Kommunikation nach außen - Who is talking to me?
Kommunikation nach außen schön und gut, gesetzte Header - schön und gut. Dennoch lässt es sich nicht ohne manuelle Pflege prüfen, ob der Request wirklich von einem Knuddels App Server kommt.
Sicher könnte man per POST, Header oder was auch immer ein Key/Passwort übertragen. Aber auch dies ist ohne weitere Probleme zu fälschen. MITM, Spoofing etc....
Umso besser wäre es, wenn Knuddels alle AppServer IPs per http-request returned (bestenfalls json)
Hier könnte z.B. einfach auf http://apps1.knuddelz.biz/getAppServers alle IPs von den Servern zurückgegeben werden.
-
Adrian Preuß
commented
Selbst Banken oder Payment-Gateways nutzen es: Alle Werte durch HMAC sichern? Berechne einen Hash aus den validen Daten und prüfe die gegen? Ich sehe da keine Notwendigkeit, eine IP-Liste zu veröffentlichen. Du kannst die Anfragen auch mit eigenen mitteln absichern, dass niemand Manipulationen vornehmen kann.
-
Dean Kaspar commented
Mit TCP/IP darüber wo HTTP läuft, ist es nicht möglich eine IP zu spoofen, im Gegensatz zu UDP z.B.
Sprich die IP die mich anspricht, ist defintiv die richtige IP. Da muss nichts über https laufen für.
Und genau anhand dieser IP Liste kann man sich sicher sein, dass die Anfrage 100% von einem Knuddels Server erfolgt ist.
-
Kev777
commented
Und die IP liste schützt du wie genau vor manipulation? Also wenn dann müsste das ganze per https laufen.
Im übrigen verstehe ich nicht ganz wo das problem ist die gesamte kommunikation zu verschlüsseln? Solang niemand zugriff auf deinen server oder auf den appserver von knuddels hat sollte hier doch ausreichende sicherheit geboten sein, oder? Wenn wir uns sorgen um sicherheit machen dann wohl zuerst beim ftp zugang zum appserver. ;)