[Fienchengarage] Fienchen-Buchungssoftware

Stefan Kinzel stefan at kinzel.net
Do Jun 20 14:16:25 CEST 2019


Hallo zusammen,

> [...]
> All diese Situationen sind mit OTPs die Hölle, weil man entweder ein
> komplexes Interface im Web bauen muss, was all diese Dinge abfängt, oder
> es muss irgendein Operator erreichbar sein, um die Probleme abzufangen,
> was ehrenamtlich nicht trivial ist.

Oder man lässt die Pin einfach für den gesamten Buchungszeitraum gültig
(+evtl. 15/30/60 min darüber hinaus). Damit sollten die Probleme
eigentlich nicht mehr auftreten und einen besonderen Nachteil sehe ich
dort nicht - im Gegenteil: Der Benutzer kann das Rad sogar
zwischenzeitlich in der Garage wieder unterstellen, falls er es z.B.
über Nacht nicht braucht und keinen geeigneten Abstellplatz hat.

> [...]
> Beide Wege haben zwei Faktoren, beide Wege sind offline machbar, und
> beide Wege haben nur einen einzigen realistischen Angriffsvektor: jemand
> bekommt Zugriff auf das Online-Konto und setzt die PIN zurück. Dann
> könnte er nämlich mit den Funktionen im Nutzer-Web-Frontend z.B. den
> QR-Code auf ein anderes Gerät runterladen und den PIN ändern.

Wenn ich Zugriff auf das Online-Konto bekomme - was hindert mich dann
daran, auch die Handynummer zu ändern?

Ich sehe hier noch einen Angriffsvektor: Diebstahl des RPIs. Im Falle
statischer Zugangsdaten müssten die Zugangsdaten zu allen Accounts
zurückgesetzt werden.

Ich halte eine Kombination aus Benutzername (bzw. Benutzer-ID) und OTP
für die Ausleihe für sinnvoll. Eine beliebige RFID-Karte damit zu
koppeln könnte man als Komfort-Funktion einbauen, diese würde dann die
Benutzer-ID ersetzen.

>> Und ich denke Netzwerkverbindung braucht es sowieso relativ regelmäßig, egal ob man top/tans benutzt oder nicht.

Sehe ich auch so.

>>> Wird der Client in der Garage ohne Netzwerkverbindung zum Server realisiert, gibt es keine Rückmeldung, ob und wann ein Rad wirklich ausgeliehen wurde (aus Datenschutzsicht ist das allerdings auch wiederum ein Vorteil. Die Türöffnungsvorgänge könnten zudem auch in der Garage geloggt werden und nur bei Bedarf (Diebstahl, Vandalius) ausgelesen werden).

Das Log wäre dann aber potentiell ebenfalls beschädigt/weg. Also
entweder darauf verzichten oder extern ablegen - möglichst für einen
sehr begrenzten Zeitraum.

Noch eine Idee: Man könnte den Fahrradschlüssel mit einem
RFID-Schlüsselanhänger versehen und eine entsprechende Halterung (z.B.
sowas: [1]) bauen. Bei der Rückgabe müsste der Schlüssel wieder in die
Halterung gesteckt werden. Vorteil: Man weiß, ob das Rad gerade in der
Garage steht und der Ausleiher wird nicht vergessen, den Schlüssel
wieder abzugeben (oder man kann ihn/einen Ansprechpartner automatisch
daran erinnern).

Gruß
Stefan


[1]: https://www.thingiverse.com/thing:3242266

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.devtal.de/pipermail/fienchengarage/attachments/20190620/7292287e/attachment.sig>


Mehr Informationen über die Mailingliste Fienchengarage