CSRF Token

michael.winkler · 20 Februar 2017, 11:37:48

Hallo,

ich habe leider keine Schreibrechte im Entwicklungszweig. Daher schreibe ich hier und hoffe dass die entsprechenden Personen es lesen und mir antworten.

So ganz habe ich noch nicht verstanden warum man einen CSRF Token einführen muss, ok aber es soll wohl so sein. Meine Module bzw. GUI´s können aktuell alle damit umgehen.

Wäre es den möglich das LOG noch um die IP-Adresse zu erweitern? Bei dem Log Eintrag, ist nicht wirklich ersichtlich wer hier versucht einen Set Befehl abzusetzen.

Code Auswählen


2017.02.20 11:17:29 3: FHEMWEB WEB.Browser CSRF error:  ne fhem_295793352430997. For detals see the csrfToken FHEMWEB attribute

Gruß
Michael

betateilchen · 20 Februar 2017, 12:05:59

Zitat von: michael.winkler am 20 Februar 2017, 11:37:48
So ganz habe ich noch nicht verstanden warum man einen CSRF Token einführen muss,

Sicherheitsaspekte.

michael.winkler · 20 Februar 2017, 12:52:31

Zitat von: betateilchen am 20 Februar 2017, 12:05:59
Sicherheitsaspekte.

In wie fern ist das ein Sicherheitsaspekt? Wenn ich die URL aufrufen liefert mir die Webseite doch direkt den Token! Was habe ich dann an Sicherheit gewonnen?

Versteht das nicht als Kritik! Ich versuche nur zu verstehen was daran sicherer sein soll als vorher.

betateilchen · 20 Februar 2017, 15:09:25

Zitat von: michael.winkler am 20 Februar 2017, 12:52:31
Wenn ich die URL aufrufen liefert mir die Webseite doch direkt den Token! Was habe ich dann an Sicherheit gewonnen?

FHEM liefert die aufgerufene Seite nur aus, wenn das im body enthaltene token gültig ist.

https://de.wikipedia.org/wiki/Cross-Site-Request-Forgery

hartenthaler · 21 Februar 2017, 18:23:49

Ich bin zwar kein Modul-Entwickler, aber habe shell-scripte am laufen. Diese enthalten z.B. so etwas

Code Auswählen


perl "$fhemdir"/fhem.pl 7072 $myTelnetPW "set FHEM.Backup off"
perl "$fhemdir"/fhem.pl 7072 $myTelnetPW "setreading FHEM.Backup info backup finished"

Sehe ich es richtig, dass ich da nun ein Problem bekommen werde? Muss ich diese Aufrufe nun mit einem CSRF-token versehen?

Wuppi68 · 21 Februar 2017, 18:33:30

Zitat von: hartenthaler am 21 Februar 2017, 18:23:49
Ich bin zwar kein Modul-Entwickler, aber habe shell-scripte am laufen. Diese enthalten z.B. so etwas
Code Auswählen Erweitern
perl "$fhemdir"/fhem.pl 7072 $myTelnetPW "set FHEM.Backup off" perl "$fhemdir"/fhem.pl 7072 $myTelnetPW "setreading FHEM.Backup info backup finished"

Sehe ich es richtig, dass ich da nun ein Problem bekommen werde? Muss ich diese Aufrufe nun mit einem CSRF-token versehen?

edit:

ZitatJa

nehme anstelle von perl doch einfach einen pipe auf den Telnetport

ist eine Falschaussage von mir - Sorry

CoolTux hat es richtig erkannt

CoolTux · 21 Februar 2017, 18:43:42

Zitat von: hartenthaler am 21 Februar 2017, 18:23:49
Ich bin zwar kein Modul-Entwickler, aber habe shell-scripte am laufen. Diese enthalten z.B. so etwas
Code Auswählen Erweitern
perl "$fhemdir"/fhem.pl 7072 $myTelnetPW "set FHEM.Backup off" perl "$fhemdir"/fhem.pl 7072 $myTelnetPW "setreading FHEM.Backup info backup finished"

Sehe ich es richtig, dass ich da nun ein Problem bekommen werde? Muss ich diese Aufrufe nun mit einem CSRF-token versehen?

Ich würde NEIN sagen. Denn Du rufst nicht FHEMWEB auf sondern gehst über telnet. Keine Gefahr also.

ManuZz · 28 Februar 2017, 08:48:34

Hallo zusammen,

ich bin hier sicher der moorigste unter allen, aber ich habe keine Anleitung gefunden wie ich das csrfToken einbaue. Das auf none setzen hat einmal funktioniert. Nun bekomme ich ein neuen csrfToken Fehler im log angezeigt. sieht nach einem neu generierten Token aus.
Ich würde ja auch warten (auch wenn ich nicht weiß auf was, denn ich habe nirgends etwas gefunden wie ich das schöne Sicherheitsfeature einbaue), aber es sind alle meine Lichtschalter in der Wohnung lahmgelegt.

Ich habe in der config dies stehen:

attr WEB csrfToken none
attr WEBphone csrfToken none
attr WEBtablet csrfToken none

Aber bekomme immer noch den Fehler: FHEMWEB WEB CSRF error: ne fhem_50100039103845.3. For detals see the csrfToken FHEMWEB attribute

Leider bin ich auch nicht der ultimative crack, darum habe ich keine Ahnung wie ich nun weiter komme. Ich habe hier im Forum auch nur gelesen das man es hätte einbauen sollen, aber nicht wie.
Für Hilfe wäre ich sehr dankbar...

CoolTux · 28 Februar 2017, 09:37:07

Bitte sei so nett und schreibe Dein Anliegen in einen neuen Thread im korrekten Forum.
Vorerst würde ich da FHEMWEB unter Frontends. Das hier ist eine Wunschliste und kein Problemforum.

Danke Dir

Thorsten Pferdekaemper · 04 März 2017, 08:18:30

Hi,
in einem anderen Thread...
https://forum.fhem.de/index.php/topic,68314.msg598070.html#msg598070
Da wird's recht gut erklärt.
Gruß,
Thorsten

CSRF Token

ManuZz