Autor Thema: Ich wünsche mir das die FHEM User etwas aufmerksamer werden  (Gelesen 2016 mal)

Offline Beta-User

  • Hero Member
  • *****
  • Beiträge: 1079
  • Hausaufgaben schon gemacht?
    • Perpetual beta
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #15 am: 03 März 2017, 11:48:10 »
Danke für die Klarstellungen.
Dass es neben der aktuellen Version immer die Möglichkeit gibt, Module von updates auszuschließen und/oder die Entwicklerversionen einzuspielen, war schon klar, aber im Kern gibt es also für den normalen Anwender nur die eine aktuelle Version, und es ist auch (wieder nur der Tendenz nach) empfehlenswert, diese zu nutzen.

Da es neulich zum Thema debian-Paket ja auch schon einige reichlich schräge und mehrfache Posts gab:
Die update- und FeatureLevel-Systematik scheint bei weitem nicht jedem User geläufig zu sein, selbst wenn manche hier das bereits zum 2. oder 3. Mal mitmachen. Mal wieder ein Wunsch dazu: Hier wären eine systematische Darstellung im Wiki evtl. hilfreich. Sofern es sowas bereits geben sollte: Es steht jedenfalls nicht an prominenter Stelle, mindestens bei den FAQ hätte ich es vermutet oder als Link in den Änderungshinweisen oben rechts auf den Forumsseiten (jedenfalls manche Leute lesen sowas ;), @Thorsten: manche warten bei entsprechenden Warnsignalen dann auch erst mal ab bis die ersten Bauchschmerzen vorbei sind).

Gruß, Beta-User
Ubuntu 16.04@ARM-TV-Box | ConfigDB | VCCU | MySensors seriell (2.1.1) | DS18B20@MySensors | Milight@ESP-GW | SIGNALduino

Offline Wuppi68

  • Developer
  • Hero Member
  • ****
  • Beiträge: 1324
  • Wuppertaler Wimpelbeauftragter
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #16 am: 03 März 2017, 11:51:22 »
wäre es da nicht sinnvoll ein eigenes Unterforum unter FHEM einzurichten?

ohne Rudis Beispiel:
<img src="http://192.168.178.1+N:8083/fhem?cmd=set .* off">
war mir Inhaltlich zwar schon klar geworden aber zu Abstrakt um einen direkten Praxisbezug herzustellen :-(

Nach dem Beispiel muss ich Millionär geworden sein, so wie die Groschen gefallen sind
Jetzt auf nem I3 und primär Homematic

kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

Online CoolTux

  • Developer
  • Hero Member
  • ****
  • Beiträge: 8623
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #17 am: 03 März 2017, 11:59:42 »
Naja ich finde das ja auch total lieb von Rudi das so klar zu stellen. Aber seien wir mal ehrlich, es handelt sich hierbei um einen Exploit. Also quasi eine fertig zusammengebaute, geladene und entsicherte Waffe. Mal kurz drüber nachdenken bitte.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.me/MOldenburg
Mein GitHub: https://github.com/LeonGaultier

Offline Thorsten Pferdekaemper

  • Developer
  • Hero Member
  • ****
  • Beiträge: 3851
  • Finger weg von der fhem.cfg
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #18 am: 03 März 2017, 12:04:44 »
Naja ich finde das ja auch total lieb von Rudi das so klar zu stellen. Aber seien wir mal ehrlich, es handelt sich hierbei um einen Exploit. Also quasi eine fertig zusammengebaute, geladene und entsicherte Waffe. Mal kurz drüber nachdenken bitte.
https://www.amazon.de/Physiker-Eine-Kom%C3%B6die-zwei-Akten/dp/3257230478
Gruß,
   Thorsten
RasPi
Heizkessel-Steuerung per Arduino und HTTPMOD
und einen Haufen Homematic (Wired)
Gefällt mir Gefällt mir x 2 Liste anzeigen

Offline herrmannj

  • Global Moderator
  • Hero Member
  • ****
  • Beiträge: 3980
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #19 am: 03 März 2017, 12:23:41 »
Naja ich finde das ja auch total lieb von Rudi das so klar zu stellen. Aber seien wir mal ehrlich, es handelt sich hierbei um einen Exploit. Also quasi eine fertig zusammengebaute, geladene und entsicherte Waffe. Mal kurz drüber nachdenken bitte.
imho mehr als völlig in Ordnung!

