<div dir="ltr">Hi Andreas,<div><br></div><div>wow, das mit den eingeschränkten Tokens ging schnell!</div><div><br></div><div>Hast recht, security by design ist sicher der bessere Ansatz, gerade bei neuen Installationen ist das weitaus sinnvoller als alles offen zu lassen. Lass es uns einfach probieren und abwarten, wie viele Reklamationen tatsächlich kommen, weil es nach dem Update nicht mehr so funktioniert wie vorher...</div><div><br></div><div>Anpassung des Installscripts bzgl. Firewall-Einstellungen sollten wir dann auf die Agenda setzen. Zusätzlich sollten wir diesen Part vielleicht als Extra-Script liefern, damit die Image-User sich das passend konfigurieren können, ohne das komplette Installscript nochmal durchzuackern. Das Image sollte dann am besten ohne eingetragenen secretkey geliefert werden, oder?</div><div><br></div><div>Wenn es machbar wäre, das Token aus dem Cookie auszulesen, wäre ich schwer dafür. Dann hätte ich keinen Grund mehr, GET ohne Authentifizierung zuzulassen.</div><div><br></div><div>Viele Grüße</div><div>Frank  </div></div><div class="gmail_extra"><br><div class="gmail_quote">Am 21. Januar 2018 um 13:17 schrieb Andreas Goetz <span dir="ltr"><<a href="mailto:cpuidle@gmail.com" target="_blank">cpuidle@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space">Ok, ich habe noch ein kleines Tool gebaut mit dem sich beliebige Token erzeugen lassen und den AuthorizatonController so angepasst dass die Tokens auch “constraints” haben können:<div><br></div><div><div><span class="m_3371642176707262225Apple-tab-span" style="white-space:pre-wrap">   </span>❯ php misc/tools/token-helper.php decode $(php misc/tools/token-helper.php create andig --operation add --context data --valid 1.1.2019)</div><div><span class="m_3371642176707262225Apple-tab-span" style="white-space:pre-wrap"> </span>{"sub":"andig","iat":<wbr>1516536798,"exp":1546297200,"<wbr>vz:ctx":"data","vz:ops":"POST"<wbr>}</div><div><br></div><div>In diesem Fall darf das 1 Jahr gültige Token ausschließlich “POST” auf den “/data” Kontext, also nur neue Daten anlegen aber nix löschen.</div><div><br></div><div>@Matthias: könntest Du im vzlogger eine Option einbauen mit der sich für das VZ API ein “Authorization: Bearer <token string>” Header mitschicken ließe?</div><div><br></div><div>@Frank: Cookie schaue ich mir noch separat an.</div><div><br></div><div>Viele Grüße, </div><span class="HOEnZb"><font color="#888888"><div>Andreas</div></font></span><div><div class="h5"><div><br></div><div><br><blockquote type="cite"><div>On 21. Jan 2018, at 12:07, Andreas Goetz <<a href="mailto:cpuidle@gmail.com" target="_blank">cpuidle@gmail.com</a>> wrote:</div><br class="m_3371642176707262225Apple-interchange-newline"><div><div style="word-wrap:break-word;line-break:after-white-space">Moin<br><div><br><blockquote type="cite"><div>On 20. Jan 2018, at 15:58, Frank Richter <<a href="mailto:frank.richter83@gmail.com" target="_blank">frank.richter83@gmail.com</a>> wrote:</div><br class="m_3371642176707262225Apple-interchange-newline"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px">...<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><div><span><div><br></div></span>Da bin ich einmal nicht so schnell :O<br></div></div></div></blockquote><div><br></div><div>kein Ding. Hab nur angefangen mich zu wundern, warum zweimal keine Reaktion zum selben Thema kommt...</div><div>Du hast uns halt zu sehr verwöhnt was Reaktionszeit angeht ;-)</div><div>Hoffe dein NAS-Recovery ist erfolgreich gewesen oder auf einem guten Weg!</div></div></div></div></div></blockquote><div><br></div>Gottseidank ja. Der Bootprozess klemmte weil metricbeat auf das defekte Volume zugreifen wollte- deshalb kam die Oberfläche nicht hoch. Nach Prozess killen gabs dann eine NAS Oberfläche mit der sich das defekte Volume reparieren ließ. Disk1 hatte seine Systempartition verloren- weiß der Geier warum….</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><div><div><span><blockquote type="cite"><div>...</div></blockquote><div><br></div></span>Dann greifen wir die Punkte doch auf:</div><div><br></div><div><div><div class="gmail_extra"><div class="gmail_quote"></div></div></div><blockquote type="cite"><span><div><div class="gmail_extra"><div class="gmail_quote">Am 25.12.2017 12:43 schrieb "Andreas Goetz" <<a href="mailto:cpuidle@gmail.com" target="_blank">cpuidle@gmail.com</a>>:<br type="attribution"><blockquote class="m_3371642176707262225m_-158179271690499791quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space">Servus,<div><br></div><div>Der PR steht hier zur Verfügung: <a href="https://github.com/volkszaehler/volkszaehler.org/pull/659" target="_blank">https://github.com/<wbr>volkszaehler/volkszaehler.org/<wbr>pull/659</a></div><div><br></div><div>Vor Merge wär unabhängiger Test gut. Für die Installation im Image sind zwei Punkte wichtig:</div><div><br></div><div>1. unbeschränkten Zugang gibts jetzt nur noch von localhost und localnet</div><div>2. es werden ein secretkey (salt) und user/passwort für Schreibzugriffe benötigt, ggf -secretkey im installer automatisch erzeugen</div></div></blockquote></div></div></div><div dir="auto"><br></div></span><div dir="auto">da fällt mir unsere alte Diskussion um manuelle, d.h. nicht vom Frontend abgesetzte API-Requests von extern ein. Diese funktionieren dann nicht mehr, weil man keine Möglichkeit hat, dem Request das nötige Authentifizierungs-Token mitzugeben. Das könnte ein Problem sein für alle, die ihren vz extern hosten.</div><div dir="auto">Auch vzlogger könnte Stand heute nicht zu einer externen, abgesicherten Installation loggen, oder? Außer man erlaubt POST standardmäßig, aber das macht ja die Absicherung irgendwie witzlos.<br></div></blockquote><div><br></div>Ich sehe zwei Möglichkeiten (da würde mich auch die Meinung von Justin interessieren):</div><div><br></div><div>1) wir erlauben die Erstellung von long-lived Tokens und bringen vzlogger bei so einen Token als curl Header mitzuschicken. Ist trivial, hat aber einen Nachteil: kommt so ein Token abhanden kann jeder damit machen was er will. Das ließe sich noch abmildern wenn wir dem Token eingeschränkte Rechte verpassen, z.B. nur POST oder nur für einzelne Kanäle. Das Grundproblem bliebe aber- Token weg, Tür offen.</div></div></div></div></blockquote><div><br></div><div>Ist das riskanter als eine verlorene Benutzername/Passwort-<wbr>Kombination. Kann man ein fragliches Token serverseitig ungültig machen?</div></div></div></div></div></blockquote><div><br></div>Da Token nicht gespeichert werden kann man sie auch nicht einzeln ohne Codeeingriff ungültig machen. Änder man aber in der Config den secretkey dann sind alle Token ungültig. </div><div><br></div><div>Standard ist eigentlich die Tokens kurzlebig zumachen. “Richtig” löst man das z.B. mit OAuth was bedeutet dass jede Applikation sich neue Tokens bei Bedarf mittels API Key (=secret) anfordert. Das müsste aber in den vzlogger, also ein größerer Eingriff mit überschaubarem Nutzen.</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div>2) Man erlaubt tatsächlich POST von außen, und zwar nur auf /data:<br></div><div><br></div><div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">  </span>[<span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">    </span></div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">              </span>'path'<span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">               </span>=> ‘/data',</div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">          </span>'methods'<span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">    </span>=> 'POST',</div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">         </span>'action'<span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">     </span>=> 'allow'</div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap"> </span>],</div><div><br></div><div>damit lassen sich ausschließlich Daten schreiben, aber zumindest keine Löschen (m.E. auch nicht ändern, wäre zu testen). Wenn dazu noch GET verboten wird:</div><div><br></div><div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">  </span>[</div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">             </span>'methods'<span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">    </span>=> 'GET',</div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">          </span>'action'<span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">     </span>=> ‘auth'</div><div><span class="m_3371642176707262225m_-158179271690499791Apple-tab-span" style="white-space:pre-wrap">    </span>],</div></div><div><br></div><div>gibts auch ohne Login keine Möglichkeit mehr Daten oder Kanäle abzufragen. Das würde es mal deutlich schwieriger machen irgendwelche UUIDs rauszubekommen um dort Daten zu überschreiben.</div></div></div></blockquote><div><br></div><div>Das Risiko, dass UUIDs abhanden kommen, dürfte ähnlich sein wie beim Token?</div></div></div></div></div></blockquote><div><br></div>Ich verstehe die Frage nicht. Mir gings drum- wenn vzlogger per Token Zugang bekommt _und_ der Token verloren ginge- die Risiken zu  ermitteln. Aus meiner Sicht beherrschbar und nicht größer als heute ohne jede Zugriffsbeschränkung.</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><div></div><div>Variante 2) lässt sich heute per Config machen. Reicht das?</div></div></div></blockquote><div><br></div><div>Ich denke für den Moment reicht's, das mit den Tokens für vzlogger (und andere Clients) würde das Konzept aber IMHO noch runder machen. </div></div></div></div></div></blockquote><div><br></div>Gut, ich schau mal. Egtl. nicht schwierig. Ich schaue dass wir neue Tokens bauen die </div><div><br></div><div>a) eine lange Laufzeit haben und</div><div>b) nur bestimmte Rechte mitbringen wie etwa POST auf /data- mehr braucht der logger ja nicht</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><div>In jedem Fall wirds nicht schlimmer als heute da die Systeme aktuell ja komplett auf sind.</div></div></div></blockquote><div><br></div><div>Das stimmt, so lang es den Status quo nicht verschlechtert, sollte das einem Merge nicht im Weg stehen.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div>Wenn ich momentan Services ins Internet hänge stelle ich übrigens immer Traefik als Reverse Proxy davor- da lässt sich ganz einfach auch SSL und Basic Auth mit einschalten, auch das wären zusätzliche Absicherungsmöglichkeiten vor einer VZ Installation.<br></div></div></blockquote><div><br></div><div>Schau ich mir mal genauer an. Macht das auch in einem althergebrachten System ohne Docker und Konsorten Sinn?</div></div></div></div></div></blockquote><div><br></div>Absolut. Heute brauchst Du ja auch einen Reverse Proxy  (apache, nginx). Traefik ist Welten einfache zu konfigurieren und kann viel mehr wie z.B selbst die LetsEncrypt Zertifikate erzeugen. Fertig ist die SSL Verschlüsselung...</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><blockquote type="cite"><span><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="m_3371642176707262225m_-158179271690499791quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space">Letztlich bleibt dann die Frage ob es die ganze “public” Channel Mimik noch braucht oder die weggeschmissen werden sollte. Wer keinen Zugriff will kann ja einfach die Installation privat halten und hinter U//P verstecken. <br></div></blockquote></div></div></div><div dir="auto"><br></div></span><div dir="auto">Du würdest also alle Kanäle so behandeln wie die die heutigen public channels? Wäre für mich okay, allerdings funktioniert damit <a href="http://demo.volkszaehler.org/" target="_blank">demo.volkszaehler.org</a> ni<wbr>cht mehr in der heutigen Form.</div></blockquote><div><br></div>Das stimmt uns ist auch noch nicht implementiert. Für Demo müsste es dann einen automatisch eingeloggten `guest` user geben der im Falle von Demo eben mehr Rechte als normalerweise bekäme.