iobroker.securitycheck --- Brainstorming
-
In letzter Zeit kam es ja schon häufiger vor, das u.a. npm Pakete korumpiert waren oder erst vor kurzem auch axios https://forum.iobroker.net/topic/84185/axios-kompromittiert
Wäre es möglich, solche Prüfungen z.B. auch über den Adapter laufen zu lassen? Vielleicht könnte man ja eine zentrale Datei auf github ablegen, welche als Quelle vom Adapter bei der Prüfung eingelesen wird? Auf diese Weise wäre dann eine Erkennung von korumpierten Pakete auch möglich, ohne das der User ein Adapter Update ausführen muss.
-
Ob sich diese User so Adapter installieren ^^.
@David-G. sagte:
Ob sich diese User so Adapter installieren ^^.
Das ist das Problem. Die machen da gar nichts mehr, wenn das ding einmal 'steht'.
Never touch a vulnerable system, oder so. -
In letzter Zeit kam es ja schon häufiger vor, das u.a. npm Pakete korumpiert waren oder erst vor kurzem auch axios https://forum.iobroker.net/topic/84185/axios-kompromittiert
Wäre es möglich, solche Prüfungen z.B. auch über den Adapter laufen zu lassen? Vielleicht könnte man ja eine zentrale Datei auf github ablegen, welche als Quelle vom Adapter bei der Prüfung eingelesen wird? Auf diese Weise wäre dann eine Erkennung von korumpierten Pakete auch möglich, ohne das der User ein Adapter Update ausführen muss.
@Feuersturm das ist eine sehr gute Idee!
Die Frage ist nur für mich, ob so etwas ggf. in einen anderen Adapter gehört.
Quasi Virenscanner für iobrokerkein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
@Feuersturm das ist eine sehr gute Idee!
Die Frage ist nur für mich, ob so etwas ggf. in einen anderen Adapter gehört.
Quasi Virenscanner für iobrokeriobroker.securitycheck oder so. Da könnte man dann alles mögliche bündeln. Wobei es ja sowas auch schon zumindest für die nach außen offenen Ports gibt. Aber auch diese Benachrichtigungen werden offenbar geflissentlich ignoriert.
Diese Ignoranten werden sich bestimmt keinen solchen Adapter installieren. -
iobroker.securitycheck oder so. Da könnte man dann alles mögliche bündeln. Wobei es ja sowas auch schon zumindest für die nach außen offenen Ports gibt. Aber auch diese Benachrichtigungen werden offenbar geflissentlich ignoriert.
Diese Ignoranten werden sich bestimmt keinen solchen Adapter installieren.iobroker.securitycheck oder so. Da könnte man dann alles mögliche bündeln.
Ja so etwas schwebte mir vor.
Nicht für die Ignoranten, sondern für die Interessierten -
iobroker.securitycheck oder so. Da könnte man dann alles mögliche bündeln. Wobei es ja sowas auch schon zumindest für die nach außen offenen Ports gibt. Aber auch diese Benachrichtigungen werden offenbar geflissentlich ignoriert.
Diese Ignoranten werden sich bestimmt keinen solchen Adapter installieren.Diese Ignoranten werden sich bestimmt keinen solchen Adapter installieren.
Oder es ist ein Adapter der zur Basisinstallation dazugehört und immer mit installiert wird (ähnlich wie Backitup)
-
Diese Ignoranten werden sich bestimmt keinen solchen Adapter installieren.
Oder es ist ein Adapter der zur Basisinstallation dazugehört und immer mit installiert wird (ähnlich wie Backitup)
@Feuersturm oder noch besser im admin integriert, dann kann niemand "diesen Blödsinn" löschen
-
Diese Ignoranten werden sich bestimmt keinen solchen Adapter installieren.
Oder es ist ein Adapter der zur Basisinstallation dazugehört und immer mit installiert wird (ähnlich wie Backitup)
Eigentlich müsste sowas als Komponente in den js-controller rein.
Bleibt aber das Problem, das Benachrichtigungen z. B. bezüglich der nach außen offenen Ports auch heute schon gekonnt ignoriert werden.
Keine Ahnung was da die 'Denke' ist. Mein kleines System findet schon keiner? Das ist aber eine ganz große Fehlannahme... -
Wird langsam OT!
Auch wenn sehr interessant und wichtig istkein Support per PN! - Fragen im Forum stellen -
Benutzt das Voting rechts unten im Beitrag wenn er euch geholfen hat.
Das Forum freut sich über eine Spende. Benutzt dazu den Spendenbutton oben rechts. Danke!
der Installationsfixer: curl -fsL https://iobroker.net/fix.sh | bash - -
Wird langsam OT!
