the-vdr-team team mailing list archive

Thread
Date

Re: JSON-Objekt fÃ¼r Lirc-Hardware

To: the-vdr-team@xxxxxxxxxxxxxxxxxxx
From: "Gerald Dachs" <gda@xxxxxxxxxxx>
Date: Fri, 13 Nov 2009 11:24:39 +0100 (CET)
Importance: Normal
In-reply-to: <390a6ec7771e65ba6f4bad8e3b685862-EhVcX1dAQgdcRwEVBgsBVggfL18CAAEwV0Fb AFxdR0FbV0YAVjB3BFBLWFlBR00cXVtfL1lXXQBeX3IBVFw= -webmailer2@server06.webmailer.hosteurope.de>
User-agent: SquirrelMail/1.4.15

> Man darf leider nie den Nutzereingaben (also den POST-Parametern in einem
> HTTP-POST-Request) vertrauen, weil Dir da alles mÃ¶gliche geschickt werden
> kann, vom harmlosen Klamauk bis zum mehrzeiligen String, der die
> Lirc-Config vÃ¶llig verÃ¤ndert und dort SicherhheitslÃ¼cken Ã¶ffnet.
> Deshalb
> muss ein Check stattfinden, ob der Wert, der zurÃ¼ckgeschickt wurde, auch
> ein Wert ist, der in der FB-Liste von Lirc existiert.

Erlaube mir nur mal eine ketzerische Frage, ich tue es auch nicht wieder.
Müssen wir das wirklich so sicher machen? Ich hatte eigentlich gedacht,
dass das ein Frontend für das lokale Netz ist. Wenn einer das per port
forwarding ins Internet bringt, dann ist er selber Schuld. Die Art der
Einstellungen die wir im Frontend haben, machen remote einfach keinen
Sinn. Wozu will ich vom Urlaub aus die Fernbedienung konfigurieren, beim
Live-Plugin ist das was ganz anderes, deshalb ja auch die Trennung.

Gerald

Follow ups

Re: JSON-Objekt fÃ¼r Lirc-Hardware
From: Henning Pingel, 2009-11-13

References

JSON-Objekt für Lirc-Hardware
From: Gerald Dachs, 2009-11-12
Re: JSON-Objekt für Lirc-Hardware
From: Henning Pingel, 2009-11-12
Re: JSON-Objekt für Lirc-Hardware
From: Gerald Dachs, 2009-11-12
Re: JSON-Objekt für Lirc-Hardware
From: Henning Pingel, 2009-11-13