HomeMatic-Forum / FHZ-Forum

Das Lötzimmer-Skript v0.12c behebt das CSRF-Problem.

Ich werde heute im Laufe des Abends unaufgefordert ein aktualisiertes Paket verschicken.

Ich habe die Pakete soeben versandt. Infos und Hilfen sind hier zu finden.

Falls sich ein Alexa.sh-User ausgeschlossen fühlen sollte, weil ich ihn eventuell vergessen oder übersehen haben sollte ... ¯\_(ツ)_/¯

Hallo zusammen,

im Laufe des Vormittages werde ich unaufgefordert ein Paket, welches u.a. das aktualisierte Lötzimmer-Skript enthält, per PN an alle Alexa.sh-User versenden.
Es handelt sich um eine Korrektur des behobenen CSRF vom 18.06.2019 (NEU: "2019-06-28: v0.12c properly fixed CSRF").

Falls sich ein Alexa.sh-User ausgeschlossen fühlen sollte, weil ich ihn eventuell vergessen oder übersehen haben sollte ... ¯\_(ツ)_/¯

Weitere Infos und Hilfen sind hier zu finden.

Etwas irritierend war und ist die Versionierung 0.12c > 0.12c vs. 0.12b > 0.12c (das wurde seitens Alex/Lötzimmer nachträglich angepasst). Der Code der ursprünglichen Version 0.12c (jetzt als 0.12b deklariert) und der aktuellen Version 0.12c ist jedoch unterschiedlich, so dass die aktuelle, korrigierte Version 0.12c vom 28.06.2019 in das aktuelle Paket (Alexa-012c-jq-2) eingeflossen ist. Dies ist unter anderem auch am Changelog innerhalb des Lötzimmer-/Alexa.sh-Skriptes zu erkennen.

[packets sent/mission completed]

Hallo zusammen,

im Laufe des Abends werde ich unaufgefordert ein Paket, welches u.a. das aktualisierte Lötzimmer-Skript enthält, per PN an alle Alexa.sh-User versenden (NEU: "2019-07-08: v0.13 added support for Multi-Factor Authentication"). Unterstützt werden die CCU3 und piVCCU3.

Falls sich ein Alexa.sh-User ausgeschlossen fühlen sollte, weil ich ihn eventuell vergessen oder übersehen haben sollte ... ¯\_(ツ)_/¯

Weitere Infos und Hilfen sind hier zu finden. Der Weg in den Verteiler aufgenommen zu werden, ist dort ebenfalls beschrieben.

[packets sent/mission completed]

Ich bin im Rahmen der Multi-Factor Authentication nach oathtool gefragt worden.
Das Tool kompiliert gerade und es wird somit Bestandteil des kommenden Alexa.sh-Paketes sein.

Das Paket alexa-013-jq-2 für die CCU3 und piVCCU3 ist fertig.
Es beinhaltet das angepasste Lötzimmer-Skript alexa.sh, jq, oathtool, check_cookie.sh und get_new_cookie.sh.

Ich verteile das Paket zunächst nur auf Zuruf per PN an Leute die tatsächlich die Zwei-Faktor-Authentifizierung bei Amazon benutzen (wollen). Nach entsprechenden Rückmeldungen verteile ich das Paket dann unaufgefordert an alle Alexa.sh-User in meinem Verteiler.

Weitere Infos und Hilfen sind hier zu finden. Der Weg in den Verteiler aufgenommen zu werden, ist dort ebenfalls beschrieben.

Die Anleitung wurde hinsichtlich der Zwei-Faktor-Authentifizierung (2FA) aka Zwei-Schritt-Verifizierung mittels oathtool entsprechend erweitert.

Wer das testen möchte: Siehe vorherigen Beitrag.

Hallo,

ich wollte mal nachfragen was das &-Zeichen am Ende in folgender Codezeile bewirkt?
Gruß
Sweatchuck

Das & schickt die Abarbeitung des Scripts (oder nach welchem Aufruf es auch immer gesetzt ist) in den Hintergrund, so dass die RegGa nicht für die Dauer der möglicherweise hängenden Abarbeitung (da Kommunikation mit externen Servern) blockiert ist. Die Firmware der CCU/RM arbeitet seriell kann immer nur ein Script/Programm zur Laufzeit abarbeiten. Hängt dieses, kommt es zu Verzögerungen bzw. Aussetzern in der Script und Programmabarbeitung. Dieses & verhindert also eine gegenseitige Beeinflussung. In Deinem Beispiel wird ja expilzit ein Shell-Script aufgerufen. Also etwas, was nicht unter dem Betriebssystem (ReGa) der CCU/RM direkt läuft, sondern auf dem darunter liegenden Linux-Betriebssystem auf Systemebene. Das aufrufende Programm würde ohne das & für die Laufzeit des Scripts blockieren, wenn z.B. die im Script angesprochenen Server mangels Internetverbindung nicht verfügbar wären.

Gruß Xel66

blackhole hat geschrieben: ↑

10.07.2019, 15:47

Ich verteile das Paket zunächst nur auf Zuruf per PN an Leute die tatsächlich die Zwei-Faktor-Authentifizierung bei Amazon benutzen (wollen). Nach entsprechenden Rückmeldungen verteile ich das Paket dann unaufgefordert an alle Alexa.sh-User in meinem Verteiler.

Das aktualisierte Paket wurde soeben an alle Alexa.sh-User verschickt. Weitere Infos und Hilfen sind hier zu finden.