<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Moin,<div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On 7 Jan 2017, at 11:46, <a href="mailto:china2013@abwesend.de" class="">china2013@abwesend.de</a> wrote:</div><br class="Apple-interchange-newline"><div class="">
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" class="">
<div bgcolor="#FFFFFF" text="#000000" class="">
Hallo Klaus,<br class="">
<br class="">
<a href="https://www.google.de/?gws_rd=ssl#q=security+by+obscurity" class="">security
by obscurity</a> ist leider keine Lösung, das haben schon viele
lernen müssen.<br class=""></div></div></blockquote><div><br class=""></div>Da kann ich China nur aus vollem Herzen beipflichten. Der Ansatz hält allenfalls Idiotenangriffe ab. Jedes bessere Exploit Framework wird einfach auch die HTTP Methoden durchprobieren...</div><div><br class=""><blockquote type="cite" class=""><div class=""><div bgcolor="#FFFFFF" text="#000000" class="">
Die Schnittstelle zum Server ist ja sauber dokumentiert, also auch
alle Befehle, die du keinesfalls öffentlich haben willst. Durch
Wegnehmen eines Buttons im Frontend funktioniert ein "Löschen" durch
Dritte weiterhin genauso gut.<br class=""></div></div></blockquote><div><br class=""></div>Lösen lässt sich das trotzdem mit <a href="https://github.com/volkszaehler/volkszaehler.org/pull/551" class="">https://github.com/volkszaehler/volkszaehler.org/pull/551</a></div><div><br class=""></div><div>Per Default wird da nur auch IP gefiltert (intern darf, extern braucht User). </div><div><br class=""></div><div>Genau könnten wir aber zusätzlich auf HTTP Methode filtern:</div><div> - intern darf</div><div> - extern GET (=lesen) darf</div><div> - extern PUT/PATCH/POST/DELETE braucht User</div><div><br class=""></div><div>Das lässt sich bereits jetzt per Config bewerkstelligen. Das Einzige was fehlt ist dass wir den ?operation=xyz Parameter verbieten oder transparent in die Konfiguration mit einbeziehen da der anderenfalls via GET Request alles überschreiben kann.</div><div><br class=""></div><div>Wenns das braucht um dieses Feature vielleicht endlich zu mergen dann setze ich mich da gerne ran.</div><div><br class=""><blockquote type="cite" class=""><div class=""><div bgcolor="#FFFFFF" text="#000000" class="">
<br class="">
Viele Grüße<br class=""></div></div></blockquote><div><br class=""></div>Viele Grüße, </div><div>Andreas</div><div><br class=""><blockquote type="cite" class=""><div class=""><div bgcolor="#FFFFFF" text="#000000" class="">
<hr size="2" width="100%" class=""><br class="">
<div class="moz-cite-prefix">Am 06.01.2017 um 13:14 schrieb Klaus
Reichenecker:<br class="">
</div>
<blockquote cite="mid:20130060-2bf7-7d22-3ba1-30134af27afa@kr123.de" type="cite" class="">Ich habe meine VZ-Installation auch öffentlich
erreichbar, direkt über eine URL.
<br class="">
<br class="">
Es stört mich nicht, wenn jetzt irgendjemand auf der Welt weiss,
wie warm es in meinem Bad ist.
<br class="">
<br class="">
Die einzige Sorge die ich habe ist, dass jemand aus Spass Kanäle
löscht oder ändert.
<br class="">
<br class="">
Deshalb: wäre es nicht am einfachsten, eine 2. Version des
Frontend zu haben, bei der es einfach den Info-/ bearbeiten-Button
nicht gibt?
<br class="">
<br class="">
Dieses Version wäre dann die über eine einfache URL zu
erreichende, die andere mit Edit-Möglichkeiten ist dann versteckt
?
<br class="">
<br class="">
<br class="">
Viele Grüße
<br class="">
Klaus
<br class="">
</blockquote>
<br class="">
</div>
</div></blockquote></div><br class=""></div></body></html>