Ich wünsche mir das die FHEM User etwas aufmerksamer werden

Beta-User · 03 März 2017, 11:48:10

Danke für die Klarstellungen.
Dass es neben der aktuellen Version immer die Möglichkeit gibt, Module von updates auszuschließen und/oder die Entwicklerversionen einzuspielen, war schon klar, aber im Kern gibt es also für den normalen Anwender nur die eine aktuelle Version, und es ist auch (wieder nur der Tendenz nach) empfehlenswert, diese zu nutzen.

Da es neulich zum Thema debian-Paket ja auch schon einige reichlich schräge und mehrfache Posts gab:
Die update- und FeatureLevel-Systematik scheint bei weitem nicht jedem User geläufig zu sein, selbst wenn manche hier das bereits zum 2. oder 3. Mal mitmachen. Mal wieder ein Wunsch dazu: Hier wären eine systematische Darstellung im Wiki evtl. hilfreich. Sofern es sowas bereits geben sollte: Es steht jedenfalls nicht an prominenter Stelle, mindestens bei den FAQ hätte ich es vermutet oder als Link in den Änderungshinweisen oben rechts auf den Forumsseiten (jedenfalls manche Leute lesen sowas

, @Thorsten: manche warten bei entsprechenden Warnsignalen dann auch erst mal ab bis die ersten Bauchschmerzen vorbei sind).

Gruß, Beta-User

Wuppi68 · 03 März 2017, 11:51:22

wäre es da nicht sinnvoll ein eigenes Unterforum unter FHEM einzurichten?

ohne Rudis Beispiel:

Code Auswählen

<img src="http://192.168.178.1+N:8083/fhem?cmd=set .* off">

war mir Inhaltlich zwar schon klar geworden aber zu Abstrakt um einen direkten Praxisbezug herzustellen

Nach dem Beispiel muss ich Millionär geworden sein, so wie die Groschen gefallen sind

CoolTux · 03 März 2017, 11:59:42

Naja ich finde das ja auch total lieb von Rudi das so klar zu stellen. Aber seien wir mal ehrlich, es handelt sich hierbei um einen Exploit. Also quasi eine fertig zusammengebaute, geladene und entsicherte Waffe. Mal kurz drüber nachdenken bitte.

Thorsten Pferdekaemper · 03 März 2017, 12:04:44

Zitat von: CoolTux am 03 März 2017, 11:59:42
Naja ich finde das ja auch total lieb von Rudi das so klar zu stellen. Aber seien wir mal ehrlich, es handelt sich hierbei um einen Exploit. Also quasi eine fertig zusammengebaute, geladene und entsicherte Waffe. Mal kurz drüber nachdenken bitte.

https://www.amazon.de/Physiker-Eine-Kom%C3%B6die-zwei-Akten/dp/3257230478
Gruß,
Thorsten

herrmannj · 03 März 2017, 12:23:41

Zitat von: CoolTux am 03 März 2017, 11:59:42
Naja ich finde das ja auch total lieb von Rudi das so klar zu stellen. Aber seien wir mal ehrlich, es handelt sich hierbei um einen Exploit. Also quasi eine fertig zusammengebaute, geladene und entsicherte Waffe. Mal kurz drüber nachdenken bitte.

imho mehr als völlig in Ordnung!

Ist doch usus das man die Existenz einer Bedrohung demonstriert. Und es ist eben *kein* exploit weil fhem im Auslieferungszustand das Token setzt. Rudi demonstriert WAS passieren kann (da geht noch mehr

) wenn man das token auf "none" setzt. Wir haben ja auch einige threads hier die den Tenor setzen "wozu das denn?".-> Qed !

vg
joerg

Thyraz · 03 März 2017, 12:37:56

Zitat von: CoolTux am 03 März 2017, 11:59:42
Naja ich finde das ja auch total lieb von Rudi das so klar zu stellen. Aber seien wir mal ehrlich, es handelt sich hierbei um einen Exploit. Also quasi eine fertig zusammengebaute, geladene und entsicherte Waffe. Mal kurz drüber nachdenken bitte.

