Hi Leute, da ich Grafana mit https und apache leider nicht hinbekommen habe, frage ich mich nun, ob ich die Grafana-Seite auch einfach über http: ausliefern könnte, denn: - Die Informationen (Temperaturkurven) sind nicht vertraulich - Ich brauche keine Usernamen oder Cookies (Man muss sich nicht anmelden) - man kann nur lesen, keine Daten hochladen - wenn ich mich als Admin anmelde, würde ich das nur von meinm LAN aus tun Dann würde ich einfach auf meiner Fritz-Box dem Port 3000 freigeben und das war's..? Oder was könnte noch problematisch sein?
Die Portscanner werden sich freuen und die Hacker werden dir in kurzer Zeit aus deinem Netzwerk eine Achterbahn machen. Würde ich nicht tun. Eher VPN Tunnel oder OpenSSL installieren.
Was würde da genauer passieren? Ein Portscanner findet einen offenen Port 3000, so wie er auch einen 80 und einen 443 findet. Was wäre in meinem Fall (s.o.) anders als mit https, außer dass man nicht sehen kann, welcher Client anfragt und was er geliefert bekommt?
Rudi schrieb: > Was würde da genauer passieren? Alles was du dir vorstellen kannst und alles an was du nie im Leben gedacht hast. Im besten Fall legen sie dir einfach alles lahm, im schlimmsten übernehmen sie alles was sie erreichen können und setzen deine Technik für Botnetze oder Spamversand ein. Benutzen deine Technik als relaiserver um dann (wie bei VPN) andere Hacks zu machen die dann mit deiner IP gebloggt werden, leaken alle deine privaten Daten, löschen oder verschlüsseln Sie um dich zu erpressen usw. Aber da wärst du selbst mit https nicht sicher vor. Jeder offene Port ist heute ein Sicherheitsrisiko.
:
Bearbeitet durch User
Wenn die Webseite unsicher programmiert ist, ist's egal ob ich eine SQL-Injection oder so per HTTP oder HTTPS fahre. Aber ich würds schon mit HTTPS und korrektem Login machen. Alles andere wird in absehbarer Zukunft als unsicher eingestuft werden und die Browser werden sich weigern, solche Seiten ohne Zwangsmaßnahmen zu laden.
Rudi schrieb: > frage ich mich nun, ob ich die Grafana-Seite auch einfach über > http: ausliefern könnte https://doesmysiteneedhttps.com Kurz: nein, das ist Murks.
nein. Allein schon aus Konfortgründen. Moderne Browser beschweren sivh wenn sie http anzeigen sollen. Hast schon mal über einen Reverse Proxy nachgedacht?
klar kannste! ein vernünftiges Adminpanel funktioniert mit login-credentials auch OHNE SSL wunderbar übver http Ja, man könnte ...yaddayadda... ist aber unfug, denn genausogut könnte man ein zertifikat faken, denn vermutlich jeder hat im Schnitt ein halbes dutzend abgelaufener zertifikate im Browser akzeptiert und winkt noch 2020 zwei weitere durch. Egal... nee ssl macht nur dann wirklich Sinn wenn sensible Daten übertragen werden müssen (Name, Anschrift, Kreditkartendaten, Kontonummern oder schlimmeres) Solange Dein Loginformular nicht username-password überträgt und das passwort nicht im plaintext bis Du sehr sicher was geklaute logins angeht. ich mach es (etwas vereinfacht gesagt) zB so: der Server auf dem ein gehashtes PW gesichert ist (sagen wir md5) schickt Dir auf Anforderung oder mit jedem page request einen ontime key (sagen wir einen linux timestamp) Dein lokales Javascript verschlüsselt dann das Passwort (mit md5) hängt einen salt an (den timestamp) und verschlüsselt das erneut (zB wieder mit md5) und schickt den hash dann an den Server der Server hängt nun an das gespeicherte Passwort den salt (also in dem Fall den zuletzt versendeten timestamp) und hasht das ganze (mit demselben verfahren natürlich) und vergleicht die beiden UNd schwupp Du bist eingeloggt. Sollte nun ein Bösewicht einen Mitschnitt haben, kann er nur das doppelt verschlüsselte Passwort lesen, was schon nichtmehr gültig ist, hat er den Quelltext der Internetseite, weiss er dass er einen unbekannten Hash sucht der zu einem unbekannten timestamp in der vergangenheit gepasst hat. Hurra.. er weiss also NIX wichtiges :D hut, ich benutze weder md5 noch timestamps dafür, aber würde mich damit dennoch sicher genug fühlen wenn dahinter eh keine sensiblen Daten liegen :D 'sid
Sebastian L. schrieb: > Hast schon mal über einen Reverse Proxy nachgedacht? Nicht nur nachgedacht, aber ich bekomme den einfach nicht zum Laufen mit Grafana, siehe Beitrag "Re: Frage zu influxDB, Grafana und https/letsencrypt" Vielleicht habe ich auch in der Apache-Konfiguration einen bekloppten Fehler. Kann ich irgendwo im Apache sehen, was mit meinem Aufruf passiert? Also so nach dem Motto. adresse http.. auferufen, umgeleitet auf https.., umgeleitet auf reverse proxy 127.0.0.1.. ? Ich habe mal gelesen und LogLevel auf "debug" gestellt, aber da steht unter /var/log/apache2/error.log nur seltsames Zeug wie https://pastebin.com/qh7vKWXB mit dem ich (noch?) nichts anfangen kann..
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.