Sich unberechtigten Zugriff auf ein fremdes System zu verschaffen ist,
bitte korrigiert mich,
Immer wieder gerne
in jedem Land illegal.
Sich unberechtigten Zugriff auf ein fremdes System zu verschaffen ist,
bitte korrigiert mich,
Immer wieder gerne
in jedem Land illegal.
Ok...Ich würde denken, dass weder du noch ich uns auf der gleichen rechtlichen Basis wie der Staatstrojaner bewegen
Auch wenn ich den ebenso nicht befürworte.
Weiter habe ich von "unberechtigt" gesprochen. Aus eben o. g. Wiki:
Ein Staatstrojaner ist eine Software, ....Sie ist durch die Online-Durchsuchung oder die Quellen-Telekommunikationsüberwachung rechtlich legitimiert.
Somit also legitim. Auch wenn du und ich das anders sehen.
Aber ich schweife schon wieder ab
Und so ein maximal abgespecktes System wie Core/LibreElec ist doch noch der einfachste Kandidat zum abdichten. Alle anderen Systeme haben doch viel mehr software laufen, die gecheckt werden muss. Bei einem System wie Libre/CoreElec koennte man am einfachsten sicherungen einbauen, das selbst echtes hacking um auf eine shell zu kommen dann noch am meisten ins leere laufen - kein root, keine interessanten CLI binaries zum ausfuehren.
Ja dann quatsch' doch nicht, sondern mach! Die Core-/LibreElec Leute freuen sich über jeden Schnipsel Code, der die Systeme sicher macht. Einfach die Systeme forken, erweitern und die Requests auf Github zur Diskussion stellen! It's Open Source!
Aber wenn man noch nicht mal Core-/LibreElec kennt, geschweige denn jemals installiert hat, ist das natürlich ein schwieriges Unterfangen
War ja vor allem des Spasses wegen. aber auch wieder genug abgelenkt.
Auf jeden Fall waere fuer sowas wie LibreElec/CoreElec eine defaultmaessige Einschraenkungen der Repos auf solche die bekanntermassen gut sind auch eine sinnvolle Sicherheitsmassname.
Ja dann quatsch' doch nicht, sondern mach! Die Core-/LibreElec Leute freuen sich über jeden Schnipsel Code, der die Systeme sicher macht. Einfach die Systeme forken, erweitern und die Requests auf Github zur Diskussion stellen! It's Open Source!
Aber wenn man noch nicht mal Core-/LibreElec kennt, geschweige denn jemals installiert hat, ist das natürlich ein schwieriges Unterfangen
Jaja, hast ja Recht
Das ist doch so schon in Kodi.
Wenn man alternative Repo's einbindet dann kommt erst eine Warnmeldung und man muss es freischalten.
Das hält die Leute die aber kostenlos >Filme schauen wollen nicht ab.
Das letzte mal wo ich geguckt habe war das aber auch bei einem guten repo wie kodinerds so.
Gibt es irgendwo black/whitelists von repos ?
Sed coreElec opus esse puto securior
Ich gehe mal wieder weg vom Angeberlatein - mag schon sein. Zu deinen Vorschlägen, sinnvoll, ich denke aber lange noch nicht genügend. Beispielsweise wird es vielen "normalen" Benutzern schwer fallen, ein Zertifikat für ihre Dienste zu erstellen.
Widerspricht nicht dem was du sagst - was ich hier so lese, immerwieder Tipps, wie man bequem von außen auf seine "Services" kommt - das ist nicht leicht zu kontrollieren und sicher zu gestalten für die meisten Leute hier. Lieber lassen und nicht leichtfertige Lösungen geben.
Ich würde nur kurz auf das hier eingehen wollen.
Hört sich bisschen an, als würdest du zu Widerspruch ansetzen wollen. Ich stimme deinem im folgenden gesagten voll zu, und sehe keinen Widerspruch. Dass nicht alle hier als "illegal" bezeichneten Addons wirklich illegal (oder gar verwerflich) sind und dass es schon echt illegale (illegitime, verwerfliche, wie auch immer) Addons gibt ist kein Widerspruch.
Hätte ich vielleicht nicht erwähnen sollen, weil es wenig mit dem ursprünglichen Thema zu tun hat (wie der Kommentar, auf den ich geantwortet hatte). Muss mich immer wieder selbst daran erinnern, dass es bisweilen klug ist, sich auf die Lippen zu beißen.
Bisschen, nach Lesen von vielen Beiträgen hier inddiesem Thread, und Überfliegen von anderen, habe ich immer noch das Gefühl, dass das Öffnen der eigenen Services nach außen als technische Herausforderung gesehen wird. Wenn es so nicht gut und sicher war, kleiner Tipp wie es anders auch geht. Aber wohl (meines Erachtens) auch nicht sicher.