Den Enthusiamus in allen Ehren, aber wie viele Monate bzw. Jahre gab es das Feature schon in FHEM bevor es mit FeatureLevel 5.8 per Standard gesetzt wurde?
Und nun mal Hand hoch wie viele das schon lang vor 5.8 händisch bei sich aktiviert hatten.

Strecken da außer Rudi noch ein paar?

Dafür finde ich den aufgeregten Tonfall mit dem hier Neulinge in manchen Threads angegangen werden schon etwas fragwürdig.

Man stelle sich vor, man macht ein Update und plötzlich funktioniert die gesamte Bedienoberfläche, welche die Familie benutzt nicht mehr (z.B. FTUI) oder Ähnliches.
Das ich hier dann erstmal einen schnellen Fix suche ist doch durchaus verständlich.
(Auch wenn ich bei sowas normal eher den Weg eines Restores meinem FHEM Updates wählen und dann bei etwas mehr Freizeit Ursachenforschung betreiben würde.)

Wenn derjenige dann liest, dass das Feature schon seit Ewigkeiten ausgeschaltet existiert, dann hätte ich auch wenig Bauchschmerzen das Ganze nochmal ein paar Tage zu deaktiveren.
Nicht jeder im Forum kann soviel Zeit in sein Smart Home stecken wie viele von uns das tun.

Ich äußere hiermit zusätzlich zum Wunsch nach mehr Aufmerksamkeit der User noch den Wunsch nach mehr Gelassenheit im Umgang miteinander

Wie gesagt, wenn zu Beginn schon eine etwas ausführlichere Erklärung zum Ganzen existiert hätte wären evtl. weit weniger Frage gekommen.
Denn den rot angepinnte Thread werden schon sehr viele davor angeklickt haben...

CoolTux · 03 März 2017, 12:51:09

Zitat von: Thyraz am 03 März 2017, 12:37:56
Dafür finde ich den aufgeregten Tonfall mit dem hier Neulinge in manchen Threads angegangen werden schon etwas fragwürdig.

Da gehe ich mit und fühle mich auch persönlich zu Recht angesprochen. Aber eventuell warst Du oder der andere gerade der 12 mit dem 7 Thread der das selbe Symptom hatte. Irgendwann ist das bisschen viel. Und ja ich hätte auch einfach weiter schalten können und nichts schreiben. Bei FTUI zum Beispiel ist die Fehlermeldung oder das Fehlerbild in der Tat nicht eindeutig.
An anderer Stelle hingegen findet man Hinweise im Log, aber es wird sich nicht die Mühe gemacht mal zu schauen. Wenn ich eigene Implementierungen verwende bin ich dafür verantwortlich wenn ich Probleme habe und Fragen dazu ein exaktes Fehlerbild dar zu stellen und wenigstens ins Log zu schauen. Viele taten es nicht. Da gab es Leute mit einer eigenen Webseite wo man denkt ok bisschen KnowHow scheint da zu sein.
Es gibt ein Punkt bei ein und dem selben Fehlerbild wo man sich den folgenden User erziehen muß. Wenigstens ein bisschen. Und niemand wird beleidigt oder unter der Gürtellinie attackiert. Es wird nur ein bisschen der Ton schroff oder es werden Metaphern verwendet damit es Bildlicher dargestellt wird.

justme1968 · 03 März 2017, 13:08:11

@rudi: mit dem token sollte so ein angriff über wiki oder forum nicht mehr möglich sein. für externe seiten für die jemand die komplette seite unter kontrolle hat lässt sich das problem so glaube ich aber nicht lösen. es sind ja die cors header der haupt seite relevant. und dort kann jemand durchaus die eigenen seite oder dem eigenen js code erlauben eine verbindung zu fhem aufzubauen.

die cors header solle ja verhindern das durch einen link der auf einer seite eingebettet ist die seite selber kompromittiert wird. nicht umgekehrt.

