Von eig. Internetseite auf lokale Daten zugreifen

[Ceemaster]

Hallo,
ich muss zugeben, dass ich mich mit diesem Thema nicht sonderlich gut auskenne und deshalb suche ich hier nach Rat. ich möchte eine Internetseite erstellen (entweder per Tool oder selber programmieren), auf der sich der Nutzer erst anmelden muss und dann ein NFC Chip auf einen Leser legen soll, um auf diese Daten zugreifen zu können und auch diese zu verändern.

Der zweite Punkt ist mein Problem. im NFC Chip sollen sich weitere Log-In Schlüssel befinden, die den zugriff auf eine weitere Datenbank ermöglichen. Allerdings soll die Internetseite regelmäßig kontrollieren, ob weiterhin die Verbindung zu dem Armband besteht (als zusätzlicher Sicherheitsschlüssel), dies ist nötig, da es sich um sehr sensibele Daten handelt.

ich hoffe eine/r von Euch/Ihnen kann mir helfen.

Ceemaster

 

[tRITON]

da es sich um sehr sensibele Daten handelt.

ich muss zugeben, dass ich mich mit diesem Thema nicht sonderlich gut auskenne

Dann solltest Du dir hierzu jemanden ins Haus holen, der sich damit auskennt.

Ich verstehe auch nicht in wie weit eine NFC-Lösung die Sicherheit erhöhen soll, abgesehen davon, dass es mir unbekannt ist, wie eine Webseite Zugriff auf eine Hardware erwirken können soll. Das wäre im krassen Gegensatz zu dem, was man genau nicht möchte. Grundsätzlich sind Webseiten verbindungslos. d.h. nach Übertragung des darzustellenden Inhaltes bauen Client und Server die Verbindung ab.

Mit einer App? Möglicherweise.

NFC -> Wenn ich dein Armband klaue, bin ich dann "Du", also die Person, die ich vorgebe zu sein? Security by obscurity

Warum geben daher alle anderen Systeme (SmartCard, Zwei-Faktor-App, Bank-Karte) ihre Daten erst raus, wenn ich eine PIN eingebe oder mich mit Fingerabdruck zu erkennen gebe? Eben damit der geheime Schlüssel nicht einfach abhanden kommt. Ein simples NFC-Tag dient eher dazu mal ein Schloss aufzusperren.

Lass dir einen Berater in die Firma kommen
Lass ein professionales Team die Seite erstellen (Haftungsgründe)
Lass deine Seite von jemand externen Prüfen, ob sie sicher ist (Pen-Tester)
Lass eine verhaltensbasierte Software nach verdächtigen Aktivitäten suchen

(Reihenfolge, in der ich die Punkte angehen würde, kannst Du ja stoppen, je nach Geldbeutel und Notwendigkeit)

 

[Ceemaster]

Das Armband soll im Gesundheitssektor Anwendung finden und kann deswegen nicht mit einer zusätzlichen Eingabe von Passwörtern o.ä. ausgestattet werden.

NFC -> Wenn ich dein Armband klaue, bin ich dann "Du", also die Person, die ich vorgebe zu sein? Security by obscurity

Die Daten sollen erst abrufbar sein, wenn eine autorisierte Person sich vorher eingeloggt hat. Sicherheit in sofern, dass die Daten erst abrufbar sind, wenn das Armband verbunden ist, anders kann auf die Daten nicht zugegriffen werden.
Finanziell haben wir leider so gut wie kein Buget, da das im Rahmen einer schulischen Arbeit stattfindet.
Aber trotzdem Danke

 

[tRITON]

Egal ob schulisch oder nicht. Sobald Du personenbezogene Daten verarbeitest und die können durch unbefugt abhanden kommen, haftest DU, also ja DU, es sei denn jemand unterschreibt Dir, das er dafür haftet, dann derjenige. Schulisch, dann ggfls. noch Daten von minderjährigen?

Im Zweifel sind das mal bis zu 20 Millionen Euro Strafe, die Du bezahlen kannst, aus deinem Sparstrumpf.

Lass es!

 

[Ceemaster]

Schulisch, dann ggfls. noch Daten von minderjährigen?

nein.
Uns wurde das Projekt vorgelegt und wir müssen jetzt gucken, wie wir das umsetzen können. Das ganze Projekt ist nicht dafür da, tatsächlich eingesetzt zu werden aber wir müssen es realisieren und das ist aktuell das Problem.

 

[tRITON]

Fein!

Dann sind die Daten auch nicht "sehr sensible" ...

Bleibt immer noch das Problem: verbindungslos ist das Client <-> Server HTTP Protokoll, daher wird das nichts ohne App oder lokal laufendes Programm, da du niemals vom Server aus den Client-Browser fragen kannst "ist mein NFC-Token noch da?" und der Browser niemals das Client-OS fragen kann "hey, gibt mal die Daten", von deinem NFC-Reader.

Auf App-Seite ist das über Push-Notifications gelöst, weil die APP, welche den NFC-Reader verwaltet und der Server der APP hier einen Service etabliert haben.

Dies kann niemals eine Webseite, oder besser nicht mehr .... ActiveX konnte so was, aber das gibt es zum Glück nicht mehr, denn ich möchte nicht, das eine Webseite meine Mikro oder meine Webcam einschalten kann.

Fertig.

 

[Der Lord]

Also mit beispielsweise Websockets lässt sich schon eine bidirektionale Verbindung aufbauen. Hier muss dann halt auf Serverseite sichergestellt werden, dass diese noch gültige Daten liefert und anderenfalls die Session killen.

Auch lässt sich über den mobilen Chrome mittels API auf NFC zugreifen. Mein letzter Stand war jedoch, dass dies noch experimentell ist, kA was sich da mittlerweile getan hat.

So oder so sind das Anforderungen, deren Umsetzung nicht gerade trivial ist und man sollte hier schon etwas Erfahrung in dem Bereich mitbringen oder stattdessen viel Zeit und Geduld. Wenn es dazu noch sehr sensible Daten sind, um die es geht, wäre auch ein Pentest am Ende sicher nicht verkehrt.