[vz-users] VZ installieren mit Apache 2.4
Frank Richter
frank.richter83 at gmail.com
Sun Dec 10 22:28:20 CET 2017
Bei MySQL ist DELETE ein eigenes Privilege. Schau dir mal an wie es beim
Image bzw. einer Standardkonfiguration vom Installscript gemacht ist.
Wenn der von der Middleware verwendete User in den Tabellen entities und
data nicht löschen darf, kann man im Frontend nicht sooo viel Schaden
anrichten. Für entities_in_aggregator muss Löschen erlaubt sein, sonst
kannst du die Gruppen nicht mehr ändern.
Gruß
Frank
Am 10.12.2017 22:18 schrieb "Klaus Reichenecker" <kr at kr123.de>:
> >Das ist halt security trough obscurity - sehr umstritten...
> ich weiss, aber zumindest sicherer als jetzt
> meine VZ-Daten sind nicht geheim, soll halt jemand wissen wieviel Grad es
> im Wohnzimmer hat
> Will nur nicht das mir jemand aus Spass Kanäle löscht
>
>
> >Wie oft musst du denn was löschen? Ich würde mir Installation 2 sparen
> und löschen über die DB machen.
>
> Löschen nicht, aber neuen Kanal anlegen und dann in Gruppe einordnen, das
> geht ja dann auch nicht mehr?
> Ich kenne nur die Rechte lesen / schreiben / ausführen, gibt es in mysql
> explizit schreiben, aber nicht löschen?
>
>
>
>
>
> ----- Original Message -----
> *From:* Frank Richter <frank.richter83 at gmail.com>
> *To:* volkszaehler.org - users <volkszaehler-users at demo.volkszaehler.org>
> *Sent:* Sunday, December 10, 2017 10:07 PM
> *Subject:* Re: [vz-users] VZ installieren mit Apache 2.4
>
>
>
> Am 10.12.2017 21:57 schrieb "Klaus Reichenecker" <kr at kr123.de>:
>
> > Wenn dein DB-User vz keine Delete-Rechte hat, kann man im Frontend oder
> per API keine Kanäle löschen. Wenn du doch mal was löschen musst, machst du
> das eben via phpmyadmin o.ä.
>
> Danke Frank, die Idee ist genial :-)
> Dann kopiee ich 2 x VZ auf meinen Webspace, 2 unterschiedliche User für
> mysql
> - 1 x easy.abc.de mit nur Leserechten
> - 1 x geheim.schwieriges.passwort.abc.de mit allen Rechten
>
> Müsste doch so funktionieren?
>
>
> Das ist halt security trough obscurity - sehr umstritten...
> Wie oft musst du denn was löschen? Ich würde mir Installation 2 sparen und
> löschen über die DB machen.
>
> > Und wenn du nicht deine Hauptgruppe, sondern die Untergruppen
> abonniert, kannst du steuern ob sie aktiv oder inaktiv sind (letzter
> Zustand wird gespeichert).
>
> Muss ich halt alle Untergruppen auf öffentlich setzen, der letzte Zustand
> wird dann aber lokal über Cookie gespeichert? Da spielt es keine Rolle ob
> ich im VZ Schreibrechte habe?
>
>
> Geschrieben werden nur deine Cookies, DB-Rechte sind da wurscht.
>
> Viele Grüße
>
> Klaus
>
>
> Gruß
> Frank
>
>
> ----- Original Message -----
> *From:* Frank Richter <frank.richter83 at gmail.com>
> *To:* volkszaehler.org - users <volkszaehler-users at demo.volkszaehler.org>
> *Sent:* Sunday, December 10, 2017 9:46 PM
> *Subject:* Re: [vz-users] VZ installieren mit Apache 2.4
>
> Wenn dein DB-User vz keine Delete-Rechte hat, kann man im Frontend oder
> per API keine Kanäle löschen. Wenn du doch mal was löschen musst, machst du
> das eben via phpmyadmin o.ä.
>
> Und wenn du nicht deine Hauptgruppe, sondern die Untergruppen abonniert,
> kannst du steuern ob sie aktiv oder inaktiv sind (letzter Zustand wird
> gespeichert).
>
> Gruß
> Frank
>
> Am 10.12.2017 21:29 schrieb "Klaus Reichenecker" <kr at kr123.de>:
>
>> Danke,
>> habe es jetzt glaube ich verstanden :-)
>>
>> Wenn ich meine Hauptgruppe "öffentlich" mache kann ich zumindest durch
>> abonnieren von Dieser wieder alle meine Kanäle sehen
>>
>> Nur leider sind jetzt alle ausgeklappt.
>>
>> Mir ist klar, das was ich mache ist generell ein Sicherheitsrisiko
>>
>> Ich erinnere mich dunkel, es gab mal hier eine Diskussion, mir wäre es
>> zugeben am liebsten ich hätte eine VZ-/Frontend -Version bei der man keine
>> Kanäle löschen oder verschieben kann, würde dann einfach beide
>> installieren, eine leicht auffindbare und eine gut versteckte
>>
>> Bald ist ja Weihnachten :-)
>>
>> Spass, ich weiss ihr habt da lange diskutiert und es so wie es jetzt ist
>> für richtig befunden
>>
>> Viele Grüße
>>
>> Klaus
>>
>>
>>
>>
>> ----- Original Message ----- From: "Daniel Lauckner" <vz at jahp.de>
>> To: "volkszaehler.org - users" <volkszaehler-users at demo.volkszaehler.org>
>> Sent: Sunday, December 10, 2017 9:19 PM
>> Subject: Re: [vz-users] VZ installieren mit Apache 2.4
>>
>>
>> Hallo,
>>
>>
>> am Sonntag, 10. Dezember 2017 um 20:57 hat Klaus Reichenecker geschrieben:
>>
>>> Bei der neuen Version kann ich Kanal hinzufügen - öffentliche Kanäle -
>>> Middleware: local
>>> Was ist in diesem Zusammenhang ein öffentlicher Kanal?
>>>
>>
>> Öffentliche Kanäle gabs schon immer, nur die Reihenfolge der Reiter
>> ist jetzt anders.
>> Solche Kanäle kannst du bequem übers Frontend abonnieren ohne dir die
>> UUID merken zu müssen, sie werden dir in dem genannten Reiten in der
>> Drop-Down-Liste angeboten. Das ist zwar schön bequem, aber in deinem
>> Fall ein Sicherheitsrisiko.
>>
>>
>> Andi hat in seinem Fork einen Branch der auch Zugriffskontrolle
>> (Benutzer + Passwort) hat. Um das sinnvoll einsetzen zu können musst
>> du aber mit https (Verschlüseleung) aktivieren und, wenn du nicht
>> ständig auf fehlende Zertifikate hingewiesen werden willst, jedes Jahr
>> ein neues Serverzertifikat erstellen lassen.
>>
>>
>> mfg Daniel
>>
>>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20171210/49e697f3/attachment-0001.html>
More information about the volkszaehler-users
mailing list