<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 10, 2014 at 12:52 PM, Gavin Panella <span dir="ltr"><<a href="mailto:gavin.panella@canonical.com" target="_blank">gavin.panella@canonical.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 10 October 2014 11:04, Andres Rodriguez <...> wrote:<br>
...<br>
<span class="">> What was discussed this week is that the cluster page should be able<br>
> to generate a token and use that token to tell the cluster to register<br>
> to the region. We can have a show shared secret or token that will be<br>
> used for registration. The command line should also be there but also<br>
> UI.<br>
<br>
</span>Yeah, we discussed that earlier this week, but I've had time to think<br>
since then. Transmitting the secret over the network even for the web UI<br>
seriously diminishes the trust we can place in that secret. I think we<br>
should discuss this before doing it, because once it's done it can't be<br>
undone.<br></blockquote><div><br></div><div>The data that is sent from the cluster to the region is already not encrypted so you could just sniff that connection and get that key, so that is already insecure. Also since we serve the web UI over http and not https, makes logging it just as easy to sniff the username and password to login as admin to make any changes you want. Showing the token in the WebUI is just as insecure as allowing someone to login without https. If you want security we need to redirect all web traffic to https.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
...<br>
<span class="">> What was discussed this week was essentially creating a token on the<br>
> Region Cluster Page, and use that token to register the cluster with<br>
> the region. The shared secret seems to be this token for the time<br>
> being. Right?<br>
<br>
</span>It is that token, yes.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
Mailing list: <a href="https://launchpad.net/~maas-devel" target="_blank">https://launchpad.net/~maas-devel</a><br>
Post to     : <a href="mailto:maas-devel@lists.launchpad.net">maas-devel@lists.launchpad.net</a><br>
Unsubscribe : <a href="https://launchpad.net/~maas-devel" target="_blank">https://launchpad.net/~maas-devel</a><br>
More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>
</div></div></blockquote></div><br></div></div>