the-vdr-team team mailing list archive
-
the-vdr-team team
-
Mailing list archive
-
Message #00289
Re: JSON-Objekt für Lirc-Hardware
-
To:
the-vdr-team@xxxxxxxxxxxxxxxxxxx
-
From:
"Gerald Dachs" <gda@xxxxxxxxxxx>
-
Date:
Fri, 13 Nov 2009 11:24:39 +0100 (CET)
-
Importance:
Normal
-
In-reply-to:
<390a6ec7771e65ba6f4bad8e3b685862-EhVcX1dAQgdcRwEVBgsBVggfL18CAAEwV0Fb AFxdR0FbV0YAVjB3BFBLWFlBR00cXVtfL1lXXQBeX3IBVFw= -webmailer2@server06.webmailer.hosteurope.de>
-
User-agent:
SquirrelMail/1.4.15
> Man darf leider nie den Nutzereingaben (also den POST-Parametern in einem
> HTTP-POST-Request) vertrauen, weil Dir da alles mögliche geschickt werden
> kann, vom harmlosen Klamauk bis zum mehrzeiligen String, der die
> Lirc-Config völlig verändert und dort Sicherhheitslücken öffnet.
> Deshalb
> muss ein Check stattfinden, ob der Wert, der zurückgeschickt wurde, auch
> ein Wert ist, der in der FB-Liste von Lirc existiert.
Erlaube mir nur mal eine ketzerische Frage, ich tue es auch nicht wieder.
Müssen wir das wirklich so sicher machen? Ich hatte eigentlich gedacht,
dass das ein Frontend für das lokale Netz ist. Wenn einer das per port
forwarding ins Internet bringt, dann ist er selber Schuld. Die Art der
Einstellungen die wir im Frontend haben, machen remote einfach keinen
Sinn. Wozu will ich vom Urlaub aus die Fernbedienung konfigurieren, beim
Live-Plugin ist das was ganz anderes, deshalb ja auch die Trennung.
Gerald
Follow ups
References