</div></blockquote><div><br></div><div>Der guest user sollte dann aber nicht alle vorhandenen Kanäle als öffentlich angezeigt bekommen. Deswegen kann die Unterscheidung public/private channels erst entfallen, wenn es eine Implementierung von</div><div>  </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><blockquote type="cite"><span><div dir="auto"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="m_3371642176707262225m_-158179271690499791quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space">Der letzte konsequente Schritt wäre dann eine echte Userverwaltung statt Konfigurationsdatei und damit auch “Owner” von Kanälen und Sichtbarkeitssteuerung. Aber das ist noch eine ganz andere Diskssuion und bräucht ein wenig Spec bevor losgecodet wird.<br></div></blockquote></div></div></div><div dir="auto"><br></div></span><div dir="auto">Das wäre zumindest eine Lösung für o.g. Problem mit demo.</div></blockquote></div></div></blockquote><div>gibt.<br></div></div></div></div></div></blockquote><div><br></div>Stimmt. Aber da ich dafür eh grad keine Zeit hab ist’s egal :)</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><blockquote type="cite"><div dir="auto">Aktuell relevant ist egtl. nur der Punkt mit vzlogger. Also was tun- rein damit und per Config lösen?<br></div></blockquote></div></div></blockquote><div><br></div><div>Grundsätzlich rein damit. Ich bin mir nur unsicher, wie viel Support-Aufwand wir damit generieren. Was hältst du davon, die Firewall nicht "scharf geschaltet" auszuliefern ("allow" statt "auth" für alle verbleibenden Requests)? Dasselbe gilt für </div></div></div></div></div></blockquote><div><br></div>M.E. lieber AUTH. Wer Dinge mutwillig ins Internet hängt sollte sich damit auseinander setzen. Security by design? Im local net ist ja weiter alles offen.</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div>unpassende/unvollständige Config-Files: Lässt es sich mit wenig Aufwand so coden, dass die Firewall einfach offen bleibt, wenn die erforderlichen Optionen nicht gefunden werden?</div></div></div></div></div></blockquote><div><br></div>Security by design. Ja, würde ich aber nicht machen wollen.</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div>Wer die Absicherung verwenden will, muss sich dann halt damit beschäftigen.</div><div><br></div><div>Ansonsten wär ein kleine Script für die einfache Erfassung von user/password/secretkey bestimmt sinnvoll. Wahrscheinlich macht es wenig Sinn, in zukünftigen Images schon einen secretkey einzutragen, weil der dann öffentlich bekannt wäre? Ich kann leider in Sachen Bash-Script nicht aushelfen.</div></div></div></div></div></blockquote><div><br></div>Hilfe willkommen. Ggf. ein kleines Tool das User anlegt, ich schau mal.</div><div><br><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div><br></div><div>Das einzige, was mir sonst noch fehlt, ist eine Lösung für den schnellen Middleware-Request zwischendurch, z.B. auch für deinen neuen query Kontext. Ich würde eigentlich auch für GET gerne "auth" verwenden, aber darüber stolpere ich regelmäßig. Kann die middleware.php irgendwie abfragen, ob der aufrufende Browser ein gültiges Token in den Cookies liegen hat?</div></div></div></div></div></blockquote></div><div><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><div>Ich glaub wir hatten das Thema schon mal, und du warst unschlüssig, ob das security-mäßig in Ordnung wäre. Also möglicherweise auch ein Frage an   </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><blockquote type="cite"><div dir="auto"></div></blockquote></div><div>@justin?<br></div></div></blockquote></div></div></div></div></blockquote><div><br></div><div><br></div><div>Du meinst falls kein Token im Header aber im Cookie auch ok? Klingt eigentlich plausibel (tm).</div><div><br></div><div>@Justin: ist sowas eine gute Idee?</div><div><br></div><blockquote type="cite"><div><div dir="ltr" style="font-family:Helvetica;font-size:14px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px"><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space"><div><br></div><div>Viele Grüße, Andreas</div><div><br></div><div>..snip..<br></div></div></blockquote><div><br></div><div>Viele Grüße</div><div>Frank </div></div></div></div></div></blockquote></div><br><div>Viele Grüße, Andreas</div><div><br></div><div>PS.: und vielen Dank für die aktive Diskussion :)</div><div><br></div></div></div></blockquote></div><br></div></div></div></div></blockquote></div><br></div>