[Discuss] [v642]
Matthias Šubik
(spam-protected)
Do Mär 10 17:02:41 CET 2016
Hello,
> On 11.02.2016, at 09:54, Jakob Riepler <(spam-protected)> wrote:
>
..
> > * kein default Passwort / leeres passt
>
> Es sollte nicht so schwierig sein, LuCI so umzubauen, dass es eine Passwortänderung forciert, wenn das default Passwort oder ein leeres Passwort gesetzt ist.
>
> > * kein login via http only
Ich halte das für den falschen Weg, weil genau dieses “müssen” die Leute zum Passwort-Sharing verleitet.
Alternativvorschlag: entweder das Interface generell auf private IPs limitieren, oder das Interface irgendwann z.B. 20m nach Neustart abschalten. Dann kann man es aufsetzen ohne Theater, und wenn man nicht mehr draufkommt, muss man neustarten, und dann setzt man ein Passwort, oder nicht, und es ist trotzdem bald wieder “sicher”.
>
> Eventuell automatisches requesten eines letsencrypt certs, nach dem die initiale Konfig (IP, Nodename) gemacht wurde und eine Funkfeuerverbindung besteht?
Das klingt nach Fehlerquellenmaximierung (auch die Abhängigkeiten), aber probieren wir es: Was willst Du besichern? Brauchst ja einen Namen:
<mac>.wien.funkfeuer.at, könnte man automatisch in den DNS registrieren, und anschließend auch ein Zertifikat dazu erzeugen. Eventuell ist ja die MAC pseudogeheim, dann könnte man auch Hostname a la DTAG bilden (ip4->hex) also in unserem Fall z.B. (ip6->base32), dann hast Du maximal 12 Zeichen Hostname.
Also wenn: <asdfghjklzxc>.wien.funkfeuer.at
Das würde ich aber nur zur Bedingung machen, wenn der User es world-wide mit user/password administrieren will. Ein Router, der von intern, oder von seinen direkten Nachbarn administriert werden kann ist für unser Netz besser, als einer der zugemauert ist. Missbrauch innerhalb Funkfeuer: nahezu null , und es war bisher Sicherheit nicht mal im Fokus, und dem Nachbarn vertrauen die meisten, alleine schon, weil da unverschlüsselter Traffic darüber geht.
Wichtig wäre auch ein update-notify. Wenn sich der User anmeldet, sollte er wissen, wenn er alte software hat.
Das sind alles nur Ideen,
aber Usability ist halt sehr viel feeling …
Matthias
Mehr Informationen über die Mailingliste Discuss