openwebif erlaubt download beliebiger Dateien

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • openwebif erlaubt download beliebiger Dateien

      Ich habe gerade festgestellt, dass ich im openwebif jede beliebige Datei herunterladen kann und nicht nur die aufgenommenen Filme.

      Eine URL sieht so aus:
      shadow

      Sollten die Download nicht besser auf /media/hdd/movies beschränkt sein?

      Ich denke ein Fix müsste hier hin:
      e2openplugin-OpenWebif/file.py at master · E2OpenPlugins/e2openplugin-OpenWebif · GitHub


      if not os.path.dirname(filename) == "/media/hdd/movies":



      return "forbidden"

      Oder ähnlich, ich bin Python Anfänger.

    • Wäre schön, wenn das so einfach möglich wäre; dann würden leider ziemlich viele Apps auf Smartphones und PC's und Mac's (Dreamboxedit, iDreamX und wie sie alle heißen) auf einen Schlag nicht mehr funktionieren.

      Einer der Gründe, dass du über eine simple Portweiterleitung nicht mehr ohne Authentifizierung und https mit dem OpenWebif kommunizieren kannst, ist genau der den du gerade festgestellt hast.

      Du bekommst das OpenWebif nicht "dicht", ohne jede Menge Dritt-Applikationen ziemlich nutzlos zu machen.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • Dein NAS ist doch egal :D :D - Hauptsache ich kann mein Aufnahmen noch abspielen.

      Im Ernst: selbst wenn das konfigurierbar wäre: die ganzen Dritt-Apps holen über die File-API die Senderlisten, die lamedb, die Settings usw. Bekommst du nicht gefixt, ohne die Apps zu schrotten. Mal ganz abgesehen von @shadowrider's NAS.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • Dritt-Apps sehe ich nicht so als Problem.
      Android hat das auch durch dekliniert. Zuerst durften Android App alles, wenn sie Lesen und Schreiben wollten, dann wurden die Rechte immer mehr eingeschränkt.
      Ihre eigene Konfiguration müssen sie natürlich lesen und schreiben können, aber sie sollten nicht alles lesen können.

      Bezüglich NAS oder mehrere Platten: Alles was zusätzlich gemounted wurde ist vermutlich kein Sicherheitsproblem, aber die Systempartition sollte raus.
      Und/Oder die File-Extensions können auf "Medien" beschränkt werden "mp4, ts, ...". Das ist zwar eine ziemlich lange Liste, aber machbar und konfigurierbar.

      Die Gefahr die Apps zu schrotten besteht und so eine Änderung würde ein lange Ankündigungszeit und eine Erhöhung der Major-Release-Number von VTi nötig machen.

      Alternativ oder zusätzlich könnte geändert werden, dass der Webserver nicht als root sondern z.B. www Unix-Nutzer läuft, dann könnte z.B. /etc/shadow nicht mehr gelesen werden.

      --

      Allgemein scheint mir die Sicherheit bei VTi nicht als soo wichtig betrachtet zu werden...
      Warum z.B. ist dropbear so alt und unsicher?
      WICHTIG: Dropbear SSH Update
      CHANGES

    • Bezüglich NAS oder mehrere Platten
      mit dem Text dazu widersprichst du deiner ersten Aussage/Forderung aber schonmal

      und ich kann dir versichern, wenn du dich richtig in die Materie einarbeitest wirst den einen oder anderen Punkt ebenso relativieren
      (insbesondere wenn du feststellst, das es sich hier oft nicht einfach um auf einem Grundsystem aufsetzende eigenständige Applikationen handelt sondern unendlich viele Wechselwirkungen zwischen Apps, GUI, System usw. ablaufen - viele Apps interagieren hier mit anderen Apps oder beziehen sich auf diese
      ============================================================================================

    • Wir sprechen von einem SAT-Receiver und keinem Router mit sicherheitsrelevanten Funktionen (äh wie war das mit den Telekom Routern nochmals ..., war da nicht was ....)

      Für secure shell oder auch andwerweitige Verbindungen zu den Receivern wurden hier noch nie Portweiterleitungen empfohlen sondern immer auf VPN's verwiesen, die von eben jenen Routern aufgebaut werden und auch entpsrechend auf Sicherheit im Netz getrimmt werden.
      Für Verbindungen im heimischen Netzwerk sind die dropbear Versionen völlig ausreichend.

