+ Antworten
Seite 2 von 6 ErsteErste 1 2 3 4 ... LetzteLetzte
Ergebnis 11 bis 20 von 56
  1. #11
    Registriert seit
    Oct 2007
    Ort
    Villach,Kärnten,Österreich
    Beiträge
    2,901

    Zitat Zitat von Raketenschnecke Beitrag anzeigen
    Halte ich auch für eine extrem wichtige Maßnahme. Solange uns der Hersteller die komplette Übersicht der Schnittstellen verweigert, sollte er sich wenigstens in der Pflicht sehen, auf diese Weise sich für die Sicherheit seines Produktes und der User zu engagieren.
    Naja, sag ma so: Bis dato war es schon OK so wie es ist.

    Durch die neuen Module werden aber auch immer mehr Plug&Play User angezogen. Das bedingt dann aber wiederum auch ein Sicherheitskonzept bzw. Doku und Visualisierung auf einem entsprechend angepasstem Niveau.

    Wenn ich so manche Beiträge der "suche Modul xvz " User lese, so denke ich mir das so manches IPS weltoffen rumliegt.
    Zu meiner Schande muß zugeben dass mir dies auch selbst schon passiert ist. Bis mich dann mal paresy privat und diskret darauf hingewiesen hatte.

    gruß
    bb

  2. #12
    Registriert seit
    Feb 2005
    Ort
    Lübeck
    Beiträge
    20,422

    Finde die Idee einen "System-Check" einzubauen gut. Werde das mal für IP-Symcon 4.2 aufnehmen

    paresy

  3. #13
    Registriert seit
    Oct 2010
    Ort
    HH
    Beiträge
    4,613

    Standard noch eine Verständnisfrage zur WFE-Sicherheit

    Nach diesem Sicherheitshinweis in der Doku:

    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	RS.net_2016-09-12_13-55_001.png 
Hits:	166 
Größe:	117.1 KB 
ID:	35487

    bin ich auch hier nicht sicher, ob ich das nicht vielleicht falsch interpretiere. Gesetzt den Fall, ich will mit einem dedizierten WFE Daten für den allgemeinen Zugriff aus dem Netz visualisieren und lege dort ein paar ausgewählte Variablen rein und veröffentliche diese via WFE (ohne Passwortschutz).
    Hier stellt sich mir (im Kontext auf oben genannten Doku-Hinweis) die Frage, ob über dieses beschriebene WFE auch der Rest meines Systems eingesehen werden kann? => Bisher habe ich die Erwartungshaltung: Nein, darf und kann nicht eingesehen werden.

    Nun habe ich mir eben mal den WFE-Code angeschaut, um evtl. zu verstehen, was da passiert. Erstaunt stelle ich in der Chrome-Konsole fest, dass dort ausnahmslos alle Variablen und Events zu sehen sind, die es in dem System gibt. Egal, ob diese was mit dem oben beschriebenen WFE zu tun haben oder nicht.

    Im Beispiel die Rohdaten in der Browser-Konsole, die für die Variable 45064 übertragen (Var-ID, Wert, TimeStamp) wurden. Diese Variable gehört aber nicht zu dem Teilbaum, der diesem WFE zugewiesen und veröffentlicht wurde......

    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	RS.net_2016-09-13_15-00_001.jpg 
Hits:	198 
Größe:	199.2 KB 
ID:	35488

    Würde ich schon mal als potenzielle Sicherheitslücke und perfekte Schnittstelle für NSA & Co. werten.

    Nun aber die Frage: sind in einem konfigurierten WFE (welches nur einen Teil des gesamten Objektbaumes visualisieren soll) nur und ausschließlich die Objekte enthalten die ich dem WFE zugewiesen habe (incl. der im Objektbaum als 'ausgeblendet' markierten Objekte), oder ist dort grundsätzlich der gesamte Objektbaum des Systems enthalten (und nur nicht sichtbar)?
    mit gebücktem Gruss
    Raketenschnecke
    IPS-Projekte und -Tools auf
    www.raketenschnecke.net

  4. #14
    Registriert seit
    Feb 2005
    Ort
    Lübeck
    Beiträge
    20,422

    Bis Version 3.4 wird immer der gesamte Snapshot übertragen, jedoch nicht vollständigt angezeigt. Ab Version 4.0 wird nur der wirklich benötigte Teilbaum übertragen. Der Editor benötigt den vollständigen Snapshot übrigens, damit du korrekt neue Start-Kategorien und z.B. Medien-Objekte auswählen kannst.

    paresy
    Geändert von paresy (13.09.16 um 14:42 Uhr)

  5. #15
    Registriert seit
    Oct 2010
    Ort
    HH
    Beiträge
    4,613

    sehr spannend..... damit habe ich durch mein Missverständnis der letzten Jahre eine völlig offene Datenschnittstelle mit Klartext ins Netz gestellt, über die wirklich alle meine Daten, die jemals in den letzten 3 Jahren durch mein IPS gegangen sind (Passwörter, Loggingdaten, interne Informationen, IP-Adressen etc. etc), veröffentlicht und zur allg. Aufzeichnung freigegeben ....... sehr beruhigend..... gut, dass ich mich jetzt selber damit auseinander setze und nicht nur auf die Doku hoffe......
    Vielleicht hätte ich besser einen Profi fragen sollen.

