Thema gesplittet. Zu Deiner Frage: Das OpenWebif schaut mit meiner letzten Änderung genau nach diesem Header - "Authorization: Basic ..." - und läßt den Request durch, wenn dieser Header vorhanden ist und Username/Passwort stimmen. Du kannst das ZIP aus dem OpenWebif benutzen, das ist die aktuelle Version.
Ich verstehe Deinen letzen Kommentar schon richtig, und ich werde auch weiterhin versuchen, die größeren Einfallslöcher zuzumachen, wenn ich sie sehe. Das Problem bei diesem "kleinen" Loch scheint ja zu sein, dass es aktiv ausgenutzt wird, um Daten auszuspionieren...
Das grundsätzliche Problem hier ist aber, dass "twisted" kein echter Webserver ist, sondern eine Library, um die man einen eigenen Webserver bauen muss. Und dabei wurde keinen Deut auf Sicherheit geachtet, weder im OpenWebif noch im Webinterface von Reichi. Eigentlich müsste man komplett von vorne anfangen, deswegen funktioniert nur Flickschusterei. Leider.
Ich verstehe Deinen letzen Kommentar schon richtig, und ich werde auch weiterhin versuchen, die größeren Einfallslöcher zuzumachen, wenn ich sie sehe. Das Problem bei diesem "kleinen" Loch scheint ja zu sein, dass es aktiv ausgenutzt wird, um Daten auszuspionieren...
Das grundsätzliche Problem hier ist aber, dass "twisted" kein echter Webserver ist, sondern eine Library, um die man einen eigenen Webserver bauen muss. Und dabei wurde keinen Deut auf Sicherheit geachtet, weder im OpenWebif noch im Webinterface von Reichi. Eigentlich müsste man komplett von vorne anfangen, deswegen funktioniert nur Flickschusterei. Leider.
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Cimarast ()