Liebes Support Team,
zwei kleine Fragen zum HTTP Post Logging mit Username und Passwort.
Vielen Dank!
Andreas
Benutzername und Passwort kannst du in der URL codieren, beim Durchführen des Aufrufs wird dann der entsprechende Authorization-Header daraus erzeugt.
Zertifikatsfehler werden von mAirList aktuell einfach ignoriert. Das Thema ist sehr komplex, weil man das ganze Handling von Ausnahmen etc. implementieren müsste.
Wir gehen davon aus, dass mAirList nur in geschützten Umgebungen läuft oder, wenn über das öffentliche Internet Daten übertragen werden, es solche sind, bei denen keine großen Sicherheitsbedenken bezüglich Man-in-the-Middle-Attacken oder ähnlichem bestehen.
Passwörter in URLs kodieren: protokoll://benutzername:passwort@domainname
Wir nutzen das z.B. um Hörer die Titel uploaden wollen auf den Anonymous FTP-Server zu schicken
Die Sache ist ja die, dass ich eben keine Passwörter in der URL haben möchte, weil der Aufruf an eine externe Webseite geht, die dann Titel und Interpret anzeigen soll.
Wenn du Angst hast vor deinem eigenen Server und den Menschen die darauf arbeten, dann bleibt dir nur das im Header mit zu schicken. Das ändert aber nichts daran, dass es über eine Man-in-the-middle-Situation nicht doch gelesen werden könnte.
Die Übergabe über die URL ist sicher nicht die beste, aber die funktionierende Methode ohne einen großen Aufwand zu verursachen. Klar(text) zwar, aber wenn man in einer eigenen betriebenen Umgebung arbeiten und Log-Dateien für diese URL deaktiviert, auch nicht nachzuvollziehen, solange man nicht auf dem Server sitzt und lauscht.
Ich sehe das ähnlich.
Die Verarbeitung auf dem Server habt ihr ja selber geschrieben. Wenn darüber mit den gleichen credentials, SQL injections möglich wären, dann ist dort bei der Programmierung schon was falsch konzipiert.
Mein erster Ansatz wäre, Benutzername und Passwort oder einen Security Token, mit als Payload zu verpacken. Das steht dann zumindest schon mal nicht in der url und müsste über https halbwegs sicher sein. Zumindest das blanke mitlesen, müsste damit unterbunden sein. Man korrigiere mich, wenn das falsch ist.
Wenn das als Sicherheit für den Server nicht ausreicht, ist der ganze Ansatz falsch. In diesem Fall bräuchte es eine VPN Verbindung zwischen Studio und Webserver, für die Übetragung.
Mir stellt sich die Frage, ob hier die Risikoeinschätzung richtig durchgeführt wurde? Was ist auf einem Webserver so schützenswertes?
Wenn mir den jemand hackt, was kann der anrichten?
Das schlimmste was passieren kann ist Daten löschen. Dann stelle ich ein Backup wieder her, gebe einen Runde neue Passwörter aus und weiter geht‘s.
Allerdings ist mein Projekt auch nur ein Hobby-Projekt. Da ist so ein Ausfall nicht schön aber verkraftbar.
Wir haben das jetzt so gelöst, dass wir eine entsprechende Logging Datei per https vom mAirlist Rechner abrufen.
Vielen Dank für eure Beiträge!
Hast du dazu einen extra httpd-Server auf dem MairlIst-Rechner am laufen?
Ja genau, den in Windows integrierten (IIS). Das funktioniert gut.