[vz-users] VZ-Absicherung - andere Idee
Klaus Reichenecker
kr at kr123.de
Sun Jan 8 16:46:45 CET 2017
Mir gehts da eigentlich weniger um die bösen Hacker auf der Welt,
sondern eher um den Kollegen, Onkel usw, dem man seine VZ-Installation
mal gezeigt hat, und der dann auf eigene Faust darin rumspielt.
Denke dafpr wäre das entfernen der Buttons absolut ausreichend
Aber ich schaue mir Eure Lösung mal an
Viele Grüße
Klaus
Am 08.01.2017 um 12:10 schrieb Andreas Goetz:
> … und ich nochmal.
>
>> On 8 Jan 2017, at 11:10, Andreas Goetz <cpuidle at gmail.com
>> <mailto:cpuidle at gmail.com>> wrote:
>>
>> Moin,
>>
>>> On 7 Jan 2017, at 11:46, china2013 at abwesend.de
>>> <mailto:china2013 at abwesend.de> wrote:
>>>
>>> Hallo Klaus,
>>>
>>> security by obscurity
>>> <https://www.google.de/?gws_rd=ssl#q=security+by+obscurity> ist
>>> leider keine Lösung, das haben schon viele lernen müssen.
>>
>> Da kann ich China nur aus vollem Herzen beipflichten. Der Ansatz hält
>> allenfalls Idiotenangriffe ab. Jedes bessere Exploit Framework wird
>> einfach auch die HTTP Methoden durchprobieren...
>>
>>> Die Schnittstelle zum Server ist ja sauber dokumentiert, also auch
>>> alle Befehle, die du keinesfalls öffentlich haben willst. Durch
>>> Wegnehmen eines Buttons im Frontend funktioniert ein "Löschen" durch
>>> Dritte weiterhin genauso gut.
>>
>> Lösen lässt sich das trotzdem mit
>> https://github.com/volkszaehler/volkszaehler.org/pull/551
>>
>> Per Default wird da nur auch IP gefiltert (intern darf, extern
>> braucht User).
>>
>> Genau könnten wir aber zusätzlich auf HTTP Methode filtern:
>> - intern darf
>> - extern GET (=lesen) darf
>> - extern PUT/PATCH/POST/DELETE braucht User
>>
>> Das lässt sich bereits jetzt per Config bewerkstelligen. Das Einzige
>> was fehlt ist dass wir den ?operation=xyz Parameter verbieten oder
>> transparent in die Konfiguration mit einbeziehen da der anderenfalls
>> via GET Request alles überschreiben kann.
>>
>> Wenns das braucht um dieses Feature vielleicht endlich zu mergen dann
>> setze ich mich da gerne ran.
>
> Ist jetzt auch eingebaut, siehe
> https://github.com/volkszaehler/volkszaehler.org/pull/551/commits/082f0e09b05a53de539da4257de294b2045b5ae9#diff-5678dd63d630800c5b71c1f1d1d2f674L142
>
>>
>>>
>>> Viele Grüße
>>
>> Viele Grüße,
>> Andreas
>>
>>> ------------------------------------------------------------------------
>>>
>>> Am 06.01.2017 um 13:14 schrieb Klaus Reichenecker:
>>>> Ich habe meine VZ-Installation auch öffentlich erreichbar, direkt
>>>> über eine URL.
>>>>
>>>> Es stört mich nicht, wenn jetzt irgendjemand auf der Welt weiss,
>>>> wie warm es in meinem Bad ist.
>>>>
>>>> Die einzige Sorge die ich habe ist, dass jemand aus Spass Kanäle
>>>> löscht oder ändert.
>>>>
>>>> Deshalb: wäre es nicht am einfachsten, eine 2. Version des Frontend
>>>> zu haben, bei der es einfach den Info-/ bearbeiten-Button nicht gibt?
>>>>
>>>> Dieses Version wäre dann die über eine einfache URL zu
>>>> erreichende, die andere mit Edit-Möglichkeiten ist dann versteckt ?
>>>>
>>>>
>>>> Viele Grüße
>>>> Klaus
>>>
>>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20170108/e2b6b271/attachment-0001.html>
More information about the volkszaehler-users
mailing list