Posts by Reichi

    WPA2 ist weit davon weg kritisch unsicher zu sein.

    Ich würde mich da nicht verrückter machen lassen wie es sein muss.


    Man sollte aber halt ungefähr wissen welche Geräte im eigenen Netz was tun müssen und was vielleicht NICHT tun dürfen.

    Und welche Dienste man mit einigermaßen gutem Gewissen ins Netz hängen kann und welche nicht.


    Ich hatte privat in den letzten 20 Jahren keinen einzigen Zwischenfall.
    Und ich habe auch "nur" eine ganz normale Fritz!Box (zwischendurch mal kurz eine easy.box).


    Leider wird halt auch in der "Fachpresse" immer wieder mal Halbgares zum Lesen serviert.

    Ich meine es WIRKLICH nicht böse, aber:


    Ich habe das Gefühl dass hier mit etwas zuviel Halbwissen argumentiert wird.


    Das ist alles ziemlich wild durcheinander gewürfelt und irgendwie nicht sehr naja... Realitätsnah.


    Kein großes, auch nur ansatzweise modernes Netzwerk setzt noch auf Hubs - weil die Paketkollisionen exponentiell zu den Clients/Ports zunehmen, da jedes Paket auf jeden Port kopiert wird.

    Heutzutage benutzt man Switches und damit ARP (Address Resolution Protocol) um MAC-Adress-basiert Geräte direkt anzusprechen statt jedes Paket blind ins komplette Netzwerk zu senden.


    Kurze Begriffsklärung: DMZ - Demilitarisierte Zone - Geräte welche direkt aus dem Internet ansprechbar sind und technisch betrachtet eigentlich noch "Vor dem Router" (wenn das Internet vorne ist) hängen.


    Eine Firma welche alle Clients in eine DMZ hängt würde heute vermutlich keinen einzigen Tag überleben.


    Und ja, mit IPv6 haben wir tatsächlich den Fall dass jeder Client, auch in einem privaten Netzwerk, eine eigene, öffentlich erreichbare IP Adresse haben kann.

    Das Entscheidende ist aber, dass der gewöhnliche Router diese Geräte eben NICHT von außen erreichbar macht, jedenfalls nicht ohne Zutun des Nutzers.

    Sonst hätten wir nämlich direkt wieder eine DMZ.


    Bei IPv4 hat man als Privatnutzer i.d.R. neu genau eine IP Adresse. D.h. es benötigt AKTIVES routing zum Gerät damit dieses überhaupt aus dem Internet erreichbar ist.

    Das heißt auch, dass der Administrator des Routers das Ganze aktiv einstellen muss.


    Ein Switch/Hub ist dafür zuständig dass Geräte sich innerhalb eines Sub-Netzes & VLANs finden.

    Ein Router ist dafür Zuständig, dass sich Netzwerkgeräte über Subnetze und/oder auch VLANs hinweg unterhalten (oder auch eben gerade NICHT) können.


    Ein gewöhnliche Firewall wie sie jeder Haushaltsübliche Router einsetzt kann keine Angriffe auf Lückenhafte Client-Software unterbinden, das benötigt man Deep Packet Inspection.
    Sie kann lediglich steuern welcher Dienst (Port & Protokoll) von welcher "Quelle" aus erreichbar ist.


    So und damit sind wir beim entscheidenden Punkt:


    Wenn wir jetzt netfilter (die linux firewall) auf die Dreambox packen, könnte man damit nicht mehr filtern, wie es jeder normal Router ohnehin schon kann und macht.

    Man möchte die "Bösen" von Zugrauff aus das eigene Netzwerk fern halten, das gelingt am Besten an einem möglichst zentralen Punkt und das ist nun mal der Router.


    Alternativ kann man sich, wenn man einigermaßen paranoid ist, auch eine eigenständge Firewall hinter den Router und vor alle weiteren Clients hängen, welche den gesamten Traffic vom und ins Internet nochmal komplett filtert.

    Hier gibts es z.B. recht bekannte Open Source Linux Distributionen wie IPFire. Das kommt dann auch mit Firewall und Intrusion Prevention System welche für den Privategebrauch mehr als ausreicht.


    Und nochmal, auch in Unternehmensnetzwerken hat nicht jeder Client eine eigene Firwall (der Wartungsaufwand wäre unvorstellbar).

    Stattdessen man hat zentrale Instanzen die all Das voneinder trennen was getrennt sein muss (logisch über VLAN/routing oder auch physikalisch in Form komplett losgelöster lokaler Netze), und (hoffentlich) auch alles filtern was gefiltert werden muss.


    TLDR; Eine eigene Firwall ist nur auf Geräten interessant welche direkt, und ohne vorgeschalteten Schutz im Internet hängen. Sie ist dann z.B. notwendig um festzulegen welche Dienste nur aus dem lokalen Netz und welche aus dem öffentlichen Netz erreichbar sind.

    Das ist in einem gewöhnlichen Privatnetzwerk mit Glasfaser/Kabel/DSL und Router aber faktisch NIE der Fall.


