Meeting für ioBroker Core/Dev/Admin 18.11.20 20:30
-
Hi Leute,
ich hätte noch ein Thema was ich gern rein bringen würde, aber auch gern den "Ownership" direkt abgeben würde ;-))
Richtet sich vor allem an die "Visu" Devs ...
Es gab in https://github.com/ioBroker/ioBroker.socketio/issues/34 eine Anfrage warum extendObject und delObject per socket.io nicht geht. Es gibt auch effektiv einen PR schon um das generell zu "ändern" von @foxriver76 (https://github.com/ioBroker/ioBroker.socketio/pull/35).
Bisher sind (und hier darf mit @Bluefox gern korrigieren) diese beiden Methoden aus Absicht nur für "socket.io im Admin" verfügbar. Wenn es das nicht wäre, wäre es in allen web-Hosted Adaptern (und eigenen socket.io Instazen) verfügbar - ohne das ein User davon weiss.
Wenn man jetzt die (sorry für die Formulierung im vorauss) blöden Nutzern ausgeht die ggf web Instanzen per Port-Weiterleitung ins Internet stellen oder irgendwie erreichbar machen, dann ist das sehr gefährlich weil plötzlich diese Funktionen verfügbar sind. Jemand kann also sehr einfach (vor allem bei Installationen wo web als Admin läuft wie fast überall) alles löschen oder kaputt machen.
Ich fühle mich irgendwie nicht wohl das einfach so ungeschützt auf zu machen.Eine option einfach ein setting im Admin adapter zu haben wäre auch eine, obwohl man die mit ner dicken fetten roten blinkenden Warnungen versehen muss - wenn man das aber braucht damit bestimmte visus gehen ist es wieder blödsinn.
Mein Gefühl geht auch eher dahin das man bei Visus generell über den Schutz von "Edit" vs "Visu"-Modus nachdenken muss, oder ?!
Das würde ich gern mal diskutieren.Ideen wären als Beispiel zu sagen "del/extend gehen nur wenn ein User aktiv authentifiziert wurde".
Ziel für eine DIskussion im Meeting wäre in meinen Augen ein gemeinsames Verständnis zu schaffen und idealerweise einen bzw eine Gruppe von Ownern zu finden die sich dieser "Security Challenge für Visu Adapter" mal widmen wollen ...
closed extendObject not working at all #34
-
Ich möchte auch echarts vorstellen.
-
@Bluefox sagte in Online Meeting für ioBroker Core/Dev/Admin 28.11 20:30:
Ich möchte auch echarts vorstellen.
Kann man den Adapter schon publizieren?
-
@ldittmar stimmt das datum .. 28.11 20:30... ich habe mir 18ten notiert ??
-
@arteck Mir war auch, Mittwoch 18.
-
Ihr habt Recht!! Im Text habe ich auch den 18. rein geschrieben, aber in der Überschrift nicht.
Mea culpa!! -
@ldittmar Steinigung am 18.11 um 20:25 möge sich der Herr im Vorhof einfinden zum am Pfahl binden.
das Weibsvolk kann schon mal mit Steinesammeln anfangen
-
Aber nur Männer erlaubt bei der Steinigung ... ganz nach MP Manier ;-))
-
@apollon77 sagte in Online Meeting für ioBroker Core/Dev/Admin 18.11 20:30:
Hi Leute,
ich hätte noch ein Thema was ich gern rein bringen würde, aber auch gern den "Ownership" direkt abgeben würde ;-))
Richtet sich vor allem an die "Visu" Devs ...
Es gab in https://github.com/ioBroker/ioBroker.socketio/issues/34 eine Anfrage warum extendObject und delObject per socket.io nicht geht. Es gibt auch effektiv einen PR schon um das generell zu "ändern" von @foxriver76 (https://github.com/ioBroker/ioBroker.socketio/pull/35).(Zitat gekürzt)
Hi @apollon77
Danke für's aufgreifen
Leider kann ich heute nicht dabei sein (Family ruft
).
Ich verstehe deine Bedenken sehr gut (VIS, offene Ports, ...), echt ein wichtiger Punkt.
Mein Use Case ist hier übrigens nicht VIS, sondern ein npm-Modul (https://github.com/Jey-Cee/iobroker-drones) zum Ablösen des Windows-Control-Adapters. Aber ich hatte da dann einen schnellen Workaround eingebaut: https://github.com/Jey-Cee/iobroker-drones/blob/a5472f070963e3add7d15cf1813de197e3726269/main.js#L301
Bei einem Einsatz von socket.io in einem npm-Modul (also nicht VIS etc.) wäre das wohl unproblematischer?Wünsche euch viel Spaß und einen konstruktiven Austausch heute Abend!
-
Gibt es wo einen Bericht zum nachlesen?
-
@sigi234 Alles was besprochen wurde, habe ich als Stichpunkte ganz oben, unterhalb der Themen geschrieben.
