Kurz gesagt: Wenn wir mal eine Roadmap bis yaVDR 1.0 niederschreiben, wird dabei auch ein Punkt sein "tntnet nicht mehr als root laufen lassen".
EDIT: vdr-plugin-live und yavdr-tntnet-web-frontend laufen vollkommen getrennt voneinander und unabhängig.
Gruß
hepi
ZitatOriginal von lopiuh
Gibt es technische Gründe, dass wir für yavdr-web rootrechte benötigen?
Ja, gibt es aktuell noch.
ZitatOriginal von lopiuh
Gibt es technische Gründe, dass live rootrechte benötigen?
Das ist Unsinn, live läuft nicht unter root.
Gerald
ZitatOriginal von lopiuh
ok, das plugin selbst nicht, ich meinte den tntserver prozess. Wenn der übers web komprimitiert wird, hat der Prozess Rootzugruff. Webserver als root hat hallt eine Warnlampe bei mir aktiviert.
Der TNT-Server ist aber nicht für das Live-Plugin zuständig. Die Web-Seiten des Live-Plugins werden nicht vom TNT-Server ausgeliefert.
Gerald
Hallo Lopiuh,
bitte zitiere richtig, oben.
Zur Architektur:
Im Live-Plugin ist tntnet einkompiliert, das heißt Server und Web-App bilden bei Live eine Einheit. Das Live-Plugin braucht daher keinen laufenden tntnet-Server, es hat alles nötige im Gepäck.
Bei uns ist die yaVDR Web-App ein Zusatz zum standalone laufenden tntnet. Wir benötigen tntnet. Da über unser Frontend Systemeinstellungen verändert werden können, brauchen wir bei uns an irgendeiner Stelle in der Kette root-Rechte.
Gruß
hepi
ZitatOriginal von lopiuh
Wenn der übers web komprimitiert wird, hat der Prozess Rootzugruff.
Den yaVDR-Webserver ins web zu stellen ist aber auch eine außerordentlich dumme Idee. Es gibt keinen vernünftigen Grund dafür. Wer das tut und gehackt wird hat selber Schuld und kein Mitleid verdient.
Gerald
das mit live und server rechten ist ja äußerst positiv.
yavdr exponiert: hatt ich gemacht weil die logs so schön schnell angezeigt werden können, überdenke ich dann aber mal schnell 
Naja, es ist ja generell nicht so, dass wir nicht über das Thema Security nachdenken:
1) Wir hatten seit der ersten yaVDR-Version schon eine Authentifizierung vor das Web-Frontend vorgeschaltet. Es war nie ohne Authentifizierung zu erreichen.
2) Beim Design des Web-Frontends sind an einigen Stellen Umwege gemacht worden, um mehr Sicherhheit zu gewährleisten.
Aber: Ich sehe yaVDR als Distribution für die eigenen vier Wände. Wer zusätzlichen Schutz will, weil er das ganze öffentlich ins Internet hängen will, muss dafür selbst sorgen, beispielsweise über einen lokalen SSL-Proxy.
yaVDR ist aber keine Distribution für Online-Banking, dass heißt, solange die Stabilität des TV-Empfangs verbessert werden muss, ist mir das wichtiger, als ein grundsätzlich passables Security-Konzept weiter aufzubohren.
Und wie immer gilt: Die Software ohne Sicherhheitslücken muss erst noch erfunden werden. Anbei der Appell, eventuell gefundene Sicherhheitslücken bitte nicht im Forum, sondern an unser Team zu melden.
Gruß
hepi
ZitatOriginal von hepi
1) Wir hatten seit der ersten yaVDR-Version schon eine Authentifizierung vor das Web-Frontend vorgeschaltet. Es war nie ohne Authentifizierung zu erreichen.
Und diese Authentifizierung erfolgt nicht über einen Default-User mit festem Anfangs-Passwort. Sondern für jeden individuell mit dem Usernamen und Passwort seiner Wahl. Vergleichbares habe ich anderswo noch nicht gesehen. Es gibt auch keine Hintertür. Wer also sein Passwort vergisst, für den wird es mühsam.
Gerald
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
