Hi, On Mon, January 29, 2018 19:16, Luca Bertoncello wrote: > SSH ist nur __EIN__ Teil der Geschichte... > Hier könnte ich problemlos auf die externe IP verzichten, aber für > HTTP/HTTPs > sicher nicht. > Da will ich auf alle Fälle wissen, wer die Seite abruft...
Mal aus Security-Sicht gesprochen: IP Adressen sind kein Authentifikationsmerkmal, weil fälschbar. Punkt. Aus. Ende der Diskussion. SSH: arbeite mit Keys, keine Passwortauth. Passwortauth ist böse! HTTP: nur für öffentliche Informationen, die jeder wissen darf. Kein Schreibzugriff. HTTP im Intranet kann man gerade noch erlauben wenn es aus irgendwelchen Gründen keine andere Möglichkeit gibt. HTTPS: Client-Zertifikate, sichere Passworte und/oder Token (OTP oder U2F). Je nach Paranoia-Level. Konrad
