Ergebnis 1 bis 2 von 2

Thema: Web backend (Up1) mit Login schützen?

  1. #1
    100% Baumwolle
    Registriert seit
    Nov 2014
    Beiträge
    62

    Question Web backend (Up1) mit Login schützen?

    Dank uberspace und ihres Labs konnte ich "Up1" zum Laufen bringen: https://lab.uberspace.de/guide_up1.html
    Ein Tool für eine Art E2E verschlüsseltes Filesharing.

    Ich möchte es allerdings nur privat nutzen und nicht öffentlich zur Verfügung stellen und würde daher den Zugang gerne beschränken damit nur authorisierte Personen Zugang haben. Zuerst dachte ich an einen htaccess Verzeichnisschutz, aber da Apache in diesem Fall ja anscheinend nicht angesprochen wird geht das wohl nicht?

    Habt ihr eine Idee wie ich das sonst bewerkstelligen könnte?

    Hintergrund:

    Spoiler: 

    Entstanden ist es aus der Idee heraus techinkunbedarften Menschen eine besonders einfache Möglichkeit zu geben mir verschlüsselt Dateien zukommen lassen zu können. Z.B. auch ärztliche Befunde.

    Der Upload von Up1 ist super einfach, schwieriger wirds dann schon wieder mir die entsprechende URL zukommen zu lassen damit ich es wieder entschlüsseln kann. Erstens weiß auch nicht jeder was er/sie mir dazu zukommen lassen muss (eigentlich nur die neue URL nach dem Upload) oder wie man das am besten macht und zweitens kann jeder auf die Datei zugreifen wenn er die URL hat. Diese also in einer unverschlüsselten Email zu verschicken macht auch nicht so viel Sinn.

    Ich möchte ungern externe Services Nutzen. Up1 ist zumindest open source und ich kann es bei uberspace selbst hosten. Mit einer Benutzerverwaltung könnte ich es wenigstens etwas besser abriegeln.

    Und wenn ich anfange selbst in der App rumzucoden trau ich mir zu die Sicherheit zu kompromitieren

    Wenn euch aber zu diesem Szenario grundsätzlich etwas besseres/ganz anderes einfällt bin ich für alle Tipps dankbar.

  2. #2
    runs on biochips Avatar von Shodan
    Registriert seit
    Jul 2013
    Ort
    Citadel Station
    Beiträge
    581
    ngb:news Artikel
    2

    Re: Web backend (Up1) mit Login schützen?

    Zitat Zitat von Pulliuser Beitrag anzeigen
    Und wenn ich anfange selbst in der App rumzucoden trau ich mir zu die Sicherheit zu kompromitieren
    Der Up1 Code ist alt, sieht aber zumindest "security conscious" aus. *(naja für "symmetric encryption key in der URL" xD)
    Denk an das "npm audit fix" bei der Installation (steht auch in deiner verlinkten Anleitung).

    Die App nutzt das expressiv Framework. Du kannst diesen http-basic-auth Code (such dort nach: "challenge: true") in diese http-server Funktion einbauen. Siehst du das config object? Nutz sowas wie config.auth.user and config,auth.password. Schreib deine Credentials nicht direkt in den Code, damit du sie nicht aus Versehen auf GitHub veröffentlichst!

    Basic-Auth ist nicht verschlüsselt , aber uberspace hat wohl https per Default.

    Zitat Zitat von Pulliuser Beitrag anzeigen
    Zuerst dachte ich an einen htaccess Verzeichnisschutz, aber da Apache in diesem Fall ja anscheinend nicht angesprochen wird geht das wohl nicht?
    Statt es in den Up1 (Node.js) Webserver einzuklinken kannst du das Web-Backend wieder auf den Apache Webserver stellen und dann mit einer .htaccess das auth erfordern und zu NodeJs weiterleiten lassen. (Port im Beispiel anpassen!). https://wiki.uberspace.de/developmen..._zum_webserver.
    Mach das, wenn du "aus guten Gründen" nicht an Up1 rumbasteln willst, "Es entwickelt sich stetig weiter und ich müsste bei jedem Update patchen" fällt hier ja weg.

    Zitat Zitat von Pulliuser Beitrag anzeigen
    Der Upload von Up1 ist super einfach, schwieriger wirds dann schon wieder mir die entsprechende URL zukommen zu lassen damit ich es wieder entschlüsseln kann. ... Diese also in einer unverschlüsselten Email zu verschicken macht auch nicht so viel Sinn.
    Warte.. .willst du eigentlich eine Einbahnstraße, bei der nur du die Dateien herunterladen und entschlüsseln kannst? Die Idee hinter Up1 ist ja, dass die File haben und entschlüsseln darf, wer die URL kennt.
    Willst du mehr sowas wie encrypt.to nur "file-upload based" statt "mail based" und "as code" statt "as a service"?
    Geändert von Shodan (01.12.19 um 13:40 Uhr)
    Art. 6 der Richtlinie 2006/24 ist mit den Art. 7 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union unvereinbar, soweit er den Mitgliedstaaten vorschreibt, sicherzustellen, dass die in ihrem Art. 5 genannten Daten für die Dauer von bis zu zwei Jahren auf Vorrat gespeichert werden.
    Generalanwalt Pedro Cruz Villalón - Europäischer Gerichtshof

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •