- Check-Time-Begin und Check-Time-End sind beide Null. Bei allen Geräten? Habt ihr euch Gedanken über die Skalierung gemacht? Wird die tatsächliche Abfragezeit im Hintergrund doch noch randomisiert, sodass nicht irgendwann Tausende Geräte gleichzeitig auf ein Update prüfen und ihr euch somit eure eigene DDOS Attacke schafft?
- Aaaaah, interessant: Die Base-URL wird automatisch um ein "s" ergänzt, sodass man keine http-URLs, sondern nur https-URLs einstellen kann.
- Mäh, man braucht POST Daten: "[Automatic-Firmware-Updater] 2018/08/24 21:37:33,679 (Downloadtask->PostData) Generate POST data structure."
- Der Update Checker kommt nicht mit Antworten vom im LCOS integrierten DNS Server klar, wie es mir scheint.
- Meinem letsencrypt Zertifikat wird jedenfalls nicht vertraut: (Downloader->Downloadling, task: 0) ERROR: TLS Error: Bad certificate, Code: 42
- Die ausstellende CA des Zertifikats von https://update.lancom.de steht im truststore.
Blöd! Jetzt kann man noch brute-forcen, was sinnvolle POST-Werte sein könnten und damit den Update-Server bombardieren, aber das macht ja keinen Spaß.
Ich wundere mich wohl, dass es nicht vorgesehen zu sein scheint, dass der Autoupdater auch einen in einer großen Firma selbst verwalteten Update-Server benutzen könnte. Ist das kein Use-Case?
@Jirka: Jedenfalls gehe ich stark davon aus, dass der Update-Server bei sinnvollen POST-Daten mit einer sinnvollen XML antwortet, aus der der Autoupdate im LCOS dann eine Download-URL liest. Weitere Meta-Daten wie "ist das ein security update?" kann man ja leicht im XML unterbringen.