Ich hinterlasse das hier mal unkommentiert
Blöde ist, ras man nicht rausfinden kann, von welcher Installation es kommt ...
Das dürfte kein FHEM sondern ein Security-Problem sein (Würde bei anderer Hausautomatisations-Software auch passieren)
Zitat von: Wernieman am 21 Januar 2019, 14:06:20
Blöde ist, ras man nicht rausfinden kann, von welcher Installation es kommt ...
Das dürfte kein FHEM sondern ein Security-Problem sein (Würde bei anderer Hausautomatisations-Software auch passieren)
Nun. MIR ist das klar.
ich gebe extra Punkte für guten Humor :) Gute Idee, Hacker spirit !
Wir müssen aber, glaub ich, aufpassen dass da nicht mal jemand juristisch relevantes reinschreibt. Betateilchen müsste ist maintainer sein ?
Zitat von: Wernieman am 21 Januar 2019, 14:06:20
Blöde ist, ras man nicht rausfinden kann, von welcher Installation es kommt ...
Man (Markus) kann das sogar löschen. Und wenn man das im richtigen Forumbereich gepostet hätte, würde Markus auch was davon mitbekommen.
Als ich mit Markus vor 1,5 Jahren an dem Thema saß, haben wir uns bewußt dafür entschieden, möglichst wenig serverseitig zu filtern, sondern schon clientseitig so wenig wie möglich zu übertragende Daten zu generieren. Offenbar müssen wir dieses Konzept noch einmal überdenken.
Andererseits kann ein "Böser" jede model-Information verändern, wenn man das möchte, und reinschreiben, was man will.
Zitat von: herrmannj am 21 Januar 2019, 14:52:15
Betateilchen müsste ist maintainer sein ?
das hab ich jetzt grammatikalisch nicht verstanden.
cool, fhem Injektion möglich
Ich habe den Eintrag soeben aus der Datenbank gelöscht.
Viele Grüße
Markus
ZitatIch habe den Eintrag soeben aus der Datenbank gelöscht.
Danke.
Hat jemand eine Idee, wie man das in der Zukunft vermeiden oder einschraenken koennte?
Da FHEM langsam so gross wird, dass auf dem Schirm von Idioten auftaucht, muessen wir unsere Dienste leider mehr absichern.
Zitat von: betateilchen am 21 Januar 2019, 17:21:30
Als ich mit Markus vor 1,5 Jahren an dem Thema saß, haben wir uns bewußt dafür entschieden, möglichst wenig serverseitig zu filtern, sondern schon clientseitig so wenig wie möglich zu übertragende Daten zu generieren. Offenbar müssen wir dieses Konzept noch einmal überdenken.
Ja, serverseitig filtern. Wobei ich immer noch dem Hacker Spirit Tribut zolle.
Dazu muss man kein großer Hacker sein, die Schwachstelle war seit der Implementierung der neuen Statistik bekannt.
"Serverseitig filtern" klingt gut und war auch mein erster Gedanke gestern. Aber worauf soll man filtern?
Markus und ich sind bereits in der Kommunikation, wie man solchen Dingen entgegenwirken kann. Allerdings sollte man die script-Kiddies nicht hier auch noch plakativ aus sowas aufmerksam machen. Wenn mal wieder solche Einträge auftauchen, meldet es bitte einfach "im Stillen".
Zitat"Serverseitig filtern" klingt gut und war auch mein erster Gedanke gestern. Aber worauf soll man filtern?
Ich wuerde Eintraege, die Zeichen ausserhalb von A-Za-z0-9-_. haben, ignorieren.
Und auch, wenn die Laenge > 32 Zeichen ist.
Das Filtern auf zulässige Zeichen klingt nach einem guten Plan.
Die Länge auf 32 Zeichen zu begrenzen, allerdings nicht. Wir haben beispielsweise in ZWAVE tatsächlich Modellbezeichnungen mit mehr als 80 Zeichen, mit runden () Klammern und mit Schrägstrich /
ZitatDie Länge auf 32 Zeichen zu begrenzen, allerdings nicht. Wir haben beispielsweise in ZWAVE tatsächlich Modellbezeichnungen mit mehr als 80 Zeichen, mit runden () Klammern und mit Schrägstrich /
Seufz. In meinem Modul, und das sind auch noch sinnvolle Strings, mit dem man was anfangen kann.