herrmannj · 03 März 2017, 13:12:41

Zitat von: justme1968 am 03 März 2017, 13:08:11
@rudi: mit dem token sollte so ein angriff über wiki oder forum nicht mehr möglich sein. für externe seiten für die jemand die komplette seite unter kontrolle hat lässt sich das problem so glaube ich aber nicht lösen. es sind ja die cors header der haupt seite relevant. und dort kann jemand durchaus die eigenen seite oder dem eigenen js code erlauben eine verbindung zu fhem aufzubauen.

die cors header solle ja verhindern das durch einen link der auf einer seite eingebettet ist die seite selber kompromittiert wird. nicht umgekehrt.

... hmm, gute idee. Du könntest recht haben.

Thorsten Pferdekaemper · 03 März 2017, 13:30:24

Zitat von: justme1968 am 03 März 2017, 13:08:11
die cors header solle ja verhindern das durch einen link der auf einer seite eingebettet ist die seite selber kompromittiert wird. nicht umgekehrt.

Das wirft die Frage auf, woher die aufgerufene Seite (also FHEMWEB) überhaupt weiß, dass es von einem Skript aufgerufen wurde oder von einem Browser. Ok, theoretisch ist da eine Browserkennung, aber die kann man ja einfach "simulieren".
Gruß,
Thorsten

justme1968 · 03 März 2017, 13:36:15

das weiß sie nicht. und eine browsererkennung lässt sich umgehen.

Thorsten Pferdekaemper · 03 März 2017, 13:40:12

Zitat von: justme1968 am 03 März 2017, 13:36:15
das weiß sie nicht. und eine browsererkennung lässt sich umgehen.

Das meinte ich ja mit "simulieren".
Ich habe den Eindruck, dass der CSRF-Angriff durch das (oder den?) Token zwar (viel?) schwieriger wird, aber nicht unbedingt unmöglich.
Gruß,
Thorsten

CoolTux · 03 März 2017, 13:45:36

Aber ist es nicht besser den Schlüssel im Garten zu vergraben als ihn im Schloß stecken zu lassen? Von daher ist es eine gute Lösung.

Thorsten Pferdekaemper · 03 März 2017, 13:57:30

Zitat von: CoolTux am 03 März 2017, 13:45:36
Aber ist es nicht besser den Schlüssel im Garten zu vergraben als ihn im Schloß stecken zu lassen? Von daher ist es eine gute Lösung.

Du hast ja Recht. Die meisten Diebstähle lassen sich ja auch verhindern, wenn der Dieb länger als 2 Minuten braucht, um ins Haus zu kommen. Ich will ja nur die Zusammenhänge verstehen.
Außerdem: Manchmal ist es auch besser, den Schlüssel stecken zu lassen. Das war mal in Nizza so. Da gab es so viele eingeschlagene Autoscheiben, dass man besser den Schlüssel hat stecken lassen. Dann kommen die Diebe zwar auch ins Auto, aber nachher ist wenigstens nichts kaputt.
Gruß,
Thorsten

Puschel74 · 03 März 2017, 22:46:12

ZitatAußerdem: Manchmal ist es auch besser, den Schlüssel stecken zu lassen. Das war mal in Nizza so. Da gab es so viele eingeschlagene Autoscheiben, dass man besser den Schlüssel hat stecken lassen. Dann kommen die Diebe zwar auch ins Auto, aber nachher ist wenigstens nichts kaputt.

Also so frei nach dem Motto - ich lass den Haustürschlüssel stecken (weil ja rundherum eingebrochen wird) - dann ist zwar die Tür noch ganz aber das Haus dennoch leer.
Machst du das in echt auch

Ich überleg grad was die Versicherung dazu sagt (nein ich überleg nicht wirklich weil ich mir denken kann was die sagen wird).
Edith: Traurig wenn die Argumente in diese Richtung gehen das der Einbrecher so wenig wie möglich an Schaden anrichten muss um an sein Objekt der Begierde zu kommen.