NEWS
npm audit fix
-
Hallo zusammen,
habe einen Adapter aktualisiert und dann am Ende diese Ausgabe erhalten..found 87 vulnerabilities (62 low, 3 moderate, 22 high) run `npm audit fix` to fix them, or `npm audit` for details
wenn ich versuche in /opt/iobroker den Befehl npm audit fix ausführe erhalte ich folgende Meldung:
pi@ioBroker-Pi:/opt/iobroker $ sudo npm audit fix npm ERR! code EAUDITNOLOCK npm ERR! audit Neither npm-shrinkwrap.json nor package-lock.json found: Cannot audit a project without a lockfile npm ERR! audit Try creating one first with: npm i --package-lock-only npm ERR! A complete log of this run can be found in:
Muss ich mir hier sorgen machen ? Wer kann mir hier helfen?
Danke!
-
Nein, ist nur ein Hinweis für den Entwickler..........
-
Das sind die Gründe dafür, dass man iobroker nicht mit freigegebenen Port direkt im Internet betreiben sollte.
Irgendwas davon könnte ausgenutzt werden um doch in das System einzudringen und damit Zugriff auf euer System oder gar andere Geräte im netztwerk zu erlangen -
ok,
wie sollte man z.B. den GeofencyAdapter benutzen..ohne PortForwarding funktioniert das Ganze ja nicht...VPN, manuell einzuschalten macht ja keinen Sinn...soll ja automatisiert ablaufen.
-
@fisch
aus dem readme des adapters:security note:
It is not recommended to expose this adapter to the public internet. Some kind of WAF/proxy/entry Server should be put before ioBroker. (e.g. nginx is nice and easy to configure).das öffnen eines Ports nach aussen ist keine einfache sache und jemand der mit Netzwerk sich nicht auskennt immer eine gefährliche sache. Firmen wenden da nicht unerheblichen Aufwand auf, um da einigermaßen sicher zu sein. Eine 100% Sicherheit gibt es nie.
Aus diesem Grund sind Cloud-Service-Anbieter gar nicht so schlecht (sofern man diesen vertraut).
Hier kann eine Verbindung von innen (also von deinem Server) zum cloud-Server aufgemacht werden.
Das Problem des Schutzes hat dann der Cloud-Anbieter und das kostet idR auch Geld.
Möglichkeiten gibt es viele die Sicherheit zu erhöhen, aber für Normalanbieter meist nicht umsetzbar.
Ich kenn mich mit Computer, Netzwerk etc. eigentlich ganz gut aus. Selbst ich würde mir nicht zutrauen einen Firewall mit absoluter Sicherheit komplett zu konfigurieren.