Lieber dhwz, ich hab wirklich einen heiden Respekt und bewundere Deine unermüdliche Arbeit am dreamboxEDIT, ohne das man die meisten Enigma2 Boxen nicht sinnvoll nutzen könnte. Und es fällt mir schwer, Dir zu widersprechen!

Aber bei iOS verhält es sich halt etwas anders. Wenn ich mit dem aktuellen xCode Toolset eine neue Version bauen und im Appstore freigeben will, dann muss ich die für iOS 10 anpassen. Und allein DAS ist schon mal ein heiden Aufwand. Gleichzeitig bin ich gezwungen, den Support für ältere iOS Versionen aufzugeben, also werden alle User, die noch iOS 7 oder 8 haben, diese Erweiterung sowieso nie bekommen können.

Außerdem funktioniert die App momentan halt auch unheimlich stabil. Und das hinzukriegen war nicht einfach. Jetzt die Kommunikation aufzubohren birgt auch immer das Risiko, das nachher wieder irgendwo anders was nicht geht wie zuvor. Denke nur daran, dass alte Webinterface Versionen gar keine POST Requests vertragen. Wer weiß schon wo die noch überall rumfliegen und was sonst noch so lauert.

Das Problem ist, ich seh überhaupt keinen Nutzen in der Aktion.

Auch wenn der Thread schon ein paar Tage alt ist, will ich hierzu noch was beitragen. Der m0rphU hat mich freundlicherweise auf die Änderung am Webinterface und diese Diskussion hier hingewiesen.

Zunächst mal will ich zwei Dinge sehr positiv hervorheben, die hier noch gar nicht genannt sind: Zum einen ist auch die HTTP Authentifizierung jetzt standardmäßig eingeschaltet, und zum anderen ist die Anmeldung mit leerem Kennwort nicht mehr möglich. Das beides finde ich sehr gut!

Zu den beiden anderen Optionen habe ich ehrlich nicht verstanden, was die bringen sollen. Wenn eine Box ohne Passwortschutz übers Internet erreichbar ist, dann wird es einen potentiellen Angreifer kaum ausbremsen, dass er seine Requests als POST schicken und sich per /web/session von der Box erstmal eine Session-ID für seinen Angriff geben muss. Wie das geht, kann er wunderbar nachlesen.

Okay, die beiden Optionen sollen vor CSRF-Attacken schützen. Aha. CSRF bedeutet, dass jemand eine bestehende Anmeldung an der Box von einer fremden Seite aus kapert.

Das Szenario muss ich mir so vorstellen: Ich hab meine Box mit einem sicheren Kennwort geschützt, das der Angreifer nicht rauskriegt, deshalb versucht er CSRF.

Ich bin also mit meinem Browser am Webinterface der Box angemeldet, was ich ja durchaus einmal im Monat mache, oder einmal alle zwei Monate. Und anschließend wechsle ich ohne den Browser zu beenden ganz zufällig auf eine vom Angreifer kompromittierte Webseite. Und der Angreifer muss genau die IP Adresse meiner Box kennen und in seine Seite eingebaut haben, zum Beispiel in ein manipuliertes <img> oder in ein JavaScript. Na das ist ja mal naheliegend.

Aber ich bin schlau gewesen und habe die beiden Sicherheitsoptionen aktiviert. Und die bewirken, dass das mit dem <img> schon mal gar nicht geht, und das JavaScript ne Ecke komplizierter ausfallen muss. Den der Angreifer müsste erst /web/session absetzen und dann die Session-ID aus dem XML holen und so viel Aufwand schreckt den Angreifer bestimmt ab...

So richtig glauben kann ich das nicht. Was ich weiß ist, dass der Zusatz „may break clients“ getrost geändert werden kann in „will definitely break many clients“.

Es ist halt ein heiden Aufwand, das nachzuziehen, aber einen praktischen Mehrwert oder Nutzen bringt es nicht. Aber Scherereien bringt es ganz sicher. Daher meine eindringliche Bitte, über die Defaulteinstellung dieser beiden Optionen bitte doch noch mal nachzudenken!

Aber nochmal: Man kann den Leuten gar nicht genug in den Hintern treten, dass sie Authentifizierung einschalten und ordentliche Kennwörter verwenden müssen. Den Teil finde ich gut!

Gunnar von E2WORLD hat sich inzwischen auch die Mühe gemacht, eine kurze Demo aufzuzeichen, vielen Dank dafür!

Hier ist das Video: telly’mote – Virtuelle Tastatur zur Box

Auch wenn der Verglich hinkt: Bei Apple wurden in den letzten 6 Wochen über 3500 Apps für ein Produkt veröffentlicht, noch bevor die allermeisten Entwickler dieser Apps, geschweige denn irgendein Anwender dieses ominöse Produkt überhaupt jemals in der Hand gehabt hätte. Das ging, weil man Monate zuvor detaillierte Informationen, Schnittstellen, Dokumentationen und vor allem eine maßgeschneiderte Entwicklungsumgebung bereitstellte.

