Posts by Reichi

    Dass der Daumen runter hier primär missbräuchlich benutzt wurde ist Fakt.

    Das war ja nicht nur einmal so.


    Und, dass Kritik die man nicht formulieren möchte die Mühe nicht wert ist, sollte irgendwie auch jedem einleuchten.

    Okay kein Problem, zeigt auch die heutige Situation unserere Lage wieder, keine Kritik alles TOP ...

    Ist das dein Ernst?


    Wer konstruktive Kritik üben möchte kann das, wie mein Vorrendner schon sagte, gerne in vollständigen Sätzen formulieren.


    Ein Feature wie Daumen runter wird unserer Erfahrung nach (wie gesagt, das war hier anfangs an!) primär mißbräuchlich genutzt um irgendwelchem Frust freien lauf zu lassen, oder einen User zu sabotieren.


    Sollte das entsprechende Emoji mißbräuchlich genutzt wird auch das aus der Auswahl verschwinden, das kann ich jetzt schon zusichern.


    Jetzt komm mein ganz persönlicher Kommentar:


    Und ja, du zeigst tatsächlich den Geist der Zeit, denn ich finde deinen Kommentar einfach nur daneben.

    Einfach mal Austeilen/Motzen ohne vorher drüber nachzudenken was man da eigentlich schreibt ist leider grad viel zu "trendy".


    Wenn man nicht bereit ist Kritik konstruktiv und in ganzen Sätzen zu formulieren kanns ja kaum wichtig sein, oder?

    Und wenn man einfach nur seinen Frust an anderen Personen auslassen möchte ist hier bei uns sowieso der falsche Ort!


    Ich finds einfach nur traurig wie oft ich mir hier mittlerweile Threads durchlesen muss bei denen ich nicht mehr nachvollziehen kann wie man derart unmöglich miteinander umgehen kann.

    Und wir sollen das dann "angemessen moderieren".
    Das macht so RICHTIG viel "Spass", ehrlich! /ironie

    dbox1: warum der Groll?
    Ich bitte dich darum zu akzeptieren dass wir hier aus diversen Gründen beschlossen haben keinen Marktplatz anbieten zu wollen (rechtliche Dinge, massive erhöhter Kontrollaufwand unsererseits um etwaiige Werbung zu unterbinden, etc).

    Keiner möchte dich damit "ärgern" oder so, aber es ist nunmal so.


    Das heißt nicht, dass wir hier jedem normalen Diskussionsverlauf sofort einen Riegel vorschieben...

    Wir sind hier kein Marktplatz und da wir eine Firma sind hat das durchaus auch rechtliche Gründe!

    Abgesehen von dem für uns nicht stemmbaren Moderations"potential".

    Die Dreambox macht aber tatsächlich nichts falsch, sondern der FireTV.


    Der schickt folgendes


    Code
    Sep 02 14:05:18 dm920 enigma2[290]: [eCec] send 4 -> 8 : 47 44 72 65 61 6d 62 6f 78 (hier schickt die Dreambox lediglich ihren OSD Namen)
    Sep 02 14:05:19 dm920 enigma2[290]: [eCec] handle message 8 -> f : 82 24 00
    Sep 02 14:05:19 dm920 enigma2[290]: [eCec] Active Source 2.4.0.0

    8 ist die logische, 2.4.0.0 die Physische Adresse des FireTV 4k, ER schaltet den AVR wieder an indem er sagt er ist jetzt aktiv.
    Der Rest bleibt vermutlich aus weil der Shutdown-Vorgang noch nicht abgeschlossen ist (TVs brauchen gerne mal bis zu 30 sekunden bevor man sie wieder anschalten kann).


    Davor regt der FireTV quasi eine recht umfassende Kommnunikation an in deren Folge er dann einfach sagt er wäre jetzt die die aktive Quelle, aber völlig ohne erkennbaren Grund.

    1. Is there going to be a universal image for Dreambox One, Two and Seven ?

    Yes


    2. What version of python will the next image be based on ?

    ...

    4. Will the next generation image get a new build environment and a new OE ?

    Well, this is a little more complicated than just that.

    Doing all at once (universal images, new oe, python3 upgrade) would surely bring us into some kind of bug doom.
    So here's a rough and not binding "roadmap" on how we somehow plan to go with it

    1. The initial "Universal" image will probably be released on pyro (the current opendreambox/openembedded distribution)
      There's already some strictly limited betatesting going on with selected people (no, you can't write me a PM to join, I won't answer those!)
    2. In parallel we're actively working on getting "Kirkstone" (the latest openembedded release) ready.
      This migration is quite cumbersome and takes some effort.
    3. We might release some kirkstone images (which will be universal) still using 2.7 before wie start migrating to python 3 (at the time of wrinting it would be python 3.10.4)


    3. Will the next generation of image be released before the release of Seven?

    That is likely to happen


    Timetable. I am not asking for a timetable written in stone but there must be an set timetable as a goal to accomplish the tasks by DP

    There will be no public statements about internal timetables.