Ist doch usus das man die Existenz einer Bedrohung demonstriert. Und es ist eben *kein* exploit weil fhem im Auslieferungszustand das Token setzt. Rudi demonstriert WAS passieren kann (da geht noch mehr ;) ) wenn man das token auf "none" setzt. Wir haben ja auch einige threads hier die den Tenor setzen "wozu das denn?".-> Qed !

vg
joerg
smartVisu mit fronthem, einiges an HM, RFXTRX, Oregon, CUL, Homeeasy, ganz viele LED + Diverse

Offline Thyraz

  • Full Member
  • ***
  • Beiträge: 332
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #20 am: 03 März 2017, 12:37:56 »
Naja ich finde das ja auch total lieb von Rudi das so klar zu stellen. Aber seien wir mal ehrlich, es handelt sich hierbei um einen Exploit. Also quasi eine fertig zusammengebaute, geladene und entsicherte Waffe. Mal kurz drüber nachdenken bitte.

Den Enthusiamus in allen Ehren, aber wie viele Monate bzw. Jahre gab es das Feature schon in FHEM bevor es mit FeatureLevel 5.8 per Standard gesetzt wurde?
Und nun mal Hand hoch wie viele das schon lang vor 5.8 händisch bei sich aktiviert hatten. :P
Strecken da außer Rudi noch ein paar? ;)

Dafür finde ich den aufgeregten Tonfall mit dem hier Neulinge in manchen Threads angegangen werden schon etwas fragwürdig.

Man stelle sich vor, man macht ein Update und plötzlich funktioniert die gesamte Bedienoberfläche, welche die Familie benutzt nicht mehr (z.B. FTUI) oder Ähnliches.
Das ich hier dann erstmal einen schnellen Fix suche ist doch durchaus verständlich.
(Auch wenn ich bei sowas normal eher den Weg eines Restores meinem FHEM Updates wählen und dann bei etwas mehr Freizeit Ursachenforschung betreiben würde.)

Wenn derjenige dann liest, dass das Feature schon seit Ewigkeiten ausgeschaltet existiert, dann hätte ich auch wenig Bauchschmerzen das Ganze nochmal ein paar Tage zu deaktiveren.
Nicht jeder im Forum kann soviel Zeit in sein Smart Home stecken wie viele von uns das tun.

Ich äußere hiermit zusätzlich zum Wunsch nach mehr Aufmerksamkeit der User noch den Wunsch nach mehr Gelassenheit im Umgang miteinander ;)

Wie gesagt, wenn zu Beginn schon eine etwas ausführlichere Erklärung zum Ganzen existiert hätte wären evtl. weit weniger Frage gekommen.
Denn den rot angepinnte Thread werden schon sehr viele davor angeklickt haben...
Gefällt mir Gefällt mir x 1 Liste anzeigen

Online CoolTux

  • Developer
  • Hero Member
  • ****
  • Beiträge: 8623
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #21 am: 03 März 2017, 12:51:09 »
Dafür finde ich den aufgeregten Tonfall mit dem hier Neulinge in manchen Threads angegangen werden schon etwas fragwürdig.

Da gehe ich mit und fühle mich auch persönlich zu Recht angesprochen. Aber eventuell warst Du oder der andere gerade der 12 mit dem 7 Thread der das selbe Symptom hatte. Irgendwann ist das bisschen viel. Und ja ich hätte auch einfach weiter schalten können und nichts schreiben. Bei FTUI zum Beispiel ist die Fehlermeldung oder das Fehlerbild in der Tat nicht eindeutig.
An anderer Stelle hingegen findet man Hinweise im Log, aber es wird sich nicht die Mühe gemacht mal zu schauen. Wenn ich eigene Implementierungen verwende bin ich dafür verantwortlich wenn ich Probleme habe und Fragen dazu ein exaktes Fehlerbild dar zu stellen und wenigstens ins Log zu schauen. Viele taten es nicht. Da gab es Leute mit einer eigenen Webseite wo man denkt ok bisschen KnowHow scheint da zu sein.
Es gibt ein Punkt bei ein und dem selben Fehlerbild wo man sich den folgenden User erziehen muß. Wenigstens ein bisschen. Und niemand wird beleidigt oder unter der Gürtellinie attackiert. Es wird nur ein bisschen der Ton schroff oder es werden Metaphern verwendet damit es Bildlicher dargestellt wird.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.me/MOldenburg
Mein GitHub: https://github.com/LeonGaultier

