Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Lokaler Zugriff auf Rega HTTP #533

Closed
alexreinert opened this issue Jan 9, 2019 · 1 comment

Comments

@alexreinert
Copy link
Contributor

commented Jan 9, 2019

Ich mache das jetzt nicht als PR, weil ich vermute, dass man da erstmal drüber diskutieren sollte:

Durch die Anpassungen in Firmware 3.41.x ist der Zugriff auf die Rega Ports ggf. nur noch nach Anmeldung möglich. In den xmlrpc Calls innerhalb von TCL wird das noch nicht unterstützt und selbst wenn man da dann irgendwann Benutzer und Passwort angeben kann, wird es dennoch schwierig für Addon Entwickler darauf zuzugreifen, weil man dann entweder einen generische Nutzer auf allen Systemen bräuchte (bitte nicht!) oder der Endnutzer das dann ggf. für jedes Addon angeben muss.

Daher wäre mein Vorschlag, dass Zugriffe über localhost von der Authentifizierung ausgenommen werden. Erreichbar wäre das sehr einfach, indem die /etc/lighttpd/conf.d/auth.conf angepasst wird:

$HTTP["remoteip"] !~ "^(127\.0\.0\.1|::ffff:127\.0\.0\.1|::1)$" {
        auth.backend="rega"
        auth.backend.rega.port = 1998

        auth.require = ( "/" =>
                (
                "method" => "basic",
                "realm" => "theRealm",
                "require" => "user=user"
                )
        )
}

Ich sehe darin kein wirkliches Sicherheitsproblem, um in den Genuß von unauthentifizierten Requests kommen zu können, muss man dann bereits auf dem System sein und dann könnte man auch einfach auf den neuen Port gehen.

Auf den neuen Port gehen in Addons sehe ich auch nicht ganz ideal an: Hier müssen alle Addons angepasst werden und ggf. eine entsprechende Fallunterscheidung für die verschiedenen Versionen eingebaut werden. Spätestens bei den Addons, welche nicht mehr aktiv gewartet werden, ist das ein Problem.

Any comments?

@jens-maus

This comment has been minimized.

Copy link
Owner

commented Jan 9, 2019

Das ist in der Tat ein sehr guter Hinweis bzw. Vorschlag den ich gerne in der nächsten RaspberryMatic bereits umsetzen werde. Ich sehe wie du hier nur Vorteile und es sollte kein problem sein, das wenn eine Applikation von 127.0.0.1/localhost kommt diese dann ohne irgendeine authentifizierung auf die XMLRPC Dienste zugreifen kann.

Danke für den Hinweis!

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Projects
None yet
2 participants
You can’t perform that action at this time.