    There's a lot of stuff going on behind the scenes and getting things ready to release to the public just takes time (a LOT of time)

    "Just" creating a GPT partition table on a dreambox one/two without the correct bootloader installed at the correct location will get you HEAPS of trouble!!

    It will actually delete parts of your bootloader making the box semi-bricked and requiring a quite tedious manual recovery using a special SD card image (which we don't offer publicly, but only when required).

    Was soll man dazu jetzt "offiziell" sagen?


    Generell gilt natürlich:

    Wer selbst provoziert, wird jemanden finden der sich provoziert fühlt.


    Ob das gut ist? Sicher nicht!

    Es ist die ewig alte Leier:

    Wenn man sich durch die Aussage eines Anderen gereizt fühlt ist es besser einfach nichts zu schreiben.

    Keiner zwingt einen auf alles zu reagieren bei dem man eventuell mal anderer Meinung ist.


    Ich empfand den Ton gerade im letzten Thread mit dem Thema "Beim Ausschalten ist das alles irgendwie nicht so intuitiv" zwar als rau, aber noch nicht jenseits der Grenze dessen was ich als Beleidigung ansehen würde (außer ich hab was übersehen, was gut möglich sein kann). Inhaltlich muss ich letztlich aber zustimmen: Das Verhalten wenn eine Aufnahme läuft kann und sollte man besser lösen!


    Der Ton "aller" Beteiligten war allerdings recht schnell relativ rau und auch schnell eher unhöflich.
    Da darf sich dann auch jeder an der eigenen Nase packen, wenn man dieses Spiel seitenlang mitspielt/voran treibt.


    Was mir allerdings seitens der "Alteingesessenen" oft fehlt ist die sachlichere Betrachtung solcher Kritikpostings.

    Denn im Kern ist da ganz ganz häufig was sehr wahres enthalten.
    Nur weil wir uns die letzten 20 Jahre daran gewöhnt haben, heißt es ja nicht, dass es der Weisheit letzter Schluss ist!


    Es wäre schön wenn man wieder etwas mehr versucht die Leute abzuholen statt ihnen zu sagen sie sollen doch ein Taxi rufen...

    WPA2 ist weit davon weg kritisch unsicher zu sein.

    Ich würde mich da nicht verrückter machen lassen wie es sein muss.


    Man sollte aber halt ungefähr wissen welche Geräte im eigenen Netz was tun müssen und was vielleicht NICHT tun dürfen.

    Und welche Dienste man mit einigermaßen gutem Gewissen ins Netz hängen kann und welche nicht.


    Ich hatte privat in den letzten 20 Jahren keinen einzigen Zwischenfall.
    Und ich habe auch "nur" eine ganz normale Fritz!Box (zwischendurch mal kurz eine easy.box).


    Leider wird halt auch in der "Fachpresse" immer wieder mal Halbgares zum Lesen serviert.

    Ich meine es WIRKLICH nicht böse, aber:


    Ich habe das Gefühl dass hier mit etwas zuviel Halbwissen argumentiert wird.


    Das ist alles ziemlich wild durcheinander gewürfelt und irgendwie nicht sehr naja... Realitätsnah.


    Kein großes, auch nur ansatzweise modernes Netzwerk setzt noch auf Hubs - weil die Paketkollisionen exponentiell zu den Clients/Ports zunehmen, da jedes Paket auf jeden Port kopiert wird.

    Heutzutage benutzt man Switches und damit ARP (Address Resolution Protocol) um MAC-Adress-basiert Geräte direkt anzusprechen statt jedes Paket blind ins komplette Netzwerk zu senden.


    Kurze Begriffsklärung: DMZ - Demilitarisierte Zone - Geräte welche direkt aus dem Internet ansprechbar sind und technisch betrachtet eigentlich noch "Vor dem Router" (wenn das Internet vorne ist) hängen.


    Eine Firma welche alle Clients in eine DMZ hängt würde heute vermutlich keinen einzigen Tag überleben.


    Und ja, mit IPv6 haben wir tatsächlich den Fall dass jeder Client, auch in einem privaten Netzwerk, eine eigene, öffentlich erreichbare IP Adresse haben kann.