Ich geb Dir vollkommen recht, das man solange man das mit dem Cert nicht auch loest, auf jeden Fall eine VPN Verbindung braucht. Ob die dann am Ende allerdings leichter aufzusetzen ist ist eine dicke Frage. Die Wireguard Schritte bei der Fritte, die @SkyBird1980 beschrieben hat waren leider schon das einfachste was ich kenne im Consumerbereich, und gerade wenn man jemand anderes zugang gewaehren will, dann ist eigentlich ein https zugang im prinzip einfacher als QR code per mail zu schicken und zu hoffen jemand anderes kriegt so einen client installiert.
Wahrscheinlich sowas wie caddy web server mit forward proxy das einfachste. Den forward proxy have ich noch nicht ausprobiert, aber caddy selbst macht als https server das automatische kriegen und erneuern von zertifikaten super einfach. Waere ideal, sowas wie caddy vor alle von ausserhalb des LAN erreichbaren ports auf einer kiste zu knallen.
Hast Du noch andere fundamentale gaps ?
Moin,
wollte nur mal ein „Danke“ da lassen für die Schilderung des Problems und die vielen möglichen Ursachen, die genannt wurden, insbesondere der CoreElec Test.
Habe das zum Anlass genommen auch bei mir nochmal durch die Freigaben zu gucken und zu schauen, was wirklich notwendig ist und was besser ausschließlich per VPN zu erreichen wäre. Da waren doch 2 Web-Inferfaces, die einfach unnötig und nur aus Bequemlichkeit nach außen offen waren.
TVHeadend ebenso: da muss ich mich dringend damit befassen, dass man von außen keinen Webinterface Zugang hat, sondern „nur“ streamen darf. Läuft bei mir nicht als root, aber trotzdem nicht gut sowas.
Also: ermuntere alle, die Services nach außen haben ihre Fritzbox zu checken und alles nochmal zu hinterfragen.
Viele Grüße
Das Problem ist ja, dass wenn man ein externes Frontend mit einem TVH Server zu Hause verbinden will, in meinem Fall eine S905 im wohnmobil, mit der Kiste die im Wohnzimmer zu Hause steht, geht es nur, wenn man beide Ports verfügbar hat, da reicht nicht nur der Streaming Port, sonst kann die Verbindung von außerhalb nicht hergestellt werden. Und das TV Signal kann nicht übers Internet ins Wohnmobil gestreamt werden.
Wenn das gehen würde, dass man nur den Streaming Port von außerhalb erreichbar macht, dann wäre das Problem schon behoben.
Wenn das gehen würde, dass man nur den Streaming Port von außerhalb erreichbar macht, dann wäre das Problem schon behoben
Das Problem sind nicht die beiden Ports. Vielmehr, dass du den Zugriff schlecht abgesichert hast. Wenn du den gut abgesichert hättest, wäre das Problem gar nicht aufgetreten
Und wie es anders geht, hat man dir ja schon gesagt. Stichwort: VPN
Ja, das ist mir klar.
Aber wenn ich einen hotspot mit dem Handy erstelle und die S905 sich damit verbinden soll, geht gleichzeitige VPN nicht.
Dann muss ich irgendwie der S905 sagen, dass sie per VPN raus geht und nicht den iPhone.
wie richte ich in LE eine VPN Verbindung zur Fritz!Box nach Hause ein? Geht das überhaupt?
LG
Schau mal im LE Repo. Ich meine da gab es ein Wireguard-Addon
Sagtest du auch nicht, dass du CE verwendest und nicht LE? Wenn ich da richtig liege, dann wende dich vielleicht an den CE Support?!
Sorry, natürlich nutze ich CoreElec. Verschrieben.
Ich gucke mal was ich dazu finden kann. Wäre die einzige Lösung das Ganze sicher zum laufen zu bekommen, in meinem Fall.
Wichtig erscheint mir auch, dass das WebIF von TVHeadend wirklich nur aus dem eigenen Netz ansprechbar ist. Das kannst du in den Usern definieren bzw. die Rechte einschränken auf lokales Netz für das WebIF und but Streamen von außen.
Wenn er kein Port Forwarding seiner Fritte macht, dann ist es ohnehin nur aus dem eigenen Netz erreichbar.
Dann noch das VPN und alles ist geritzt
Dann noch das VPN und alles ist geritzt
Dafür habt ihr nur sechs Seiten gebraucht...
¯\_(ツ)_/¯
ich glaube, viele die das lesen verstehen jetzt auf was es wirklich ankommt und warum. ich nutze das alles schon ewig, aber so schlau wie jetzt war ich vorher nicht.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!