Offline justme1968

  • Developer
  • Hero Member
  • ****
  • Beiträge: 16342
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #22 am: 03 März 2017, 13:08:11 »
@rudi: mit dem token sollte so ein angriff über wiki oder forum nicht mehr möglich sein. für externe seiten für die jemand die komplette seite unter kontrolle hat lässt sich das problem so glaube ich aber nicht lösen. es sind ja die cors header der haupt seite relevant. und dort kann jemand durchaus die eigenen seite oder dem eigenen js code erlauben eine verbindung zu fhem aufzubauen.

die cors header solle ja verhindern das durch einen link der auf einer seite eingebettet ist die seite selber kompromittiert wird. nicht umgekehrt.
FHEM5.4,DS1512+,2xCULv3,DS9490R,HMLAN,2xRasPi
CUL_HM:HM-LC-Bl1PBU-FM,HM-LC-Sw1PBU-FM,HM-SEC-MDIR,HM-SEC-RHS
HUEBridge,HUEDevice:LCT001,LLC001,LLC006,LWL001
OWDevice:DS1420,DS18B20,DS2406,DS2423
FS20:fs20as4,fs20bs,fs20di
AKCP:THS01,WS15
CUL_WS:S300TH

Offline herrmannj

  • Global Moderator
  • Hero Member
  • ****
  • Beiträge: 3980
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #23 am: 03 März 2017, 13:12:41 »
@rudi: mit dem token sollte so ein angriff über wiki oder forum nicht mehr möglich sein. für externe seiten für die jemand die komplette seite unter kontrolle hat lässt sich das problem so glaube ich aber nicht lösen. es sind ja die cors header der haupt seite relevant. und dort kann jemand durchaus die eigenen seite oder dem eigenen js code erlauben eine verbindung zu fhem aufzubauen.

die cors header solle ja verhindern das durch einen link der auf einer seite eingebettet ist die seite selber kompromittiert wird. nicht umgekehrt.
...  hmm, gute idee. Du könntest recht haben.
smartVisu mit fronthem, einiges an HM, RFXTRX, Oregon, CUL, Homeeasy, ganz viele LED + Diverse

Offline Thorsten Pferdekaemper

  • Developer
  • Hero Member
  • ****
  • Beiträge: 3851
  • Finger weg von der fhem.cfg
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #24 am: 03 März 2017, 13:30:24 »
die cors header solle ja verhindern das durch einen link der auf einer seite eingebettet ist die seite selber kompromittiert wird. nicht umgekehrt.
Das wirft die Frage auf, woher die aufgerufene Seite (also FHEMWEB) überhaupt weiß, dass es von einem Skript aufgerufen wurde oder von einem Browser. Ok, theoretisch ist da eine Browserkennung, aber die kann man ja einfach "simulieren".
Gruß,
   Thorsten
RasPi
Heizkessel-Steuerung per Arduino und HTTPMOD
und einen Haufen Homematic (Wired)

Offline justme1968

  • Developer
  • Hero Member
  • ****
  • Beiträge: 16342
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #25 am: 03 März 2017, 13:36:15 »
das weiß sie nicht. und eine browsererkennung lässt sich umgehen.
FHEM5.4,DS1512+,2xCULv3,DS9490R,HMLAN,2xRasPi
CUL_HM:HM-LC-Bl1PBU-FM,HM-LC-Sw1PBU-FM,HM-SEC-MDIR,HM-SEC-RHS
HUEBridge,HUEDevice:LCT001,LLC001,LLC006,LWL001
OWDevice:DS1420,DS18B20,DS2406,DS2423
FS20:fs20as4,fs20bs,fs20di
AKCP:THS01,WS15
CUL_WS:S300TH