      Wer von SAT-Receivern Enterprise Security - Features im Netzwerkbereich fordert ist mit e2 Boxen defintiv falsch und sollte umgehend seine Box verkaufen.
      Die Geräte sind nicht dafür ausgelegt und werden es auch nicht.

      Ich hoffe jetzt nicht noch 15 Threads in dieser Richtung lesen zu müssen, die eh keine Relevanz für den "Normalo" STB-Nutzer (zu denen ich mich auch zähle) haben.

    • Sag mir bitte, wo ich mir widerspreche.
      Sicher habe ich meine ursprüngliche Aussage relativiert und auch bei anderen Aussagen wird das wohl immer wieder passieren.
      Ja, ich weiß nicht wie "alles" miteinander wechselwirkt.
      Trotzdem haben alle Unix-Systeme so eine Sicherheits-Evolution hinter sich und für Plugin/Addon Entwickler wurde und wird es anders und oft auch schwieriger.
      Und auch der Support-Aufwand steigt oft durch Sicherheitseinschränkungen.

      Ich würde gerne meine Box sicherer konfigurieren, das ist vielleicht nicht für jeden das richtige.
      Meine Box hat ssh und https ins Internet offen und ich fühle mich nicht wohl dabei - trotz BASIC auth.
      Insbesondere weil dropbear in der aktuellen Version in VTi Sicherheitslöcher hat.

      Du schreibst "Aussage/Forderung": Ich frage nur. "fordern" führt zu schnell zu einem bösen Ton und "Missverständnissen".
      Und "relativieren" ist gut, oder? Bitte glaube mir, dass ich beitragen möchte und nicht (nur) meckern.
      file.py allows download of any file · Issue #731 · E2OpenPlugins/e2openplugin-OpenWebif · GitHub
      Vielleicht ist das nicht zu fixen - zumindest wenn man der Meinung ist, dass openwebif per Definition Zugriff auf die gesamte Box geben soll.
      Dann ist es ein Feature und kein Bug - aber ich bin anderer Meinung, insbesondere, dass niemand /etc/shadow per openwebif runterladen können sollte.

      //Axel

    • Die /etc/shadow ist wohl das kleinste aller Probleme; die Passwörter darin sind stark verschlüsselt. Wenn du allerdings kein Passwort benutzt oder ein Dictionary-Passwort, dann bist du selber schuld. Aber um das herauszufinden, brauchst du die /etc/shadow nicht.

      Viel schlimmer ist, dass du mit dem OpenWebif beliebige Pakete mit bliebigem Inhalt installieren kannst, wenn du Zugriff auf das OpenWebif hast. Ich bin mir recht sicher, dass du auch den Passwortschutz noch irgendwie umgehen kannst. Erster Angriffpunkt wäre da der Streaming-Proxy.

      Netzwerk-Sicherheit bei e2-Boxen ist und bleibt "wishfull thinking". Benutze ein VPN, damit bist du so gut abgesichert, wie es heute geht.
      Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau runter und schlägt dich mit seiner Erfahrung.

    • Ich glaube es gibt keine unwichtigen Systeme. Das hat nichts mit Enterprise Security zu tun.

      Ein Sicherheitsloch in einem beliebten Browser oder Android oder IOS reicht aus, um von dort im lokalen Netz auf den SAT Receiver zu kommen und den dann als neuen Knoten im einem Botnet zu verwenden.
      Oft ist nicht mal ein Sicherheitsloch notwendig, weil der Browser ja sowieso zur STB kommen soll und die böse Webseite per javascript eine Verbindung zur STB öffnen kann.
      Das betrifft dann viele STB Normalo Nutzer und da nützt auch kein VPN.

      //Axel

      ps: Was ist so schwer dropbear zu aktualisieren?

