Ein Entwickler für Kodi versucht oder veruchte ja bereits mit diesem pullrequest die Sicherheiteit des Addon-Systems zu erhöhen.
Diese Erweiterung hat überhaupt nichts mit Sicherheit zu tun.
Leider würde durch solch einen Vorstoss das "verteilen" von Beta und Testversionen durch weitere Repos (z.B. Nerds) erschwert oder gar verunmöglicht. Dadurch würden schnelle fixes nicht mehr so einfach sein, da so ein Addon dann zuerst durch einen Reviewprozess eines Teammembers seitens Kodi müste.
Nein, es würde so bleiben wie es ist. Andere Repositories können auch dann ihre eigenen Add-ons verteilen.
an die Profis: währe es auch möglich technisch einen Schutz zu implementieren, welcher das installieren von malware möglichst unterbindet, oder ist man bei phyton Addons zwingend auf ein Reviewprozess angewissen, da man via phyton so oder so malware z.B. aus dem Netz nachladen und installieren kann?
Eine Rechteverwaltung könnte man sicherlich einbauen. Allerdings sehe ich da keine realistische Chance:
- der Resourcenaufwand ist zu enorm
- auch mit Rechteverwaltung sind Angriffe möglich
- einer Großzahl an Usern sind die benötigten Berechtigungen egal
- die Freiheit für Entwickler wird beschnitten
Muss zugesthehen das ich mal arg überrascht war, was bei der Addoninstallation in Kodi so alles möglich ist für n Addon.
Hatte mir mal testweise was aus dem SkinWIP tread im ofiziellen installiert und da wurden locker .dll's mitentpackt und sogar .exe waren dabei! (Das n Addon sowas mitbringen darf sollte doch Technisch beim Installationsprozess unterbunden werden können?)
Auch wurden bei der Installation weitere Verzeichnisse (Ausserhalb des Kodi trees) angelegt und mit Inhalt befüllt.
Ein Add-on ist ein Programm wie jedes andere. Es hat die selben Rechte wie der angemeldete User. Der Nutzer selbst muss ja auch selbst entscheiden, welchen Programmen er traut. So ist z.B. VLC i.d.R. unbedenklich, eine gecrackte Version von Photoshop könnte aber Schadsoftware beinhalten.
Auch wenn die Absichten des Erstellers vermutlich ehrenhaft wahren, zeigte es doch, was eigentlich alles so möglich ist (nähmlich so wie es scheint, alles was so n Addon Entwickler grad bock drauf hat, .dll's irgend wo auf m Rechner platzieren, .exe's mit installieren usw., eine Routite öffnete sogar das Kommandozeilenprogramm und führte irgendwelche Schritte Automatisch aus. eigentlich doch haarstreubend.
Das Add-on kann nicht überall Daten platzieren, sondern nur dort, wo der Nutzer Berechtigungen hat. Wie jedes andere Programm was du ausführst.
Was ich mich frage ob es möglich ist nur gewisse Dateitypen bei der installation zuzulassen (also nix mit .exe und .dll) und ob das überhaut Sinn machen würde?
Nein. Es gibt Add-ons mit binären Komponenten. Außerdem kann man ohne weiteres den Dateityp ändern oder im nachhinein Daten herunterladen. Desweiteren gibt es auch binäre Add-ons.
Desweitern anstadt des Vorschlages im oben verlinkten "pullrequest" könnt ich mir vorstellen das das Automatische Updaten von Addons nur aus dem Repo heraus möglich gemacht werden sollte, aus dem es installiert wurde. (Somit würde die Möglichkeit eines automatischen "überschreiben" aus einer "Fremdrepo" unterbunden.)
(-> man könnte immer noch ne Meldung anzeigen lassen, dass ein Update für ein Installiertes Addon aus einer "Fremdrepo" verfügbar ist, und den User entscheiden lassen, ob er in diesem speziellen Fall eine Installation zulassen will. -> "Immer" | "einmalig")
Nein. Dieser PR nutzt nur mir als Entwickler. Ich kann relativ sicher sein, dass meine Add-ons auf genau definierte Pakete zugreifen. So kann man relativ sicher sein, dass man kein Add-on debuggen muss, wo ein Piratenrepo ein verhunztes Script untergeschoben hat. Der Nutzer darf dies dann auch nicht überschreiben können.
Ich kann diese Diskussion rund um die "nicht vorhandene" Sicherheit in Kodi nicht nachvollziehen. Es gibt in der Softwarewelt nur einen großen Hersteller, der seine User bevormundet: Apple mit iOS.
