[PATCH v4] fastd: make secret key updatesafe
Adrian Schmutzler
mail at adrianschmutzler.de
Fr Jan 10 14:42:48 CET 2020
Ich hatte das Ding gerade schon fast gemerged, aber jetzt bin ich wieder unsicher.
Im Prinzip gehört dieser Key nicht nach /etc/config/fff, da dort eine User-Config abgelegt werden soll.
Neben dem rein pedantischen (was nicht so wichtig wäre) macht dies den Key nebenbei auch viel sichtbarer für alle Nutzer.
Was passiert, wenn dort jemand den gleichen Key für mehrere Geräte einträgt?
Was passiert, wenn dort jemand einfach "brumm" einträgt?
Beide Probleme bestehen natürlich genauso in der /etc/config/fastd, aber dort ist das Ganze wesentlich weniger sichtbar.
Alternativ zu diesem Patch könnte man auch einfach die /etc/config/fastd upgradesicher machen, aber das hat dann wieder andere Nachteile.
Ich will jetzt den Patch nicht kaputtreden, aber ich fände es schön, wenn wir nochmal kurz darüber nachdenken, was die obigen Aspekte bedeuten.
Ein paar Kleinigkeiten noch unten, braucht aber keine v5, habe ich jetzt eh schon alles selbst gemacht.
> > Am 10.01.20 um 12:57 schrieb Christian Dresel:
> > > To use a whitelist easy, it is neccessary to make the fastd key
> updatesafe
> > > This patch safe the key to uci fff and recover it, if a key is
> after the update
> > available
> > >
> > > ---
> > > Changes in v2:
> > > - use variable in if
> > > - remove trailing whitespace
> > > - remove -q
> > > ---
> > > Changes in v3:
> > > - use only one variable $secret
> > > ---
> > > Changes in v4:
> > > - remove new line
> > > - add dependencies to fff-config
> > > ---
> > >
> > > Signed-off-by: Christian Dresel <fff at chrisi01.de>
> > > Reviewed-by: lemmi <lemmi at nerd2nerd.org>
Das kommt nach dem Separator ("---") und wird daher mit abgeschnitten. Das nächste Mal darauf achten, dass die "Changes" und der Separator erst nach dem Signed-off kommen.
Des Weiteren habe ich keine Ahnung, wie wir es mit dem Klarnamenzwang halten. Für den Reviewed-by ist das jetzt völlig egal, aber man sollte sich die Frage vielleicht schon mal grundsätzlich stellen.
> > > ---
> > > src/packages/fff/fff-fastd/Makefile |
> 3 ++-
> > > src/packages/fff/fff-fastd/files/etc/uci-defaults/55_fff-fastd |
> 10 +++++++++-
> > > 2 files changed, 11 insertions(+), 2 deletions(-)
> > >
> > > diff --git a/src/packages/fff/fff-fastd/Makefile
> b/src/packages/fff/fff-
> > fastd/Makefile
> > > index 513775d..0d9a9b5 100644
> > > --- a/src/packages/fff/fff-fastd/Makefile
> > > +++ b/src/packages/fff/fff-fastd/Makefile
Hier habe ich noch den PKG_RELEASE bump ergänzt.
Grüße
Adrian
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : openpgp-digital-signature.asc
Dateityp : application/pgp-signature
Dateigröße : 834 bytes
Beschreibung: nicht verfügbar
URL : <https://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20200110/b9144efa/attachment.sig>
Mehr Informationen über die Mailingliste franken-dev