Freilich ist das ein ganz anderes Universum. Aber vielleicht kann man daraus doch ein bisschen was lernen. Da draußen gibt es offensichtlich Leute, die durchaus begabt und interessiert sind, aber auch so komplett verrückt, ihre Zeit mit vollkommen brotlosen Dingen zu vergeuden, wie Apps für iOS zu programmieren. Schlicht weil es Spaß macht.

Vielleicht macht es ja auch Spaß, "Apps" für die Dreambox zu schreiben, auch wenn das mindestens genauso brotlos ist. Und vielleicht könnten sich ja hier und da ein paar Verrückte finden, die sich dafür begeistern. Es muss ja nicht unbedingt schon vor dem Produktstart 30 Apps geben, die das Hardware-Transcoding der 7080 nutzen. Aber dass es sechs Monate nach dem Produktstart keine einzige gibt, ist traurig.

Zitat von dre

...aber gibt es infos von samsung, apple, microsoft zu updates bevor die erscheinen? normalerweise nicht. ist das nun auch negativ?

Mal abgesehen davon, dass man DMM wohl kaum mit solchen Weltkonzernen vergleichen kann: gerade bei Windows 10, aber auch bei neuen iOS- oder OS X Versionen wird man doch regelrecht zugeschüttet mit Dokumentationen und Vorabversionen, schon viele Monate vor dem geplanten Produktrelease.

Tatsache ist, bei der 7080 ist auch 6 Monate nach Markeinführung ein wichtiges Produktmerkmal nicht benutzbar. Insofern könnte man die Ratlosigkeit oder vielleicht auch schon aufkeimende Frustration seitens treuer Kunden doch etwas ernst nehmen und sich vielleicht die Zeit für einen erklärenden Zweizeiler nehmen. Nierotter bringt genau das auf den Punkt und schreibt damit sicherlich, was viele denken.

Ziemlich bedenklich ist doch, dass selbst "gewöhlich gut unterrichtete Kreise" wie die der Dreambox immer treu ergebenen Merlin Macher hier nur in die Glaskugel gucken können. Das Enigma2 Projekt und seine Vorgänger sind immer getragen worden von Offenheit, und von der Mitarbeit und Zuarbeit der Community.
Es geht dabei gar nicht darum, alle internen Source offenzulegen. Aber man könnte Schnittstellen anbieten und Dokumentation, und die Community einbeziehen. Da kann man sich bei Microsoft, und teilweise sogar bei Apple noch einiges abgucken.

Sorry, hätte ich auch irgendwie gleich drauf kommen können. Natürlich hat Google alle Mails fein säuberlich unter "Spam" abgelegt. Man muss nur das Mailprogramm im Browser öffen...

Die Registrierung am Board mit einer Google Mailadresse *.googlemail.com und *.gmail.com hat irgendwie nicht funktioniert. Die Aktivierungsmail kam auch nach 2 Tagen und mehreren Versuchen nicht durch. Kann es sein, dass ihr bei denen auf einer Spammer Blacklist seid?

Ist doch aber irgendwie traurig, dass Du überhaupt die Glaskugel bemühen musst.

Prinzipiell könnte man mit dem Transcoding schon wirklich nette Sachen machen, insbesondere auf mobile Geräte streamen. Das macht aber eigentlich nur Sinn, wenn der Stream denn auch so daher kommt, dass er mit der Hardware-Decodierung des Mobilgerätes entschlüsselt werden kann.

Der neue Streaming Service der Dreambox verwendet RTSP und ist somit leider ziemlich unbrauchbar für Mobilgeräte mit dem angebissenen Apfel auf der Rückseite, sprich iOS selbst kann/will das nicht verarbeiten.

Es gibt zwar eine Handvoll RTSP-kompatible Clients für iOS von Drittanbietern, wie VLC, diese basieren aber allesamt letztlich auf ffmpeg, d.h. benutzen nicht die Hardware-Decodierung des Mobilgerätes, sondern leiern jedes Bit durch den Prozessor. Und das ist zum einen ziemlich schlecht für den Akku, und zum anderen hat man halt auch die gleichen Aussetzer wie beim DVB/MPEG-2 Streaming, wenn das iPhone zwischendurch auf die Idee kommt, seinen Prozessor mit anderen Dingen zu beschäftigen, wie z.B. Emails zu empfangen oder Apps zu aktualisieren.

Könnte sein, dass Android bei RTSP besser aufgestellt ist, wobei Android natürlich auch ein weites Feld ist.

Wer aber ein Mobiltelefon oder Tablet mit dem Apfel hat, sollte aktuell nicht allzu große Erwartungen an die schönen neuen Dreamboxen und ihr Hardware-Transcoding setzen. Vielleicht ändert sich das ja irgendwann mal. Hat jemand ne Glaskugel?