Offline Thorsten Pferdekaemper

  • Developer
  • Hero Member
  • ****
  • Beiträge: 3851
  • Finger weg von der fhem.cfg
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #26 am: 03 März 2017, 13:40:12 »
das weiß sie nicht. und eine browsererkennung lässt sich umgehen.
Das meinte ich ja mit "simulieren".
Ich habe den Eindruck, dass der CSRF-Angriff durch das (oder den?) Token zwar (viel?) schwieriger wird, aber nicht unbedingt unmöglich.
Gruß,
   Thorsten
RasPi
Heizkessel-Steuerung per Arduino und HTTPMOD
und einen Haufen Homematic (Wired)

Online CoolTux

  • Developer
  • Hero Member
  • ****
  • Beiträge: 8623
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #27 am: 03 März 2017, 13:45:36 »
Aber ist es nicht besser den Schlüssel im Garten zu vergraben als ihn im Schloß stecken zu lassen? Von daher ist es eine gute Lösung.    :D
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.me/MOldenburg
Mein GitHub: https://github.com/LeonGaultier

Offline Thorsten Pferdekaemper

  • Developer
  • Hero Member
  • ****
  • Beiträge: 3851
  • Finger weg von der fhem.cfg
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #28 am: 03 März 2017, 13:57:30 »
Aber ist es nicht besser den Schlüssel im Garten zu vergraben als ihn im Schloß stecken zu lassen? Von daher ist es eine gute Lösung.    :D
Du hast ja Recht. Die meisten Diebstähle lassen sich ja auch verhindern, wenn der Dieb länger als 2 Minuten braucht, um ins Haus zu kommen. Ich will ja nur die Zusammenhänge verstehen.
Außerdem: Manchmal ist es auch besser, den Schlüssel stecken zu lassen. Das war mal in Nizza so. Da gab es so viele eingeschlagene Autoscheiben, dass man besser den Schlüssel hat stecken lassen. Dann kommen die Diebe zwar auch ins Auto, aber nachher ist wenigstens nichts kaputt.
Gruß,
   Thorsten
RasPi
Heizkessel-Steuerung per Arduino und HTTPMOD
und einen Haufen Homematic (Wired)

Offline Puschel74

  • Hero Member
  • *****
  • Beiträge: 9787
Antw:Ich wünsche mir das die FHEM User etwas aufmerksamer werden
« Antwort #29 am: 03 März 2017, 22:46:12 »
Zitat
Außerdem: Manchmal ist es auch besser, den Schlüssel stecken zu lassen. Das war mal in Nizza so. Da gab es so viele eingeschlagene Autoscheiben, dass man besser den Schlüssel hat stecken lassen. Dann kommen die Diebe zwar auch ins Auto, aber nachher ist wenigstens nichts kaputt.
Also so frei nach dem Motto - ich lass den Haustürschlüssel stecken (weil ja rundherum eingebrochen wird) - dann ist zwar die Tür noch ganz aber das Haus dennoch leer.
Machst du das in echt auch ???

Ich überleg grad was die Versicherung dazu sagt (nein ich überleg nicht wirklich weil ich mir denken kann was die sagen wird).
Edith: Traurig wenn die Argumente in diese Richtung gehen das der Einbrecher so wenig wie möglich an Schaden anrichten muss um an sein Objekt der Begierde zu kommen.
« Letzte Änderung: 03 März 2017, 22:52:00 von Puschel74 »
Cubietruck als Server mit DBLog
CUNO für FHT80B und FS20, HM-Lan, RasPi mit CUL433 für Somfy-Rollo (F2F), RasPi mit I2C(LM75) (F2F), RasPi für Panstamp+Vegetronix +SONOS(F2F)
Ich beantworte keine Supportanfragen per PM! Bitte im Forum suchen oder einen Beitrag erstellen.

 

decade-submarginal