    Also, liebe Kinder: NICHT nachmachen!!!!
    Niemals nich ein WFE (auch nicht mit einem klitzekleinen Teil des Objektbaums) im Web veröffentlichen, nicht für Showcases, nicht für "harmlose Wetterdaten" .... einfach NICHT tun!
    mit gebücktem Gruss
    Raketenschnecke
    IPS-Projekte und -Tools auf
    www.raketenschnecke.net

  6. #16
    Registriert seit
    Feb 2005
    Ort
    Lübeck
    Beiträge
    20,422

    Sofern man noch das alte IP-Symcon 3.4 nutzt Ab Version 4.0 übertragen wir nur den wirklich benötigten Teilbaum inkl. der nur notwendigen Änderungen betreffend des Rückkanals.

    paresy

  7. #17
    Registriert seit
    Oct 2010
    Ort
    HH
    Beiträge
    4,613

    Es ist wirklich bemerkenswert, mit welcher Leichtigkeit Du solche sicherheitsrelevanten Themen behandelst .... mir fehlen wirklich die Worte .....

    zumal das von mir geschilderte Szenario auf der Analyse unter IPS 4.0 beruht. Siehe Bild oben. Es ist also keineswegs so, dass unter IPS 4.0 nur die Daten geladen werden, die ausdrücklich im WFE vom User definiert wurden.....
    Geändert von Raketenschnecke (13.09.16 um 14:56 Uhr)
    mit gebücktem Gruss
    Raketenschnecke
    IPS-Projekte und -Tools auf
    www.raketenschnecke.net

  8. #18
    Registriert seit
    Oct 2010
    Ort
    HH
    Beiträge
    4,613

    Ich habe jetzt mal (unter IPS 4.0) eine Test-Variable im Testsystem angelegt und geschaut, was in der Browser-Konsole dazu zu sehen ist.

    Fazit: es werden wirklich alle Attribute zu der Variable (die wohlgemerkt nicht zum teilbaum dieses Webfronts gehört) an das WFE übertragen, obwohl ich diesem WFE einen klitzekleinen Teilbaum zugeweisen habe, der sich weit weg vom root (hier 'area51.rs.net") befindet. Wenn man diese Änderungen im Objektbaum aufzeichnet, wäre man sogar in der Lage, den gesamten Objektbaum des Systems zu rekonstruieren.

    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	RS.net_2016-09-13_16-27_001.jpg 
Hits:	193 
Größe:	171.5 KB 
ID:	35489

    Anschließend habe ich zum Test das Wort 'passwort' in die Variable geschrieben, der unmittelbar danach im Klartext im WFE auftaucht:

    Klicken Sie auf die Grafik für eine größere Ansicht 

Name:	RS.net_2016-09-13_16-27_002.jpg 
Hits:	164 
Größe:	166.9 KB 
ID:	35490

    ich bin jetzt wirklich gespannt, mit welcher Story Ihr das legitimieren wollt......
    mit gebücktem Gruss
    Raketenschnecke
    IPS-Projekte und -Tools auf
    www.raketenschnecke.net

  9. #19
    Registriert seit
    Sep 2014
    Ort
    Limeshain (Hessen)
    Beiträge
    5,264

    Warum die Aufregung? Es wurde doch immer groß und breit geschrieben >> niemand muss auf IPS 4.0 updaten, wenn er nicht will!!!
    ...also bleib weiter bei IPS 3.4, dann siehst du auch weiter alle Daten im Klartext...falls du sie mal vergessen solltest, schau einfach über das IPS-WebFront nach Du musst dir diese tolle Möglichkeit nicht durch IPS 4 verbauen

    Spaß beiseite. Dazu ist das Thema eigentlich viel zu ernst. Aber das ist schon wieder so übel, das man sich doch schon wieder einen Witz erlauben darf.
    Erst vor kurzem wird die komplette Partition, auf der IPS installiert ist, frei ins Internet gestellt. Was SSL ist, musste man euch auch erst noch erklären, bis ihr mal ein wenig oberflächlich am Rating geschraubt habt, jetzt das...was kommt als nächstes?

    Aber eure Ausrede ist sicher wieder > der Kunde ist für die Sicherheit zuständig und IPS muss sonst auf nichts hinweisen. Schwach...echt schwach! Schade, dass zu wenig Leute verstehen/sehen wie ihr so tickt...

    -Chris-
    IP-Symcon Module >> www.bayaro.net << Verfügbare Module: BatterieMonitor, BundesligaTabelle, Enigma2BY, HeizölPreise, Horoskop, HostMonitor, IPSInformations, MELCloud, Müllabfuhr, PJLink, RSS, TankerkönigSpritpreise, xREL
    IPS Unlimited, ~1200 Scripte, ~7000 Variablen

  10. #20
    Registriert seit
    Jul 2014
    Ort
    Heilbronn
    Beiträge
    314

    Hey RS, schön Dich zu lesen ... Du bist aber auch ein kleiner Problembär

    Wenn ich das so sehe ... es ist und bleibt so das ich eine natürliche Abneigung gegen jegliche Hersteller Implementierung von "sicherheitsrelevanten" Dingen habe .... bei mir bleibt´s beim VPN (on Demand) und das funktioniert ja ohne Probleme...

    Grüsse, MaLu

Ähnliche Themen

  1. rtl-now im WFE
    Von fraggle im Forum WebFront
    Antworten: 0
    Letzter Beitrag: 14.07.13, 21:05
  2. IPS RS WFE Terminator
    Von Raketenschnecke im Forum Anleitungen / Nützliche PHP Skripte
    Antworten: 2
    Letzter Beitrag: 03.10.12, 18:34
  3. Sollwert RTR in WFE einstellen?
    Von Maloe im Forum WebFront
    Antworten: 1
    Letzter Beitrag: 24.08.11, 08:15
  4. Steuerung auf HTML-Basis ins WFE einbauen - wie?
    Von Raketenschnecke im Forum Skripte, PHP, SQL
    Antworten: 3
    Letzter Beitrag: 17.05.11, 19:37
  5. Reihenfolge im WFE
    Von hrahlers im Forum WebFront
    Antworten: 3
    Letzter Beitrag: 28.12.10, 17:44