[vz-users] VZ-Absicherung - andere Idee

Andreas Goetz cpuidle at gmail.com
Sun Jan 8 12:10:04 CET 2017 

… und ich nochmal.

> On 8 Jan 2017, at 11:10, Andreas Goetz <cpuidle at gmail.com> wrote:
> 
> Moin,
> 
>> On 7 Jan 2017, at 11:46, china2013 at abwesend.de <mailto:china2013 at abwesend.de> wrote:
>> 
>> Hallo Klaus,
>> 
>> security by obscurity <https://www.google.de/?gws_rd=ssl#q=security+by+obscurity> ist leider keine Lösung, das haben schon viele lernen müssen.
> 
> Da kann ich China nur aus vollem Herzen beipflichten. Der Ansatz hält allenfalls Idiotenangriffe ab. Jedes bessere Exploit Framework wird einfach auch die HTTP Methoden durchprobieren...
> 
>> Die Schnittstelle zum Server ist ja sauber dokumentiert, also auch alle Befehle, die du keinesfalls öffentlich haben willst. Durch Wegnehmen eines Buttons im Frontend funktioniert ein "Löschen" durch Dritte weiterhin genauso gut.
> 
> Lösen lässt sich das trotzdem mit https://github.com/volkszaehler/volkszaehler.org/pull/551 <https://github.com/volkszaehler/volkszaehler.org/pull/551>
> 
> Per Default wird da nur auch IP gefiltert (intern darf, extern braucht User). 
> 
> Genau könnten wir aber zusätzlich auf HTTP Methode filtern:
>   - intern darf
>   - extern GET (=lesen) darf
>   - extern PUT/PATCH/POST/DELETE braucht User
> 
> Das lässt sich bereits jetzt per Config bewerkstelligen. Das Einzige was fehlt ist dass wir den ?operation=xyz Parameter verbieten oder transparent in die Konfiguration mit einbeziehen da der anderenfalls via GET Request alles überschreiben kann.
> 
> Wenns das braucht um dieses Feature vielleicht endlich zu mergen dann setze ich mich da gerne ran.

Ist jetzt auch eingebaut, siehe https://github.com/volkszaehler/volkszaehler.org/pull/551/commits/082f0e09b05a53de539da4257de294b2045b5ae9#diff-5678dd63d630800c5b71c1f1d1d2f674L142

> 
>> 
>> Viele Grüße
> 
> Viele Grüße, 
> Andreas
> 
>> 
>> Am 06.01.2017 um 13:14 schrieb Klaus Reichenecker:
>>> Ich habe meine VZ-Installation auch öffentlich erreichbar, direkt über eine URL. 
>>> 
>>> Es stört mich nicht, wenn jetzt irgendjemand auf der Welt weiss, wie warm es in meinem Bad ist. 
>>> 
>>> Die einzige Sorge die ich habe ist, dass jemand aus Spass Kanäle löscht oder ändert. 
>>> 
>>> Deshalb: wäre es nicht am einfachsten, eine 2. Version des Frontend zu haben, bei der es einfach den Info-/ bearbeiten-Button nicht gibt? 
>>> 
>>> Dieses Version wäre dann  die über eine einfache URL zu erreichende, die andere mit Edit-Möglichkeiten ist dann versteckt ? 
>>> 
>>> 
>>> Viele Grüße 
>>> Klaus 
>> 
> 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20170108/eca4d78f/attachment.html>

More information about the volkszaehler-users mailing list