<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">… und ich nochmal.<div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On 8 Jan 2017, at 11:10, Andreas Goetz <<a href="mailto:cpuidle@gmail.com" class="">cpuidle@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Moin,<div class=""><br class=""><div class=""><blockquote type="cite" class=""><div class="">On 7 Jan 2017, at 11:46, <a href="mailto:china2013@abwesend.de" class="">china2013@abwesend.de</a> wrote:</div><br class="Apple-interchange-newline"><div class="">
  
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type" class="">
  
  <div bgcolor="#FFFFFF" text="#000000" class="">
    Hallo Klaus,<br class="">
    <br class="">
    <a href="https://www.google.de/?gws_rd=ssl#q=security+by+obscurity" class="">security
      by obscurity</a> ist leider keine Lösung, das haben schon viele
    lernen müssen.<br class=""></div></div></blockquote><div class=""><br class=""></div>Da kann ich China nur aus vollem Herzen beipflichten. Der Ansatz hält allenfalls Idiotenangriffe ab. Jedes bessere Exploit Framework wird einfach auch die HTTP Methoden durchprobieren...</div><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div bgcolor="#FFFFFF" text="#000000" class="">
    Die Schnittstelle zum Server ist ja sauber dokumentiert, also auch
    alle Befehle, die du keinesfalls öffentlich haben willst. Durch
    Wegnehmen eines Buttons im Frontend funktioniert ein "Löschen" durch
    Dritte weiterhin genauso gut.<br class=""></div></div></blockquote><div class=""><br class=""></div>Lösen lässt sich das trotzdem mit <a href="https://github.com/volkszaehler/volkszaehler.org/pull/551" class="">https://github.com/volkszaehler/volkszaehler.org/pull/551</a></div><div class=""><br class=""></div><div class="">Per Default wird da nur auch IP gefiltert (intern darf, extern braucht User). </div><div class=""><br class=""></div><div class="">Genau könnten wir aber zusätzlich auf HTTP Methode filtern:</div><div class="">  - intern darf</div><div class="">  - extern GET (=lesen) darf</div><div class="">  - extern PUT/PATCH/POST/DELETE braucht User</div><div class=""><br class=""></div><div class="">Das lässt sich bereits jetzt per Config bewerkstelligen. Das Einzige was fehlt ist dass wir den ?operation=xyz Parameter verbieten oder transparent in die Konfiguration mit einbeziehen da der anderenfalls via GET Request alles überschreiben kann.</div><div class=""><br class=""></div><div class="">Wenns das braucht um dieses Feature vielleicht endlich zu mergen dann setze ich mich da gerne ran.</div></div></div></div></blockquote><div><br class=""></div>Ist jetzt auch eingebaut, siehe <a href="https://github.com/volkszaehler/volkszaehler.org/pull/551/commits/082f0e09b05a53de539da4257de294b2045b5ae9#diff-5678dd63d630800c5b71c1f1d1d2f674L142" class="">https://github.com/volkszaehler/volkszaehler.org/pull/551/commits/082f0e09b05a53de539da4257de294b2045b5ae9#diff-5678dd63d630800c5b71c1f1d1d2f674L142</a></div><div><br class=""><blockquote type="cite" class=""><div class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class=""><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div bgcolor="#FFFFFF" text="#000000" class="">
    <br class="">
    Viele Grüße<br class=""></div></div></blockquote><div class=""><br class=""></div>Viele Grüße, </div><div class="">Andreas</div><div class=""><br class=""><blockquote type="cite" class=""><div class=""><div bgcolor="#FFFFFF" text="#000000" class="">
    <hr size="2" width="100%" class=""><br class="">
    <div class="moz-cite-prefix">Am 06.01.2017 um 13:14 schrieb Klaus
      Reichenecker:<br class="">
    </div>
    <blockquote cite="mid:20130060-2bf7-7d22-3ba1-30134af27afa@kr123.de" type="cite" class="">Ich habe meine VZ-Installation auch öffentlich
      erreichbar, direkt über eine URL.
      <br class="">
      <br class="">
      Es stört mich nicht, wenn jetzt irgendjemand auf der Welt weiss,
      wie warm es in meinem Bad ist.
      <br class="">
      <br class="">
      Die einzige Sorge die ich habe ist, dass jemand aus Spass Kanäle
      löscht oder ändert.
      <br class="">
      <br class="">
      Deshalb: wäre es nicht am einfachsten, eine 2. Version des
      Frontend zu haben, bei der es einfach den Info-/ bearbeiten-Button
      nicht gibt?
      <br class="">
      <br class="">
      Dieses Version wäre dann  die über eine einfache URL zu
      erreichende, die andere mit Edit-Möglichkeiten ist dann versteckt
      ?
      <br class="">
      <br class="">
      <br class="">
      Viele Grüße
      <br class="">
      Klaus
      <br class="">
    </blockquote>
    <br class="">
  </div>

</div></blockquote></div><br class=""></div></div></div></blockquote></div><br class=""></div></body></html>