    • wie kommt der Browser zur STB (wenn nur du den VPN-Zugriff hast) ?

      das geht doch nur per Port-Weiterleitung, und für einen Sicherheitsbewussten überrascht mich sowas dann doch :crazy3:

      Nachtrag:
      was das Thema, also den Zugriff mit dem webinterface auf andere Quellen betrifft - solltest bei der Nutzung selbst das Hirn einschalten und/oder überlegen, wem du den Zugriff auf dein heimisches netzwerk, speziell die Box und deren Funktionen gewähren magst
      eine Admin/User-Funktion war und ist für das webif nicht vorgesehen und wäre wohl auch extrem übertrieben

      (und nein, ich habe in all den Jahren weder versehentlich noch bewusst auf dubiose Quellen zugegriffen)
      ============================================================================================

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von shadowrider ()

    • Der Browser im LAN kommt zur STB, weil er im selben Netz wie die STB ist.
      Ob man bewusst auf dubiose Quellen zugreift oder gephisht wird oder einfach nur einem Link in den Suchergebnissen seiner Lieblingssuchmaschine folgt ist egal. Allerdings hast Du recht, dass die meisten Browser, glaube ich, es nicht mehr erlauben, dass eine WebSeite per JS eine Verbindung zur STB aufbaut. Same origin policy etc

      Bleiben noch Trojaner auf Smartphones oder PCs, die im LAN der STB auf die Box zugreifen können.
      Ich glaube man kann nicht davon ausgehen, dass alle im lokalen Netz ungehackt sind.
      Dann sind da noch die Smartphones der Freunde meiner Kinder oder anderer Freunde, denen ich WLAN Zugang gewähre.
      Alle können auf das openwebif zugreifen (in den Voreinstellungen ohne SSL und ohne Authentisierung).
      Die Kinderfreunde können auch nicht ins Gäste-WLAN, weil sie dann nicht zum Minecraft LAN-Server können.

      Vielleicht ist openwebif auch per Definition zu gefährlich, um den Kinder-PCs Zugriff zu erlauben...

      Danke für Deine Antworten.

      ----

      Hat nichts mit diesem Thema direkt zu tun, da es jeder darf alles Problem von openwebif nicht löst:

      Du empfiehlst also einen openvpn server auf der STB, richtig?
      Tutorial VU+ mit VTI als openvpn-Server

    • ignisvulpis schrieb:

      Die Kinderfreunde können auch nicht ins Gäste-WLAN, weil sie dann nicht zum Minecraft LAN-Server können.
      Versuch doch mal, das via Whitelist in den Einstellungen für das Gastnetz zu regeln, an der Fritzbox 7490 zumindest geht sowas...(unter Internet/Filter).
      Hier bei uns müssen alle Gäste ins Gastnetz, selbst wenn wie früher leider geschehen, das Passwort für's normale WLAN von den damals noch kleineren Kindern an ihre Freunde weitergegeben wurde, würde eine Anmeldung heutzutage wegen aktiviertem Mac-Adressen-Filter scheitern.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von knuti1960 ()

    • Hallo @ignisvulpis,
      deine Besorgnis bzgl. allerlei möglicher Bedrohungen und Sicherheitslücken kann man nun in verschiedenen Threads hier im Forum nachverfolgen.
      Nun denn... :/ ...hast du wohl Spass dran an solchen Postings.
      ...dass du hier in diesem Thread nicht einmal antwortest, wenn man dir einen m.E. vernünftigen Lösungsvorschlag unterbreitet, lässt mich beinahe vermuten.....
      nee, sag ich doch lieber nicht, was ich vermute, Boardregeln :!:

    • Ich kann total falsch liegen, aber im OpenWebIf kann man den Externen Zugriff als root verbieten. Würde das nicht schon etwas helfen?
      Alle sagten, das geht nicht. Dann kam einer, der wusste das nicht, und hat es einfach gemacht.

    • @knuti1960
      Entschuldige für das Nicht-Antworten auf Deinen Beitrag der auf Gastnetz und Fritzbox hinweist.

      Ja, das kann und sollte man tun. Aber es ändert nichts daran, dass alle, die Zugriff auf Openwebif haben auf der Box alles tun können.
      Als ich diesen Beitrag begann, war mir das Ausmaß der Rechte der Openwebif Nutzer nicht bekannt. Damals fand ich hauptsächlich den Zugriff auf alle Systemdateien bedenklich.

