https, Apache Authentication Proxy, Name + PW in URL

Begonnen von heikoh81, 01 Juli 2016, 00:17:53

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

heikoh81

01 Juli 2016, 00:17:53
Hallo zusammen,

ich greife momentan nur über vertrauenswürdige Netzwerke bzw. über OpenVPN auf mein fhem zu.
Dazu verwende ich Apache Authentication Proxy und statische HTML-Seiten, die wie folgt verlinkt sind
http://benutzer:passwort@www.domain.de/fhem
Ich weiß, Abhörsicher ist das nicht, auch Benutzername & Passwort wandern im Klartext durchs Netz.

Deshalb strebe ich nun eine Umstellung auf https an.
Einrichtung mittels Let'sEncrypt certbot und Anleitung im Wiki (http://fhemwiki.de/wiki/Apache_Authentication_Proxy) hat geklappt, ich kann verschlüsselt auf mein fhem zugreifen und das Zertifikat ist im Browser gültig.

Nun möchte ich auf den Komfort fest in der URL verankerter Benutzernamen & Passwörter eigentlich nicht verzichten.
Aber heble ich damit den SSL-Schutz aus?
Oder bewirkt SSL, dass der Benutzername & Passwort verschlüsselt übertragen werden, auch wenn diese direkt mit dem ersten URL-Aufruf übergeben werden?

Ich kenne mich mit SSL nicht aus, so dass ich dies nicht beurteilen kann.
Vielen Dank für eure Meinung.

Viele Grüße,
Heiko

dev0

#1
01 Juli 2016, 07:52:40
Zitat von: heikoh81 am 01 Juli 2016, 00:17:53
Aber heble ich damit den SSL-Schutz aus?

Kurz: Nein.

Lang: Wenn Du eine https url aufrufst, dann werden alle Requests dieser Verbindung verschlüsselt inclusive "user:pass@" in der url. Eine Ausnahme bildet die SNI Erweiterung, hier wird der Hostteil der url unverschlüsselt übertragen, damit sich mehrere virtuelle https Server eine IP teilen können.

Wernieman

#2
01 Juli 2016, 09:34:19
Der einzigste, aber nicht zu vernachlässigende, Nachteil ist, das ein "User" des Gerätes gleich User/Passwort für Dein FHEM kennt. Der "User" muß nicht umbedingt der sein, der das Gerät bedient  8)

Nur ist dieses unabhängig von http/https
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

heikoh81

#3
03 Juli 2016, 23:31:58
Danke euch für die tollen Erklärungen.
Die Geräte werden nur von Berechtigten bedient - es sind keine Kinder im Haus  ;)
Im Falle eines Diebstahls würde der Benutzer natürlich gesperrt, und fail2ban läuft auch noch...

Ein Problem habe ich noch nicht gelöst.
Aktuell habe ich meine IPCams ebenfalls hinter dem Apache Proxy.
Jede Kamera läuft auf einem eigenen Port, damit ich für jede Kamera eine eigene "site-available" mit eigenem ProxyPass einrichten kann.
FHEM kann nun mittels a2ensite bzw. a2dissite bestimmte Kameras (z.B. Innen) gezielt "abschalten".
Mir ist noch kein Weg bekannt, wie ich dies von FHEM heraus steuern könnte, wenn alles in der ssl-default-site auf dem https-Standardport 443 läuft.
Hätte jemand eine Idee, in welche Richtung ich schauen müsste?

Viele Grüße,
Heiko
Drucken
Nach oben Seiten1
Benutzer-Aktionen