search

j-a-n / raspberrymatic-addon-rmupdate

Addon for RaspberryMatic to (auto) update system
GNU General Public License v3.0
34 stars 10 forks source link

Session validation #11

Closed hobbyquaker closed 6 years ago

hobbyquaker commented 6 years ago

Hi Jan,

noch nicht ganz fertig, bisher wird nur die index.html bzw jetzt index.cgi geschützt, die rest.cgi noch nicht. Seh ich das richtig dass Du get_running_installation in Intervallen aufrufst? Dann würde ich dieses Kommando beim Session check aussparen, jeder Session check ist ein Rega Call und das Ding fass ich nur mit Samthandschuhen an ;-) Sicherheitsrelevante Information Disclosure gibts bei dem Kommando ja nich, oder? Außerdem würde ich dann noch die lib/querystring.tcl nutzen um das Kommando zu extrahieren.

Grüße, Sebastian

j-a-n commented 6 years ago

Ja, das get_running_installation wird gepollt. Das kann ruhig ohne Auth verwendet werden. Danke für den PR!