Erweitere iButtons für Laser etc.

[anlumo]

• Generalisierung der Laserauth auf andere Dinge (has_lazzzor_privileges)
  • Drehbank, Elektronikkammerl, Prusa XL, Eingangstür, etc etc etc
  • needs Admin interface
    • neue Privileges anlegen, mit username+passwort
    • Checkbox pro User: hat Privilege
  • Anzeige auf eigenen Userseite, welche Privileges der User hat
• Wie iButton ID vom MOS abfragen?
  • CSV: ibuttonid,username\n
  • getrennter Endpoint pro Freischaltesystem
  • https://metalab.at/member/privilegelist?privilege=prusaxl mit BASIC AUTH
  • Userdaten Privilege-spezifisch im Admin-Interface

[qbe]

heisst das, das MOS liefert eine Liste von ibuttonIDs aus ?

[luto]

Wie aktuell bei der Tür auch, ja.

[qbe]

wieso nicht gehasht & gesalzen ?

[luto]

Geht auch, ist aber bei der Art wie wir die iButtons verwenden alles nur security theater.

[qbe]

eh. Um das zu improven bräuchten wir implementierte Crypto in der Door, und dann müssen die User jeweils einmal bei einem Gerät vorbei was das signing oder wie auch immer macht.

Ich fänds halt komisch bervor wir sowas haben die IDs (die ja momentan das einzige Secret sind) weiter zu verteilen.

[qbe]

challenge / response funktioniert bei der Door halt nicht weil die das cachen muss.

[luto]

Was anderes als die IDs haben wir nicht, also werden wir bei Laser und Prusa XL mit den IDs arbeiten müssen.

[qbe]

Deswegen mein Vorschlag sie zu hashen. Damit es nicht noch mehr Punkte gbit wo die Secrets im Klartext abgegriffen werden können.

[luto]

Ich bau kein eigenes custom challenge-response auf dem wackeligen ID-System auf. Wenn die Anforderung ist, dass man iButtons nicht clonen können darf, bitte auf das challenge-response, das die Dinger eh schon können, umsteigen. Das ist aber out of scope für dieses Issue.

[anlumo]

Naja, salten und hashen kann man ohne challenge/response auch, so wie /etc/shadow auf Linux halt.

[qbe]

Das war genau was ich meinte.

[anlumo]

Der Search Space ist halt so klein, dass es vielleicht nicht viel Sinn macht, nachdem man den vermutlich in Sekunden komplett durchsuchen kann.

[luto]

Genau das, ja :) aber ich wollte jetzt hier nicht den kompletten Angriff öffentlich skizzieren 😅 so einfach wie er ist, ist es aber vielleicht auch egal.

[luto]

Works like this now to get a list of keys:

curl https://metalab.at/things/keys/THING -H 'X-TOKEN: get_this_from_vorstand'

Ask the vorstand for both THING and get_this_from_vorstand values after this has been deployed.