    Das Entscheidende ist aber, dass der gewöhnliche Router diese Geräte eben NICHT von außen erreichbar macht, jedenfalls nicht ohne Zutun des Nutzers.

    Sonst hätten wir nämlich direkt wieder eine DMZ.


    Bei IPv4 hat man als Privatnutzer i.d.R. neu genau eine IP Adresse. D.h. es benötigt AKTIVES routing zum Gerät damit dieses überhaupt aus dem Internet erreichbar ist.

    Das heißt auch, dass der Administrator des Routers das Ganze aktiv einstellen muss.


    Ein Switch/Hub ist dafür zuständig dass Geräte sich innerhalb eines Sub-Netzes & VLANs finden.

    Ein Router ist dafür Zuständig, dass sich Netzwerkgeräte über Subnetze und/oder auch VLANs hinweg unterhalten (oder auch eben gerade NICHT) können.


    Ein gewöhnliche Firewall wie sie jeder Haushaltsübliche Router einsetzt kann keine Angriffe auf Lückenhafte Client-Software unterbinden, das benötigt man Deep Packet Inspection.
    Sie kann lediglich steuern welcher Dienst (Port & Protokoll) von welcher "Quelle" aus erreichbar ist.


    So und damit sind wir beim entscheidenden Punkt:


    Wenn wir jetzt netfilter (die linux firewall) auf die Dreambox packen, könnte man damit nicht mehr filtern, wie es jeder normal Router ohnehin schon kann und macht.

    Man möchte die "Bösen" von Zugrauff aus das eigene Netzwerk fern halten, das gelingt am Besten an einem möglichst zentralen Punkt und das ist nun mal der Router.


    Alternativ kann man sich, wenn man einigermaßen paranoid ist, auch eine eigenständge Firewall hinter den Router und vor alle weiteren Clients hängen, welche den gesamten Traffic vom und ins Internet nochmal komplett filtert.

    Hier gibts es z.B. recht bekannte Open Source Linux Distributionen wie IPFire. Das kommt dann auch mit Firewall und Intrusion Prevention System welche für den Privategebrauch mehr als ausreicht.


    Und nochmal, auch in Unternehmensnetzwerken hat nicht jeder Client eine eigene Firwall (der Wartungsaufwand wäre unvorstellbar).

    Stattdessen man hat zentrale Instanzen die all Das voneinder trennen was getrennt sein muss (logisch über VLAN/routing oder auch physikalisch in Form komplett losgelöster lokaler Netze), und (hoffentlich) auch alles filtern was gefiltert werden muss.


    TLDR; Eine eigene Firwall ist nur auf Geräten interessant welche direkt, und ohne vorgeschalteten Schutz im Internet hängen. Sie ist dann z.B. notwendig um festzulegen welche Dienste nur aus dem lokalen Netz und welche aus dem öffentlichen Netz erreichbar sind.

    Das ist in einem gewöhnlichen Privatnetzwerk mit Glasfaser/Kabel/DSL und Router aber faktisch NIE der Fall.


    Und jeder, der so einen Fall privat konstruiert weiß in aller Regel was er treibt (oder handelt grob fahrlässig).


    PS: Diese Erläuterung hat absolut keinen Anspruch auf Vollständigkeit (dafür gibt's sehr gute Literatur in Büchern und im Netz).
    Das Thema KANN schnell unendlich komplex werden und ist dann für Laien auch sehr schnell nicht mehr nachvollziehbar.


    PPS: Bei einem erfolgreichen root exploit sind alle auf dem betroffenen Gerät getroffenen Sicherheitsmaßnahmen direkt und ausnahmslos vollständig unwirksam da man alles was eigentlisch schützen sollte "einfach so" abschalten kann.
    Lediglich externe Maßnahmen können ggf. noch schlimmeres verhindern (z.B. dass ein Client in der Finanzabteilung schlicht keine möglichkeit Hat irgendwie auf ein produktionskritisches Kernsystem zuzugreifen).

    Ich bin davon überzeugt, dass ein Gerät welches nicht in einer DMZ hängt (und da gehört eine Dreambox mal so garnicht hin!) keine eigene Firewall benötigt.


    Das Firewalling in Richtung Internet ist Aufgabe des Routers oder eben einer dedizierten Firewall.

    Ohne dass der Router und die zum Internet gerichtete Firewall den Traffik aus dem Internet durchlassen und korrekt Routen ist die Box von außen schlicht "unsichtbar".


    Viel wichtiger ist, dass man solche Geräte korrekt in Richtung Internet öffnet.

    Ein https Reverse-Proxy mit ordentlichen Zertifikaten ist da meine persönliche "Mindestanforderung".


    Noch besser: nur über VPN von außen erreichbar.