[vz-users] VZ installieren mit Apache 2.4

Frank Richter frank.richter83 at gmail.com
Sun Dec 10 22:07:51 CET 2017


Am 10.12.2017 21:57 schrieb "Klaus Reichenecker" <kr at kr123.de>:

> Wenn dein DB-User vz keine Delete-Rechte hat, kann man im Frontend oder
per API keine Kanäle löschen. Wenn du doch mal was löschen musst, machst du
das eben via phpmyadmin o.ä.

Danke Frank, die Idee ist genial :-)
Dann kopiee ich 2 x VZ auf meinen Webspace, 2 unterschiedliche User für
mysql
- 1 x easy.abc.de mit nur  Leserechten
- 1 x geheim.schwieriges.passwort.abc.de mit allen Rechten

Müsste doch so funktionieren?


Das ist halt security trough obscurity - sehr umstritten...
Wie oft musst du denn was löschen? Ich würde mir Installation 2 sparen und
löschen über die DB machen.

 > Und wenn du nicht deine Hauptgruppe, sondern die Untergruppen abonniert,
kannst du steuern ob sie aktiv oder inaktiv sind (letzter Zustand wird
gespeichert).

Muss ich halt alle Untergruppen auf öffentlich setzen, der letzte Zustand
wird dann aber lokal über Cookie gespeichert? Da spielt es keine Rolle ob
ich im VZ Schreibrechte habe?


Geschrieben werden nur deine Cookies, DB-Rechte sind da wurscht.

 Viele Grüße

Klaus


Gruß
Frank


----- Original Message -----
*From:* Frank Richter <frank.richter83 at gmail.com>
*To:* volkszaehler.org - users <volkszaehler-users at demo.volkszaehler.org>
*Sent:* Sunday, December 10, 2017 9:46 PM
*Subject:* Re: [vz-users] VZ installieren mit Apache 2.4

Wenn dein DB-User vz keine Delete-Rechte hat, kann man im Frontend oder per
API keine Kanäle löschen. Wenn du doch mal was löschen musst, machst du das
eben via phpmyadmin o.ä.

Und wenn du nicht deine Hauptgruppe, sondern die Untergruppen abonniert,
kannst du steuern ob sie aktiv oder inaktiv sind (letzter Zustand wird
gespeichert).

Gruß
Frank

Am 10.12.2017 21:29 schrieb "Klaus Reichenecker" <kr at kr123.de>:

> Danke,
> habe es jetzt glaube ich verstanden :-)
>
> Wenn ich meine Hauptgruppe "öffentlich" mache kann ich zumindest durch
> abonnieren von Dieser wieder alle meine Kanäle sehen
>
> Nur leider sind jetzt alle ausgeklappt.
>
> Mir ist klar, das was ich mache ist generell ein Sicherheitsrisiko
>
> Ich erinnere mich dunkel, es gab mal hier eine Diskussion, mir wäre es
> zugeben am liebsten ich hätte eine VZ-/Frontend -Version bei der man keine
> Kanäle löschen oder verschieben kann, würde dann einfach beide
> installieren, eine leicht auffindbare und eine gut versteckte
>
> Bald ist ja Weihnachten :-)
>
> Spass, ich weiss ihr habt da lange diskutiert und es so wie es jetzt ist
> für richtig befunden
>
> Viele Grüße
>
> Klaus
>
>
>
>
> ----- Original Message ----- From: "Daniel Lauckner" <vz at jahp.de>
> To: "volkszaehler.org - users" <volkszaehler-users at demo.volkszaehler.org>
> Sent: Sunday, December 10, 2017 9:19 PM
> Subject: Re: [vz-users] VZ installieren mit Apache 2.4
>
>
> Hallo,
>
>
> am Sonntag, 10. Dezember 2017 um 20:57 hat Klaus Reichenecker geschrieben:
>
>> Bei der neuen Version kann ich Kanal hinzufügen -  öffentliche Kanäle -
>> Middleware: local
>> Was ist in diesem Zusammenhang ein öffentlicher  Kanal?
>>
>
> Öffentliche Kanäle gabs schon immer, nur die Reihenfolge der Reiter
> ist jetzt anders.
> Solche Kanäle kannst du bequem übers Frontend abonnieren ohne dir die
> UUID merken zu müssen, sie werden dir in dem genannten Reiten in der
> Drop-Down-Liste angeboten. Das ist zwar schön bequem, aber in deinem
> Fall ein Sicherheitsrisiko.
>
>
> Andi hat in seinem Fork einen Branch der auch Zugriffskontrolle
> (Benutzer + Passwort) hat. Um das sinnvoll einsetzen zu können musst
> du aber mit https (Verschlüseleung) aktivieren und, wenn du nicht
> ständig auf fehlende Zertifikate hingewiesen werden willst, jedes Jahr
> ein neues Serverzertifikat erstellen lassen.
>
>
> mfg Daniel
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20171210/31e841a2/attachment-0001.html>


More information about the volkszaehler-users mailing list