Model in Modul FHEMWEB / FHEM Statistik

Begonnen von marvin78, 21 Januar 2019, 13:36:07

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

marvin78

21 Januar 2019, 13:36:07 Letzte Bearbeitung: 21 Januar 2019, 19:31:52 von marvin78
Ich hinterlasse das hier mal unkommentiert

Wernieman

#1
21 Januar 2019, 14:06:20
Blöde ist, ras man nicht rausfinden kann, von welcher Installation es kommt ...

Das dürfte kein FHEM sondern ein Security-Problem sein (Würde bei anderer Hausautomatisations-Software auch passieren)
- Bitte um Input für Output
- When there is a Shell, there is a Way
- Wann war Dein letztes Backup?

Wie man Fragen stellt: https://tty1.net/smart-questions_de.html

marvin78

#2
21 Januar 2019, 14:08:09
Zitat von: Wernieman am 21 Januar 2019, 14:06:20
Blöde ist, ras man nicht rausfinden kann, von welcher Installation es kommt ...

Das dürfte kein FHEM sondern ein Security-Problem sein (Würde bei anderer Hausautomatisations-Software auch passieren)

Nun. MIR ist das klar.

herrmannj

#3
21 Januar 2019, 14:52:15
ich gebe extra Punkte für guten Humor :)  Gute Idee, Hacker spirit !

Wir müssen aber, glaub ich, aufpassen dass da nicht mal jemand juristisch relevantes reinschreibt. Betateilchen müsste ist maintainer sein ?

betateilchen

#4
21 Januar 2019, 17:21:30
Zitat von: Wernieman am 21 Januar 2019, 14:06:20
Blöde ist, ras man nicht rausfinden kann, von welcher Installation es kommt ...

Man (Markus) kann das sogar löschen. Und wenn man das im richtigen Forumbereich gepostet hätte, würde Markus auch was davon mitbekommen.

Als ich mit Markus vor 1,5 Jahren an dem Thema saß, haben wir uns bewußt dafür entschieden, möglichst wenig serverseitig zu filtern, sondern schon clientseitig so wenig wie möglich zu übertragende Daten zu generieren. Offenbar müssen wir dieses Konzept noch einmal überdenken.

Andererseits kann ein "Böser" jede model-Information verändern, wenn man das möchte, und reinschreiben, was man will.

Zitat von: herrmannj am 21 Januar 2019, 14:52:15
Betateilchen müsste ist maintainer sein ?

das hab ich jetzt grammatikalisch nicht verstanden.
-----------------------
Formuliere die Aufgabe möglichst einfach und
setze die Lösung richtig um - dann wird es auch funktionieren.
-----------------------
Lesen gefährdet die Unwissenheit!

Wuppi68

#5
21 Januar 2019, 17:25:13
cool, fhem Injektion möglich
Jetzt auf nem I3 und primär Homematic - kein Support für cfg Editierer

Support heißt nicht wenn die Frau zu Ihrem Mann sagt: Geh mal bitte zum Frauenarzt, ich habe Bauchschmerzen

Markus Bloch

#6
21 Januar 2019, 22:30:43
Ich habe den Eintrag soeben aus der Datenbank gelöscht.

Viele Grüße

Markus
Developer für Module: YAMAHA_AVR, YAMAHA_BD, FB_CALLMONITOR, FB_CALLLIST, PRESENCE, Pushsafer, LGTV_IP12, version

aktives Mitglied des FHEM e.V. (Technik)

rudolfkoenig

#7
21 Januar 2019, 23:31:24
ZitatIch habe den Eintrag soeben aus der Datenbank gelöscht.
Danke.

Hat jemand eine Idee, wie man das in der Zukunft vermeiden oder einschraenken koennte?
Da FHEM langsam so gross wird, dass auf dem Schirm von Idioten auftaucht, muessen wir unsere Dienste leider mehr absichern.

herrmannj

#8
22 Januar 2019, 00:12:07
Zitat von: betateilchen am 21 Januar 2019, 17:21:30
Als ich mit Markus vor 1,5 Jahren an dem Thema saß, haben wir uns bewußt dafür entschieden, möglichst wenig serverseitig zu filtern, sondern schon clientseitig so wenig wie möglich zu übertragende Daten zu generieren. Offenbar müssen wir dieses Konzept noch einmal überdenken.

Ja, serverseitig filtern. Wobei ich immer noch dem Hacker Spirit Tribut zolle.

betateilchen

#9
22 Januar 2019, 08:56:50
Dazu muss man kein großer Hacker sein, die Schwachstelle war seit der Implementierung der neuen Statistik bekannt.

"Serverseitig filtern" klingt gut und war auch mein erster Gedanke gestern. Aber worauf soll man filtern?

Markus und ich sind bereits in der Kommunikation, wie man solchen Dingen entgegenwirken kann. Allerdings sollte man die script-Kiddies nicht hier auch noch plakativ aus sowas aufmerksam machen. Wenn mal wieder solche Einträge auftauchen, meldet es bitte einfach "im Stillen".
-----------------------
Formuliere die Aufgabe möglichst einfach und
setze die Lösung richtig um - dann wird es auch funktionieren.
-----------------------
Lesen gefährdet die Unwissenheit!

rudolfkoenig

#10
22 Januar 2019, 11:11:41
Zitat"Serverseitig filtern" klingt gut und war auch mein erster Gedanke gestern. Aber worauf soll man filtern?
Ich wuerde Eintraege, die Zeichen ausserhalb von A-Za-z0-9-_. haben, ignorieren.
Und auch, wenn die Laenge > 32 Zeichen ist.

betateilchen

#11
22 Januar 2019, 11:35:11
Das Filtern auf zulässige Zeichen klingt nach einem guten Plan.
Die Länge auf 32 Zeichen zu begrenzen, allerdings nicht. Wir haben beispielsweise in ZWAVE tatsächlich Modellbezeichnungen mit mehr als 80 Zeichen, mit runden () Klammern und mit Schrägstrich /

-----------------------
Formuliere die Aufgabe möglichst einfach und
setze die Lösung richtig um - dann wird es auch funktionieren.
-----------------------
Lesen gefährdet die Unwissenheit!

rudolfkoenig

#12
22 Januar 2019, 11:41:02
ZitatDie Länge auf 32 Zeichen zu begrenzen, allerdings nicht. Wir haben beispielsweise in ZWAVE tatsächlich Modellbezeichnungen mit mehr als 80 Zeichen, mit runden () Klammern und mit Schrägstrich /
Seufz. In meinem Modul, und das sind auch noch sinnvolle Strings, mit dem man was anfangen kann.
Drucken
Nach oben Seiten1
Benutzer-Aktionen