Du kannst das Thema ja hier heraustrennen :)
Das User Meldungen ignorieren, wird man nicht verhindern können. Wenn sich jemand aber durch ein Adapter Update korrumpierte Pakete unwissentlich einfängt, dann wäre eine Benachrichtigung schon was feines. Die Anzahl der Angriffe auf npm Pakete wird in der Zukunft sicherlich nicht weniger werden ;-)
Die wenigsten Enduser wird man mit den hier im Forum geposteten Skripten erreichen, wenn es mal wieder schadhafte npm Pakete gibt
-
H Homoran verschob dieses Thema von Tester
-
Wird langsam OT!
Du kannst das Thema ja hier heraustrennen :)
Das User Meldungen ignorieren, wird man nicht verhindern können. Wenn sich jemand aber durch ein Adapter Update korrumpierte Pakete unwissentlich einfängt, dann wäre eine Benachrichtigung schon was feines. Die Anzahl der Angriffe auf npm Pakete wird in der Zukunft sicherlich nicht weniger werden ;-)
Die wenigsten Enduser wird man mit den hier im Forum geposteten Skripten erreichen, wenn es mal wieder schadhafte npm Pakete gibt
Du kannst das Thema ja hier heraustrennen :)
Erledigt
-
-> Sprecht es ev. im Meeting an.
Persönlich denke ich sollte sowas von js-controller oder admin erledigt werden. Ein eigener Adapter ist da eher Overkill.
Zu klären wäre auch was denn genau und wie gecheckt werden soll. Eine Liste von blacklisted Packages? OK, die könnte jederzeit analog zu den Repos gefetched und abgeglichen werden. Ginge sogar bei jeder Installation zusätzlich zu regelmäßigem Scan.
Echten "Code" / Scripts würd ich keinesfalls dynamisch von irgendwo laden. Da ist das Risiko m.E. zu groß dass wir dann selbst Schadcode installieren.
Und einen Virenscanner kann das nie ersetzen. Code der nicht als npm Package rumliegt zu scannen macht wenig Sinn.
Und dann wär noch zu klären wer denn die User bei einem Alarm betreuen / beraten will ...
Entwicklung u Betreuung: envertech-pv, hoymiles-ms, ns-client, pid, snmp Adapter;
Support Repositoryverwaltung.Wer 'nen Kaffee spendieren will: https://paypal.me
-
-> Sprecht es ev. im Meeting an.
Persönlich denke ich sollte sowas von js-controller oder admin erledigt werden. Ein eigener Adapter ist da eher Overkill.
Zu klären wäre auch was denn genau und wie gecheckt werden soll. Eine Liste von blacklisted Packages? OK, die könnte jederzeit analog zu den Repos gefetched und abgeglichen werden. Ginge sogar bei jeder Installation zusätzlich zu regelmäßigem Scan.
Echten "Code" / Scripts würd ich keinesfalls dynamisch von irgendwo laden. Da ist das Risiko m.E. zu groß dass wir dann selbst Schadcode installieren.
Und einen Virenscanner kann das nie ersetzen. Code der nicht als npm Package rumliegt zu scannen macht wenig Sinn.
Und dann wär noch zu klären wer denn die User bei einem Alarm betreuen / beraten will ...
Und dann wär noch zu klären wer denn die User bei einem Alarm betreuen / beraten will ...
Ich Denke das ist Schritt drei, Schritt eins sollte sein Installation blocken, Schritt zwei betroffene Pakete löschen und weitere Maßnahmen.
Allerdings ist das ein erheblicher Aufwand und bedarf permanenter und Zeit naher Betreuung des entsprechenden Moduls.
So etwas mit rein zu nehmen macht m.E. Sinn, wenn möglich sollte hier aber auf eine Lösung gesetzt werden die Eigenständig ist und von mehreren Projekten genutzt wird.
Hey! Du scheinst an dieser Unterhaltung interessiert zu sein, hast aber noch kein Konto.
Hast du es satt, bei jedem Besuch durch die gleichen Beiträge zu scrollen? Wenn du dich für ein Konto anmeldest, kommst du immer genau dorthin zurück, wo du zuvor warst, und kannst dich über neue Antworten benachrichtigen lassen (entweder per E-Mail oder Push-Benachrichtigung). Du kannst auch Lesezeichen speichern und Beiträge positiv bewerten, um anderen Community-Mitgliedern deine Wertschätzung zu zeigen.
Mit deinem Input könnte dieser Beitrag noch besser werden 💗
Registrieren Anmelden586
Online32.8k
Benutzer82.7k
Themen1.3m
Beiträge