search

haumacher / phoneblock

Der Spam-Filter für die Fritz!Box
https://phoneblock.net
GNU General Public License v3.0
161 stars 15 forks source link

Spam-Nummern OpenData #10

Open Janokisu opened 2 years ago

Janokisu commented 2 years ago

Wäre es möglich, die Spamnummern der Community auf für Nicht-Mitglieder zur Verfügung zu stellen, sodass man das Telefonbuch als XML-Datei für die Fritz!Box und/oder als offenes Format wie CSV herunterladen kann?

haumacher commented 2 years ago

Es gibt jetzt eine API, mit der man die Blocklist von PhoneBlock abfragen kann, auch wenn man nicht CardDAV sprechen kann. Die PhoneBlock API ist hier dokumentiert: https://phoneblock.net/phoneblock/api/

Die Abfrage der Blocklist geht z.B. über die folgende URL: https://phoneblock.net/phoneblock/api/blocklist

Als Format ist aktuell erst mal nur JSON verfügbar, d.h. man kann es nicht ohne Zwischenverarbeitung in die Fritz!Box hochladen. Ein manuelles Hochladen gibt ja aber ohnehin keinen Sinn, weil man das ja ständig wiederholen müsste.

Die API unterstützt neben dem Abruf der Blocklist auch die Abfrage einer einzelnen Nummer über https://phoneblock.net/phoneblock/api/num/{number} und den kompletten Prozess der Nutzer-Registrierung. Damit kann man damit auch ein unabhängiges Tool z.B. für die Synchronisation alter Fritz!Boxen entwickeln (siehe https://github.com/haumacher/phoneblock/issues/9)

Ach ja - ohne Anmeldung möchte ich keinen Zugriff erlauben. Die Anmeldung kostet nichts, tut nicht weh und man kann ja, wenn man Angst hat, eine Wegwerf-E-Mail-Adresse verwenden. Ohne eine Anmeldung zu fordern wäre ich nicht in der Lage Misbrauch der API einzuschränken, ohne alle Nutzer in Mitleidenschaft zu ziehen.

haumacher commented 2 years ago

Ach ja, für Tests bitte die Test-Installation benutzen: https://phoneblock.net/pb-test/

Janokisu commented 2 years ago

ok, weiß Bescheid.

Die Tests führe ich ausführlich durch, sobald ich die "Telefonbuch-ändern-Funktion" umgesetzt habe. Musst dich noch ein bisschen gedulden.

MarkyMarkDE commented 1 year ago

Ach ja - ohne Anmeldung möchte ich keinen Zugriff erlauben. Die Anmeldung kostet nichts, tut nicht weh und man kann ja, wenn man Angst hat, eine Wegwerf-E-Mail-Adresse verwenden. Ohne eine Anmeldung zu fordern wäre ich nicht in der Lage Misbrauch der API einzuschränken, ohne alle Nutzer in Mitleidenschaft zu ziehen.

Richtig so, habe mich sogar inzwischen auf meine "echte" Mailadresse umstellen lassen, weil ich Dir vertraue. Du wirst ja bestimmt nicht, die gesammelten Mailadressen an z. B. Werbetreibende verkaufen, um den Dienst zu finanzieren :wink:.

In einer AVM FB Gruppe habe ich schon einige Stimmen gehört, die bereit wären, einen "Obolus" für den Dienst zu bezahlen, aber es muss natürlich ich Rahmen bleiben. Es gibt ja einen Dienst (nenne keinen Namen) der ähnlich ist, aber der nimmt richtig Asche.

Janokisu commented 1 year ago

Du wirst ja bestimmt nicht, die gesammelten Mailadressen an z. B. Werbetreibende verkaufen, um den Dienst zu finanzieren 😉.

Meine Befürchtung ist eher: was ist im Fall eines Hacks? Sind die Mails verschlüsselt gespeichert und co.?

haumacher commented 1 year ago

Meine Befürchtung ist eher: was ist im Fall eines Hacks? Sind die Mails verschlüsselt gespeichert und co.?

Ein Restrisiko bleibt. Die Passwörter sind verschlüsselt gespeichert, die Mail-Adressen nicht - im Zweifel muss das System ja eine Mail schicken können, das geht schlecht, wenn die Adressen nicht zu lesen sind. Und was das System kann, könnte im Ernstfall ein Hacker auch.

Janokisu commented 1 year ago

Die Passwörter sind verschlüsselt gespeichert, die Mail-Adressen nicht - im Zweifel muss das System ja eine Mail schicken können, das geht schlecht, wenn die Adressen nicht zu lesen sind.

Das ist so nicht ganz richtig. Es besteht die Möglichkeit, dass der Schlüssel entweder hartcodiert mittels Kompilierung oder durch ein Masterpasswort abgesichert ist. Kommt halt auf das Tool an, was man nutzt. Wäre ja ne Katastrophe, wenn z.B. Keepass die Passwörter in Klartext abspeichern würde.

Und du weißt ja sicherlich, dass ein erfolgreicher Hack nach dem DSGVO für dich oder dein Unternehmen teuer werden kann.

haumacher commented 1 year ago

...der Schlüssel entweder hartcodiert mittels Kompilierung oder durch ein Masterpasswort...

Kann man alles machen - im ersten Fall stünde der Schlüssel enweder open-source hier im Repository, oder mindestens im Code auf dem Server, im zweiten Fall mindestens im Hauptspeicher auf dem Server. Auf beides hätte ein erfolgreicher Angreifer Zugriff. Ja, es würdes es für einen Angreifer etwas schwerer machen, aber keinesfalls sicher.

Janokisu commented 1 year ago

Es geht ja auch nur darum, welche Maßnahmen man unternimmt, um a) es Hackern so schwer wie möglich zu machen b) das du aus der Verantwortung heraus bist c) das von den Kunden so wenig Daten wie möglich (am besten natürlich keine), entwendet und missbraucht werden können.

"Es ist zu 100% sicher, dass nichts sicher ist."

Falls es Technisch möglich wäre, wäre es mMn Ideal, wenn du empfehlen würdest, Fake-Mails (10-Minuten-Mails) zu nutzen oder gänzlich auf Mails verzichtest.

haumacher commented 1 year ago

... "wenn du empfehlen würdest, Fake-Mails (10-Minuten-Mails) zu nutzen" ...

Das gibt ja keinen Sinn - über diese E-Mail wäre der Abonent im Ernstfall ja gar nicht zu erreichen. Manche machen das zwar so aber nicht so viele dass sich da aktuell Gegenmaßnahmen lohnen würden.