    Und jeder, der so einen Fall privat konstruiert weiß in aller Regel was er treibt (oder handelt grob fahrlässig).


    PS: Diese Erläuterung hat absolut keinen Anspruch auf Vollständigkeit (dafür gibt's sehr gute Literatur in Büchern und im Netz).
    Das Thema KANN schnell unendlich komplex werden und ist dann für Laien auch sehr schnell nicht mehr nachvollziehbar.


    PPS: Bei einem erfolgreichen root exploit sind alle auf dem betroffenen Gerät getroffenen Sicherheitsmaßnahmen direkt und ausnahmslos vollständig unwirksam da man alles was eigentlisch schützen sollte "einfach so" abschalten kann.
    Lediglich externe Maßnahmen können ggf. noch schlimmeres verhindern (z.B. dass ein Client in der Finanzabteilung schlicht keine möglichkeit Hat irgendwie auf ein produktionskritisches Kernsystem zuzugreifen).

    Ich bin davon überzeugt, dass ein Gerät welches nicht in einer DMZ hängt (und da gehört eine Dreambox mal so garnicht hin!) keine eigene Firewall benötigt.


    Das Firewalling in Richtung Internet ist Aufgabe des Routers oder eben einer dedizierten Firewall.

    Ohne dass der Router und die zum Internet gerichtete Firewall den Traffik aus dem Internet durchlassen und korrekt Routen ist die Box von außen schlicht "unsichtbar".


    Viel wichtiger ist, dass man solche Geräte korrekt in Richtung Internet öffnet.

    Ein https Reverse-Proxy mit ordentlichen Zertifikaten ist da meine persönliche "Mindestanforderung".


    Noch besser: nur über VPN von außen erreichbar.

    In Kürze gibt es endlich mal wieder eine neue Beta version für Tester (einfach im Play Store auf "Testern werden" klicken...)

    Auf https://dreamdroid.org sieht man die neue "TV & Filme" Sektion in der TV, Radio, Filme und Timer zusammengfasst dargestellt werden.


    Der Play Store Eintrag sollte (wieder) erscheinen sobald Google die Überprüfung abgeschlossen hat.

    Wie lange das aktuell dauert kann ich leider nicht sagen, das letzte dreamDroid release war vor 2 Jahren...

    Moin,


    sorry, aufgrund eines fehlers meinerseits gefolgt von einem zickigen DNS wurde die App aufgrund einer nicht erreichbaren Datenschutzerklärung von Google aus dem Play Store genommen.

    Ich werde mich bemühen das noch heute zu korrigieren.


    Die "google freie" Version findest du immer hier:


    Releases · sreichholf/dreamDroid
    DreamDroid is an open-source enigma2 client for android based devices. - sreichholf/dreamDroid
    github.com

    Ich habs schon ne weile nicht mehr benutzt, ich such nach mal nach dem code in dem ich es selbst benutzt hab... (ich weiß es nicht mehr, sorry)

    Achso, welches Format haben denn deine Quelldaten?



    Nachtrag:


    Hier nochmal der konkrete Eintrag aus dem Changelog, damit muss es eigentlich funktionieren.


    Code
      - use bytearray() or any <sequence>(int) on the python side)  - example call: self._picload.startDecodeBuffer(bytearray(data), len(data))        

    Moin,


    das kam erst relativ kürzlich dazu....

    Aber in neueren enigma2 versionen gibt es

    ePicload.startDecodeBuffer


    Python
        def startDecodeBuffer(self, picbuf, n, async=True):
            """
            startDecodeBuffer(ePicLoad self, unsigned char const * picbuf, size_t n, bool async=True) -> RESULT
            startDecodeBuffer(ePicLoad self, unsigned char const * picbuf, size_t n) -> RESULT
            """


    Wenn ich mich recht entsinne müssten das python-seitig mit "bytes(....)" funktionieren.

    Wir sind hier kein Wirtshaus-Stammtisch.

    Ein Mindestmaß an Umgangsform, Themenbezug und Niveau kann man durchaus erwarten.


    Orte an denen man Diskussionen über Güter des Täglichen Bedarfs und die absurde Züge des Bunkerns führen kann gibt es im Netz sicherlich mehr als genug.

    Als Betreiber müssen wir ganz und garnicht jede Abomination von "Diskussion" einfach so laufen lassen und wir wollen es auch nicht.

    Gepaart mit einigen Eskapaden in den letzten 6 Monaten sind wir nun eben - wie angekündigt - strenger...

    Es geht wohl um die neue Auflösung für Skins.

    Oder wir beschränken künstlich die Ausgabeauflösung und verlangen für 4K 100€ Lizenzgebühr im Jahr?!

    Wer weiß das schon?


    Wahrscheinlicher ist wohl, dass Skins gemeint sind.

    WQHD bietet, mit GL gerendert, einen sehr schönen Mittelweg.

    Wobei man in sachen Performance für die Zukunft sicherlich noch optimieren kann.