• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Web backend (Up1) mit Login schützen?

Pulliuser

100% Baumwolle

Registriert
4 Nov. 2014
Beiträge
74
Dank uberspace und ihres Labs konnte ich "Up1" zum Laufen bringen: https://lab.uberspace.de/guide_up1.html
Ein Tool für eine Art E2E verschlüsseltes Filesharing.

Ich möchte es allerdings nur privat nutzen und nicht öffentlich zur Verfügung stellen und würde daher den Zugang gerne beschränken damit nur authorisierte Personen Zugang haben. Zuerst dachte ich an einen htaccess Verzeichnisschutz, aber da Apache in diesem Fall ja anscheinend nicht angesprochen wird geht das wohl nicht?

Habt ihr eine Idee wie ich das sonst bewerkstelligen könnte?

Hintergrund:
Entstanden ist es aus der Idee heraus techinkunbedarften Menschen eine besonders einfache Möglichkeit zu geben mir verschlüsselt Dateien zukommen lassen zu können. Z.B. auch ärztliche Befunde.

Der Upload von Up1 ist super einfach, schwieriger wirds dann schon wieder mir die entsprechende URL zukommen zu lassen damit ich es wieder entschlüsseln kann. Erstens weiß auch nicht jeder was er/sie mir dazu zukommen lassen muss (eigentlich nur die neue URL nach dem Upload) oder wie man das am besten macht und zweitens kann jeder auf die Datei zugreifen wenn er die URL hat. Diese also in einer unverschlüsselten Email zu verschicken macht auch nicht so viel Sinn.

Ich möchte ungern externe Services Nutzen. Up1 ist zumindest open source und ich kann es bei uberspace selbst hosten. Mit einer Benutzerverwaltung könnte ich es wenigstens etwas besser abriegeln.

Und wenn ich anfange selbst in der App rumzucoden trau ich mir zu die Sicherheit zu kompromitieren :D

Wenn euch aber zu diesem Szenario grundsätzlich etwas besseres/ganz anderes einfällt bin ich für alle Tipps dankbar.
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
Und wenn ich anfange selbst in der App rumzucoden trau ich mir zu die Sicherheit zu kompromitieren :D
Der Up1 Code ist alt, sieht aber zumindest "security conscious" aus. *(naja für "symmetric encryption key in der URL" xD)
Denk an das "npm audit fix" bei der Installation (steht auch in deiner verlinkten Anleitung).

Die App nutzt das expressiv Framework. Du kannst diesen http-basic-auth Code (such dort nach: "challenge: true") in diese http-server Funktion einbauen. Siehst du das config object? Nutz sowas wie config.auth.user and config,auth.password. Schreib deine Credentials nicht direkt in den Code, damit du sie nicht aus Versehen auf GitHub veröffentlichst!

Basic-Auth ist nicht verschlüsselt , aber uberspace hat wohl https per Default.

Zuerst dachte ich an einen htaccess Verzeichnisschutz, aber da Apache in diesem Fall ja anscheinend nicht angesprochen wird geht das wohl nicht?
Statt es in den Up1 (Node.js) Webserver einzuklinken kannst du das Web-Backend wieder auf den Apache Webserver stellen und dann mit einer .htaccess das auth erfordern und zu NodeJs weiterleiten lassen. (Port im Beispiel anpassen!). https://wiki.uberspace.de/development:nodejs#bruecke_zum_webserver.
Mach das, wenn du "aus guten Gründen" nicht an Up1 rumbasteln willst, "Es entwickelt sich stetig weiter und ich müsste bei jedem Update patchen" fällt hier ja weg.

Der Upload von Up1 ist super einfach, schwieriger wirds dann schon wieder mir die entsprechende URL zukommen zu lassen damit ich es wieder entschlüsseln kann. ... Diese also in einer unverschlüsselten Email zu verschicken macht auch nicht so viel Sinn.

Warte.. .willst du eigentlich eine Einbahnstraße, bei der nur du die Dateien herunterladen und entschlüsseln kannst? Die Idee hinter Up1 ist ja, dass die File haben und entschlüsseln darf, wer die URL kennt.
Willst du mehr sowas wie encrypt.to nur "file-upload based" statt "mail based" und "as code" statt "as a service"?
 
Zuletzt bearbeitet:

Pulliuser

100% Baumwolle

Registriert
4 Nov. 2014
Beiträge
74
  • Thread Starter Thread Starter
  • #3
Vielen Dank Shodan (mal wieder) das du dir so viel Zeit nimmst und es dir so genau anschaust. Klingt gut und schau ich mir gerne an, im Moment allerdings nicht viel Zeit dafür... wies eben so ist. Wenn sich was tut mld ich mich wieder :)
 
Oben