GELÖST: Ha-Bridge und csrf Token

[Jack_n]

Hallo, gibt es eine gute Lösung um HABridge zu nutzen ohne die Tokenprüfung lahmzulegen ?

Vielen Dank
Joachim

[sash.sc]

Stelle die Frage mal Lieber im Bereich der Sprachsteuerung.

Gesendet von dem teuren ding in meiner hand

[amenomade]

Ja, auf HA Bridge verzichten, und ein Custom-Skill anlegen

[amenomade]

Scherz beiseite, schau mal hier: https://forum.fhem.de/index.php/topic,66920.msg598187.html#msg598187

[Jack_n]

Hallo,

vielen Dank.

Ist nur die Frage ob ein nicht dynamischer Token noch viel für die Sicherheit bringt.

Bestimmt besser als nix.

VG
Joachim

[amenomade]

Ist nur die Frage ob ein nicht dynamischer Token noch viel für die Sicherheit bringt.

Auf jeden Fall. Das Token ist da, um bösartige Webseiten zu behindern. Z.B. eine Seite mit :

Code Auswählen Erweitern

<img src="http://<deineFHEM-IP>:8083/fhem?cmd=delete .* ">
<img src="http://<deineFHEM-IP>:8083/fhem?cmd=save>

Rufst Du so eine Seite, wird deine Konfiguration schlecht aussehen.

Jetzt sagen wir mal, du hast einen statischen csrfToken "4qe5rh543q5erh4".
Was ist die Wahrscheinlichkeit, dass eine Webseite sowas enthält?

Code Auswählen Erweitern

<img src="http://<deineFHEM-IP>:8083/fhem?cmd=delete .*&fwcsrf=4qe5rh543q5erh4>

[KernSani]

Schöne Erklärung amenomade,

@Jack_n: Ist das Ursprungsproblem damit gelöst? Dann bitte noch [Gelöst] vor das Subject des ersten Posts schreiben.

[Jack_n]

Nein, es ist leider nicht erledigt.

Bei reinen HTTP Links klappt es , bei Harmony Activities leider nicht 

ZB

{"name":"-1","hub":"HarmonyHub"}&fwcsrf=tollestokenpasswort

[amenomade]

Das ist aber die "Variante2 direkt per habridge -> HarmonyHub" vom Post hier https://forum.fhem.de/index.php/topic,66920.0.html oder?
In dem Fall wird keinen FHEM Token benötigt, da es ohne FHEM funktioniert?

[Jack_n]

Ich bin ein Vollhorst - Du hast recht.

Bei Activities brauche ich den Token nicht weil FHEM ja nicht beteiligt ist...

Danke vielmals für die Hilfe und Geduld