dem wird sie ohne Authentifizierung präsentiert.

Ja NATÜRLICH: dieser "jemand" ist Deine Oma. Und es liegt selbstverständlich an DIR und an Deiner Oma, dass auch nur die Oma den Link kennt. So ist das mit geheimen Links eben. Da gibt es auch keine andere Lösung, es ist wie es ist.

Theoretisch gäbe es noch andere Möglichkeiten, die Kamera zu schützen, statt UserId und Passwort könnte man auch verlangen, dass nur ein Rechner mit einer bestimmten IP zugreifen darf. Nämlich der Rechner Deiner Oma. Leider funktioniert das aber deswegen nicht, weil die Provider keine feste IP vergeben. Jedesmal, wenn Deine Oma sich neu ins Internet einlogged, bekommt Ihr Rechner / Router eine andere IP. Theoretisch könntest Du Dir bei einem geeigneten Provider eine feste IP sichern, dann könnte man das tatsächlich so konfigurieren, dass nur diese IP die Kamera zu sehen bekommt. Das ist aber mit Kanonen auf Spatzen geschossen, es wird doch wohl nicht zu viel verlangt sein, dass Du den Link für die Kamera nur der Oma mitteilst? Es müßte ja schon jemand Deinen Webserver hacken (dann hast Du aber noch ganz andere Probleme), um herauszufinden, dass es so einen Link gibt.

[salvi5]

Die Verknüpfung liegt auf ihrem Desktop, und ruft den Browser (Chromium) direkt mit http://user:passwort@domain.de auf.

Und wieso gibt es diese zusätzliche Verknüpfung?? Ich dachte, Deine Oma soll über DEINE Domain gehen. So geht sie ja NICHT über Deine Domain, sondern direkt auf die Kamera. Wozu das??

Nein, tut sie nicht. Habe mich vllt irgendwo falshc ausgedrückt. Sie geht über https://meineadresse.de/cameraseite.php und die liegt unter /var/www/htdocs auf meinem Server. EDIT: Und weil dieser Pfad per .htaccess geschützt ist, braucht sie die Verknüpfung.

Theoretisch gäbe es noch andere Möglichkeiten, die Kamera zu schützen, statt UserId und Passwort könnte man auch verlangen, dass nur ein Rechner mit einer bestimmten IP zugreifen darf. Nämlich der Rechner Deiner Oma. Leider funktioniert das aber deswegen nicht, weil die Provider keine feste IP vergeben.

Ich hatte mal darüber nachgedacht, beim Aufruf der Cam-Site per PHP einen individuellen header zu senden, der den PC meiner Oma identifiziert, da muss ich mich aber erst einlesen. Ich hatte gedacht, es gäbe einen einfachen Weg, die neuen Cam-URLs "hinter" meinem gesicherten Pfad zu verstecken, aber das ist wohl ein Irrtum.
Danke vielmals für die ausgiebige Beschäftigung mit meinem Problem.
Gruß Mike

[Nobbie]

Ich hatte gedacht, es gäbe einen einfachen Weg, die neuen Cam-URLs "hinter" meinem gesicherten Pfad zu verstecken

Selbst wenn das ginge.

Wie soll Dein Server (oder irgendein Server auf der ganzen Welt) erkennen, ob Deine Oma vor dem Bildschirm sitzt oder irgendein Fremder?

[salvi5]

Wenn alles unter https://meineadresse.de/ per htaccess mit user/passwort geschützt ist, und die Besitzer dieser credentials sich dann mit einer Verknüpfung "chromium-browser https://user:passwort@meineadresse.de" einloggen können, wäre mein Problem gelöst. Und mit alles meine ich eben auch https://meineadresse.de/irgendeinecam
Gruß Mike

[Nobbie]

Wenn alles unter https://meineadresse.de/ per htaccess mit user/passwort geschützt ist, und die Besitzer dieser credentials sich dann mit einer Verknüpfung "chromium-browser https://user:passwort@meineadresse.de" einloggen können, wäre mein Problem gelöst.

Ne, wenn jemand https://user:passwort@meineadresse.de kennt, kann er das auch eingeben. Das ist ja Dein Problem, der "Angreifer" muss nicht mehr wissen, als Deine Oma. Wenn jemand weiß, was Deine Oma eingibt / anklickt, dann kann Dein Rechner nicht den Angreifer von der Oma unterscheiden.

Du kannst nur die anfragenden Rechner unterscheiden - und da auch nur die IPs. Das ist die einzige Möglichkeit, dass nur vom Rechner der Oma aus zugegriffen werden kann. Wenn das nicht gelingt, kann jeder einfach genau das tun, was Deine Oma tut. Egal was sie tut.

[salvi5]

Ich hatte das Herausfinden einer geheim gehaltenen URL für einfacher gehalten als das Herausfinden von User:Passwort.
Gruß Mike

[Altrea]

Darf ich mal fragen, ob Client Zertifikate nicht eine bessere Alternative wären?
https://httpd.apache.org/docs/2.4/ssl/s ... esscontrol

[salvi5]

Da lese ich mich doch mal rein. Vielen Dank.
Gruß Mike