Zum Hauptinhalt springen
Craft MCP-Tools sind durch mehrere Sicherheitsebenen geschützt, damit deine Inhalte sicher bleiben und gleichzeitig für die Tools zugänglich sind, denen du Zugriff gewährst.

Sicherheitsebenen

1. Space-basierte MCP-Serververwaltung

MCP-Server sind an Spaces gebunden, sodass nur angemeldete Craft-Nutzer mit Zugang zu einem bestimmten Space dessen MCP-Einstellungen verwalten können. Bei einem Einzelplan bist nur du derjenige, der deine MCP-Server verwalten kann. Jeder MCP-Link enthält eine kryptografisch sichere, nicht erratbare Zeichenfolge. Das funktioniert automatisch ohne zusätzliche Konfiguration. Selbst ohne Passwortschutz (z. B. “public” Zugriff) können deine MCP-Verbindungen nur von Personen genutzt werden, mit denen du die URL explizit teilst oder die Zugriff auf den betreffenden Space haben.

3. Optionaler Passwortschutz (OAuth 2.0)

Wenn du befürchtest, die URL versehentlich preiszugeben, kannst du Passwortschutz hinzufügen. Lege ein Passwort auf der Imagine page fest – du musst es beim ersten Verbinden deines MCP-Clients (z. B. ChatGPT, Claude) eingeben.
Manche MCP-Clients fragen nach einer “OAuth Client ID” und einem “OAuth Client Secret.” Du kannst diese Felder für Craft MCPs leer lassen. Unser Passwortschutz verwendet OAuth 2.0 mit dynamischer Client-Registrierung, sodass außer der URL und dem Passwort keine vorkonfigurierten Zugangsdaten nötig sind.
Wir haben uns für passwortbasierte Authentifizierung entschieden, weil andere OAuth-Methoden (wie vorab geteilte Client-Secrets) aus UX-Sicht weniger bequem wirkten, während die passwortbasierte Authentifizierung trotzdem zwei Geheimnisse bietet (den geheimen Link und das Passwort).

4. Lese-/Schreibberechtigungen

Du kannst Agenten auf nur Lese- oder nur Schreiboperationen beschränken und damit einschränken, welche Aktionen sie ausführen dürfen.

5. Einschränkung des Zugriffsumfangs

Du kannst den Zugriff eines Agenten auf folgende Bereiche beschränken:
  • Eine vordefinierte Auswahl an Dokumenten
  • Tägliche Notizen und Aufgaben in einem Space
  • Bestimmte Ordner (v3.3.5+)
  • Dokumente, die bestimmten Suchkriterien entsprechen (v3.3.5+)

Schutz für eingebettete Inhalte

Diese Sicherheitsebenen schützen auch Inhalte innerhalb deiner Dokumente, einschließlich Links zu Dateien und Bildern. Da Dateien und Bilder keine separate Authentifizierung haben (aufgrund begrenzter MCP-Client-Unterstützung), können ihre nicht erratbaren Links erst nach der Authentifizierung am MCP-Server abgerufen werden. Die Links zu Dateien und Bildern werden jedes Mal neu erzeugt, wenn du das Passwort deines MCP-Servers änderst, sodass zuvor geteilte Links ungültig werden.

Empfehlungen

  • Verwende Passwortschutz für MCP-Verbindungen, die auf sensible Inhalte zugreifen
  • Überprüfe regelmäßig und wechsele/rotiere MCP-Passwörter
  • Beschränke den Verbindungsumfang auf nur die benötigten Dokumente
  • Verwende Lesezugriff, wenn Schreibzugriff nicht erforderlich ist
  • Überwache die Nutzung von MCP-Verbindungen in den Einstellungen deines Space