      Bei openwebif heißt es alles oder nichts und wird von vielen als Feature von Openwebif gesehen.

      Natürlich sollte man nicht allen Gästen Zugriff auf Openwebif geben. Aber es ist, glaube ich, nicht allen VuPlus Nutzern klar, dass Openwebif Rechte alle Rechte auf der Box bedeuten.
      Inzwischen, glaube ich, dass es unmöglich ist, openwebif sicher zu machen.

      Tut mir leid, dass ich Deinen Lösungsvorschlag nicht ausreichend bzgl der Rechte von openwebif finde.
      Dein Vorschlag ist richtig und man sollte Gäste ins Gastnetz stecken, aber das löst nicht das Problem dieses Beitrags.

      ps: ja, Sicherheit ist mir wichtig. Ich versuche meine Beiträge in das richtige Forum des Boards zu posten. Wer sich nicht für Developement interessiert, muss ja nicht in das Developement Forum schauen.
      Danke, dass Du sachlich bleibst.

      @bew100 Ich glaube, wenn openwebif nicht root ist, dann geht vieles nicht mehr, was openwebif ausmacht.
      Aber probier es aus und schreib was geht und was nicht.

    • Um ins openwebif zu kommen brauch man:

      - Zugang zum Heimnetz -> Da schützt WPA2 und VPN sicher (und falls nicht dan macht man was falsch, falls der Nachbar im gleichen LAN hängt dan sollte man das auch anders konfigurieren)
      - Das Root Kennwort der Box (was vielleicht brute forcebar ist, aber man kann das ja so kompliziert machen wie man will wenn man Paranoid ist)

      Deswegen ist die Sorge einfach unnötig.

      Und ein anderer User würde nichts an der OpenWebif API ändern, ohne Funktionen weg zu nehmen wofür die API aktuell gebraucht wird (was nicht nur das openwebif selbst ist sondern auch Dateiübertragungen von z.B. Settings)

      Und ja man kann Trojaner im Netz haben...aber ist es dann nicht eh schon zu spät? :think1: Die Trojaner beschäftigen sich dan übrigens eher mit deinen Bankdaten auf dem infizierten Android/iOS/Windows/... Gerät dan mit deinem Satereceiver. Und via deinem Rechner kannst du doch auf auf dem NAS wenns über dem Receiver geht...und dein Handy/PC ist auch ideal fürs Botnetz...

      Du sprichst ja auch die ganze Zeit im Konjunktiv...wenn jemand Zugriff hätte...aber warum sollte jemand Zugriff haben der das Root Kennwort nicht kennt und nicht im Heimnetz reinkommt...ich meine wenn jemand in Heimnetz ist und das root Kennwort weiß nutzt er nicht das openwebif um deine Dateien zu kopieren, sondern macht er es auf Port 23 mit FTP...sollten wir jetzt FTP abschaffen auf unsere Boxen? Oder auch da root Zugang verbieten...aber wir wollen doch als Bastler an al unserer Dateien? Oh und wenn jemand in deiner Wohnung kann (geht bestimmt wenn du dein Schlüssel irgendwo verlierst) dan kann er nen Hammer nehmen und deine Box kaputt hauen...brauchen die Boxen jetzt ein Alarm falls jemand die berührt?

      Ein Haus wird mit Schlüssel und gutes Aussenschloss gesichert, bestimmte Zimmer eventuell mit einfach Schloss.
      Beim Heimnetz ist das Schlüssel ein gutes Kennwort und das gute Schloss VPN (oder ohne Portweiterleitung kommt durch NAT gar niemand rein in Falle von IPv4) (oder WPA2 fürs Wifi)
      Beim Receiver hast auch nochmal ein Kennwort, ist aber weil das Heimnetz gesichert ist ein normales Kennwort (und sogar das ist Optional). (deine Aussenntür ist bestimmt besser gesichert als deine Innentüren)
      Und wenn ein Dieb trotz gutes Aussenschloß reinkommt (egal ob durch trojaner oder weil er das VPN Kennwort rausbekommt), dan ist es eh schon zu spät, das ist bei der Wohnung auch so.
      Docendo Discimus
      KEIN SUPPORT PER PN!

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von Clemens ()