<html>
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<p>Mir gehts da eigentlich weniger um die bösen Hacker auf der Welt,
sondern eher um den Kollegen, Onkel usw, dem man seine
VZ-Installation mal gezeigt hat, und der dann auf eigene Faust
darin rumspielt.</p>
<p>Denke dafpr wäre das entfernen der Buttons absolut ausreichend</p>
<p><br>
</p>
<p>Aber ich schaue mir Eure Lösung mal an</p>
<p><br>
</p>
<p>Viele Grüße</p>
<p><br>
</p>
<p>Klaus<br>
</p>
<br>
<div class="moz-cite-prefix">Am 08.01.2017 um 12:10 schrieb Andreas
Goetz:<br>
</div>
<blockquote
cite="mid:75AFEF9F-2B57-48EC-B9A4-E173873B7CE9@gmail.com"
type="cite">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
… und ich nochmal.
<div class=""><br class="">
<div>
<blockquote type="cite" class="">
<div class="">On 8 Jan 2017, at 11:10, Andreas Goetz <<a
moz-do-not-send="true" href="mailto:cpuidle@gmail.com"
class="">cpuidle@gmail.com</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<meta http-equiv="Content-Type" content="text/html;
charset=utf-8" class="">
<div style="word-wrap: break-word; -webkit-nbsp-mode:
space; -webkit-line-break: after-white-space;" class="">Moin,
<div class=""><br class="">
<div class="">
<blockquote type="cite" class="">
<div class="">On 7 Jan 2017, at 11:46, <a
moz-do-not-send="true"
href="mailto:china2013@abwesend.de" class="">china2013@abwesend.de</a>
wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<meta content="text/html; charset=utf-8"
http-equiv="Content-Type" class="">
<div bgcolor="#FFFFFF" text="#000000" class="">
Hallo Klaus,<br class="">
<br class="">
<a moz-do-not-send="true"
href="https://www.google.de/?gws_rd=ssl#q=security+by+obscurity"
class="">security by obscurity</a> ist
leider keine Lösung, das haben schon viele
lernen müssen.<br class="">
</div>
</div>
</blockquote>
<div class=""><br class="">
</div>
Da kann ich China nur aus vollem Herzen
beipflichten. Der Ansatz hält allenfalls
Idiotenangriffe ab. Jedes bessere Exploit Framework
wird einfach auch die HTTP Methoden
durchprobieren...</div>
<div class=""><br class="">
<blockquote type="cite" class="">
<div class="">
<div bgcolor="#FFFFFF" text="#000000" class="">
Die Schnittstelle zum Server ist ja sauber
dokumentiert, also auch alle Befehle, die du
keinesfalls öffentlich haben willst. Durch
Wegnehmen eines Buttons im Frontend
funktioniert ein "Löschen" durch Dritte
weiterhin genauso gut.<br class="">
</div>
</div>
</blockquote>
<div class=""><br class="">
</div>
Lösen lässt sich das trotzdem mit <a
moz-do-not-send="true"
href="https://github.com/volkszaehler/volkszaehler.org/pull/551"
class="">https://github.com/volkszaehler/volkszaehler.org/pull/551</a></div>
<div class=""><br class="">
</div>
<div class="">Per Default wird da nur auch IP
gefiltert (intern darf, extern braucht User). </div>
<div class=""><br class="">
</div>
<div class="">Genau könnten wir aber zusätzlich auf
HTTP Methode filtern:</div>
<div class=""> - intern darf</div>
<div class=""> - extern GET (=lesen) darf</div>
<div class=""> - extern PUT/PATCH/POST/DELETE braucht
User</div>
<div class=""><br class="">
</div>
<div class="">Das lässt sich bereits jetzt per Config
bewerkstelligen. Das Einzige was fehlt ist dass wir
den ?operation=xyz Parameter verbieten oder
transparent in die Konfiguration mit einbeziehen da
der anderenfalls via GET Request alles überschreiben
kann.</div>
<div class=""><br class="">
</div>
<div class="">Wenns das braucht um dieses Feature
vielleicht endlich zu mergen dann setze ich mich da
gerne ran.</div>
</div>
</div>
</div>
</blockquote>
<div><br class="">
</div>
Ist jetzt auch eingebaut, siehe <a moz-do-not-send="true"
href="https://github.com/volkszaehler/volkszaehler.org/pull/551/commits/082f0e09b05a53de539da4257de294b2045b5ae9#diff-5678dd63d630800c5b71c1f1d1d2f674L142"
class="">https://github.com/volkszaehler/volkszaehler.org/pull/551/commits/082f0e09b05a53de539da4257de294b2045b5ae9#diff-5678dd63d630800c5b71c1f1d1d2f674L142</a></div>
<div><br class="">
<blockquote type="cite" class="">
<div class="">
<div style="word-wrap: break-word; -webkit-nbsp-mode:
space; -webkit-line-break: after-white-space;" class="">
<div class="">
<div class=""><br class="">
<blockquote type="cite" class="">
<div class="">
<div bgcolor="#FFFFFF" text="#000000" class="">
<br class="">
Viele Grüße<br class="">
</div>
</div>
</blockquote>
<div class=""><br class="">
</div>
Viele Grüße, </div>
<div class="">Andreas</div>
<div class=""><br class="">
<blockquote type="cite" class="">
<div class="">
<div bgcolor="#FFFFFF" text="#000000" class="">
<hr class="" size="2" width="100%"><br
class="">
<div class="moz-cite-prefix">Am 06.01.2017 um
13:14 schrieb Klaus Reichenecker:<br
class="">
</div>
<blockquote
cite="mid:20130060-2bf7-7d22-3ba1-30134af27afa@kr123.de"
type="cite" class="">Ich habe meine
VZ-Installation auch öffentlich erreichbar,
direkt über eine URL. <br class="">
<br class="">
Es stört mich nicht, wenn jetzt irgendjemand
auf der Welt weiss, wie warm es in meinem
Bad ist. <br class="">
<br class="">
Die einzige Sorge die ich habe ist, dass
jemand aus Spass Kanäle löscht oder ändert.
<br class="">
<br class="">
Deshalb: wäre es nicht am einfachsten, eine
2. Version des Frontend zu haben, bei der es
einfach den Info-/ bearbeiten-Button nicht
gibt? <br class="">
<br class="">
Dieses Version wäre dann die über eine
einfache URL zu erreichende, die andere mit
Edit-Möglichkeiten ist dann versteckt ? <br
class="">
<br class="">
<br class="">
Viele Grüße <br class="">
Klaus <br class="">
</blockquote>
<br class="">
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</blockquote>
<br>
</body>
</html>