Threema-Forum.de
Threema Safe: "User Agent Validation" - Druckversion

+- Threema-Forum.de (https://threema-forum.de)
+-- Forum: Threema, News & Hilfe (https://threema-forum.de/forum-3.html)
+--- Forum: Tipps und Tricks (https://threema-forum.de/forum-21.html)
+--- Thema: Threema Safe: "User Agent Validation" (/thread-4488.html)



Threema Safe: "User Agent Validation" - mibere - 08.02.2019.

Im Cryptography Whitepaper befindet sich für Threema Safe folgender Abschnitt

Zitat:User Agent Validation
All requests from a real Threema app contain a user agent header containing the string “Threema”. If the user
agent does not contain that string, HTTP 400 SHOULD be returned by the server.

Dafür erstellt man im Ordner backups (siehe hier) eine .htaccess mit diesem Inhalt

Code:
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} !Threema
RewriteRule .* - [R=400,L]



RE: Threema Safe: "User Agent Validation" - rugk - 08.02.2019.

Man benötigt ja sowieso noch einen Server dahinter, der die eigentlichen Daten abspeichert. Und sekursranko hat diese Verifizierung z.B. schon eingebaut, da ist das also nicht unbedingt nötig. Aber eventuell ist es recht hilfreich in Verbindung mit Nextcloud o.ä.


RE: Threema Safe: "User Agent Validation" - mibere - 09.02.2019.

Ich verwende Threema Safe mittlerweile über WebDAV meines Hosters. Im Ordner, in dem das Backup erstellt wird, habe ich o.g. .htaccess liegen. Versucht man nun bspw. per Browser auf diesen Ordner zuzugreifen, so wird der Zugriff unterbunden. Dieser Mechanismus greift selbst dann, wenn man das WebDAV-Login überwunden hat.


RE: Threema Safe: "User Agent Validation" - rugk - 10.02.2019.

(09.02.2019., 13:54)mibere schrieb: Versucht man nun bspw. per Browser auf diesen Ordner zuzugreifen, so wird der Zugriff unterbunden.

Ja okay, anhand des User-Agents ist das natürlich keine schlechte Idee bzw. schadet nicht, aber man muss natürlich ganz klar sagen, dass es in Sachen Security jetzt auch nicht wirklich signifikant hilft, weil User-Agents kann ja jeder fälschen/setzen, wie man will. Aber falls jemand zufällig über die Seite stolpert, hilft es sicher, ja… Zwincker


RE: Threema Safe: "User Agent Validation" - Husky - 14.03.2019.

Wie macht man das bei 'nem NGinX anstelle eines Apache? Der kann kein .htaccess ...