[vz-users] VZ installieren mit Apache 2.4

Klaus Reichenecker kr at kr123.de
Sun Dec 10 22:15:03 CET 2017


>Das ist halt security trough obscurity - sehr umstritten...
ich weiss, aber zumindest sicherer als jetzt
meine VZ-Daten sind nicht geheim, soll halt jemand wissen wieviel Grad es im Wohnzimmer hat
Will nur nicht das mir jemand aus Spass Kanäle löscht


>Wie oft musst du denn was löschen? Ich würde mir Installation 2 sparen und löschen über die DB machen.

Löschen nicht, aber neuen Kanal anlegen und dann in Gruppe einordnen, das geht ja dann auch nicht mehr?
Ich kenne nur die Rechte lesen / schreiben / ausführen, gibt es in mysql explizit schreiben, aber nicht löschen?




  ----- Original Message ----- 
  From: Frank Richter 
  To: volkszaehler.org - users 
  Sent: Sunday, December 10, 2017 10:07 PM
  Subject: Re: [vz-users] VZ installieren mit Apache 2.4






  Am 10.12.2017 21:57 schrieb "Klaus Reichenecker" <kr at kr123.de>:

    > Wenn dein DB-User vz keine Delete-Rechte hat, kann man im Frontend oder per API keine Kanäle löschen. Wenn du doch mal was löschen musst, machst du das eben via phpmyadmin o.ä.

    Danke Frank, die Idee ist genial :-)  
    Dann kopiee ich 2 x VZ auf meinen Webspace, 2 unterschiedliche User für mysql
    - 1 x easy.abc.de mit nur  Leserechten
    - 1 x geheim.schwieriges.passwort.abc.de mit allen Rechten

    Müsste doch so funktionieren?


  Das ist halt security trough obscurity - sehr umstritten...
  Wie oft musst du denn was löschen? Ich würde mir Installation 2 sparen und löschen über die DB machen.


     > Und wenn du nicht deine Hauptgruppe, sondern die Untergruppen abonniert, kannst du steuern ob sie aktiv oder inaktiv sind (letzter Zustand wird gespeichert).

    Muss ich halt alle Untergruppen auf öffentlich setzen, der letzte Zustand wird dann aber lokal über Cookie gespeichert? Da spielt es keine Rolle ob ich im VZ Schreibrechte habe?


  Geschrieben werden nur deine Cookies, DB-Rechte sind da wurscht.


     Viele Grüße

    Klaus


  Gruß
  Frank

      ----- Original Message ----- 
      From: Frank Richter 
      To: volkszaehler.org - users 
      Sent: Sunday, December 10, 2017 9:46 PM
      Subject: Re: [vz-users] VZ installieren mit Apache 2.4


      Wenn dein DB-User vz keine Delete-Rechte hat, kann man im Frontend oder per API keine Kanäle löschen. Wenn du doch mal was löschen musst, machst du das eben via phpmyadmin o.ä. 


      Und wenn du nicht deine Hauptgruppe, sondern die Untergruppen abonniert, kannst du steuern ob sie aktiv oder inaktiv sind (letzter Zustand wird gespeichert).


      Gruß
      Frank


      Am 10.12.2017 21:29 schrieb "Klaus Reichenecker" <kr at kr123.de>:

        Danke,
        habe es jetzt glaube ich verstanden :-)

        Wenn ich meine Hauptgruppe "öffentlich" mache kann ich zumindest durch abonnieren von Dieser wieder alle meine Kanäle sehen

        Nur leider sind jetzt alle ausgeklappt.

        Mir ist klar, das was ich mache ist generell ein Sicherheitsrisiko

        Ich erinnere mich dunkel, es gab mal hier eine Diskussion, mir wäre es zugeben am liebsten ich hätte eine VZ-/Frontend -Version bei der man keine Kanäle löschen oder verschieben kann, würde dann einfach beide installieren, eine leicht auffindbare und eine gut versteckte

        Bald ist ja Weihnachten :-)

        Spass, ich weiss ihr habt da lange diskutiert und es so wie es jetzt ist für richtig befunden

        Viele Grüße

        Klaus




        ----- Original Message ----- From: "Daniel Lauckner" <vz at jahp.de>
        To: "volkszaehler.org - users" <volkszaehler-users at demo.volkszaehler.org>
        Sent: Sunday, December 10, 2017 9:19 PM
        Subject: Re: [vz-users] VZ installieren mit Apache 2.4


        Hallo,


        am Sonntag, 10. Dezember 2017 um 20:57 hat Klaus Reichenecker geschrieben:

          Bei der neuen Version kann ich Kanal hinzufügen -  öffentliche Kanäle - Middleware: local
          Was ist in diesem Zusammenhang ein öffentlicher  Kanal?


        Öffentliche Kanäle gabs schon immer, nur die Reihenfolge der Reiter
        ist jetzt anders.
        Solche Kanäle kannst du bequem übers Frontend abonnieren ohne dir die
        UUID merken zu müssen, sie werden dir in dem genannten Reiten in der
        Drop-Down-Liste angeboten. Das ist zwar schön bequem, aber in deinem
        Fall ein Sicherheitsrisiko.


        Andi hat in seinem Fork einen Branch der auch Zugriffskontrolle
        (Benutzer + Passwort) hat. Um das sinnvoll einsetzen zu können musst
        du aber mit https (Verschlüseleung) aktivieren und, wenn du nicht
        ständig auf fehlende Zertifikate hingewiesen werden willst, jedes Jahr
        ein neues Serverzertifikat erstellen lassen.


        mfg Daniel



-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://demo.volkszaehler.org/pipermail/volkszaehler-users/attachments/20171210/971c0a98/attachment.html>


More information about the volkszaehler-users mailing list