Datenaustausch Bereich für Kunden



  • Wir wollen ohne großen Aufwand einen Bereich schaffen in dem Daten zwischen uns und Kunden ausgetauscht werden können.

    Ich habe keine Lust einen Web-Dienst dafür zu bauen, weil es zu trivial ist.
    Der Kunde soll kleine Dateien <4kb hochladen können. Nennen wir es mal "Anfrage", die natürlich verschlüsselt sind.
    Wir sollen diese Dateien auf unserer Seite lesen und eine "Antwort" auf die Anfrage platzieren.

    Ein System für die Namen existiert. Also eigentlich hätte jede Anfrage des Kunden einen bestimmten eindeutigen Namen, und die Antwort entsprechend.

    Das simpelste wäre ein FTP Zugang. Nur kann man dort die Dateien auflisten, wenn man sich das Kennwort über einen Sniffer "ermittelt". Die Dateien sind verschlüsselt und haben für jeden Kunden einen anderen Key. Insofern kann es mir egal sein.
    Ideal wäre es wenn man dem FTP sagen könnte, Lesen darfst Du, aber nicht auflisten.

    Andere Variante wäre, für den Upload einen FTP zu benutzen, diesen immer zu putzen und für den Download einen http Zugang, der offen wäre.

    Man könnte nun Dateien hochladen, die "ich nicht will".
    Gut ein Service würde sowieso aufräumen...

    Aber vielleicht hat jemand eine viel bessere Idee. Oder es gibt was fertiges, was man auf einen existierenden Web-Server installieren kann.
    Der Zugriff von meiner Seite (Windows), wäre einfach über FTP zu regeln, aber ich könnte hier natürlich auch andere Bibliotheken einstetzen.

    Also nochmal das Prinzip:
    Kunde schickt mir Datei (<4KB)
    Ich hole Datei ab
    Und schicke dem Kunden Antwort



  • Ein Webformular, wo man nur uploaden kann, aber nicht downloaden. Das ganze passwortgeschützt, sodass Kunden ein Passwort zum Upload brauchen.

    Grund (meiner Erfahrung nach): bei Kunden ist gerne mal alles außer http(s) gesperrt. Insbesondere hatten wir früher immer erst nur sftp-Zugänge zur Verfügung gestellt (einen pro Kunde), wo der Kunde dann nur sein Verzeichnis und seine Dateien sieht. Funktioniert zwar super, aber geht nur bei technikaffinen Kunden - die anderen schaffen es nicht, sich einzuloggen. Aber bei einigen Kunden funktioniert es - und dank public key auth funktioniert sogar manchmal der automatische Datenaustausch.

    Mit einem Uploadformular hatte dagegen noch nie jemand Probleme.



  • Das klingt so trivial, dass selbst email ein akzeptables verfahren waere.



  • Hmmm. Ich würde den Upload aber gerne auch automatisieren...
    Dann müsste ich mir das auch mal anschauen. Klingt aber plausibel.



  • Das simpelste wäre ein FTP Zugang. Nur kann man dort die Dateien auflisten, wenn man sich das Kennwort über einen Sniffer "ermittelt". Die Dateien sind verschlüsselt und haben für jeden Kunden einen anderen Key. Insofern kann es mir egal sein.
    Ideal wäre es wenn man dem FTP sagen könnte, Lesen darfst Du, aber nicht auflisten.

    Naja da gäbe es ja auch alternativen wie SCP oder FTPS wo man nicht so einfach das Passwort sniffen kann:
    https://en.wikipedia.org/wiki/Secure_copy
    https://en.wikipedia.org/wiki/FTPS

    Oder einfach ein ganz normaler HTTPS Server der PUT und GET erlaubt aber nix auflistet. Der Pfad-Teil der URL sowie Username/Passwort sind dabei ja schonmal verschlüsselt, also kann man nichtmal Filenamen sniffen. Evtl. auch pro Kunden ein Verzeichnis einrichten und nur diesem Kunden Zugriff geben.


Log in to reply