Autor Thema: Neues FHEM Release 5.9 Vorschlag  (Gelesen 281 mal)

Offline schnitzelbrain

  • Full Member
  • ***
  • Beiträge: 183
Neues FHEM Release 5.9 Vorschlag
« am: 15 September 2018, 19:43:12 »
Hallo,

da ich kein Entwickler bin meine Frage/Vorschlag hier.
Wenn jetzt die Instanzen bis auf FHEMWEB wegfallen, könnte/sollte man nicht gleich allowed und das Attribut basicAuth gleich in der fhem.cfg setzen und mit einem Standard Passwort versehen?
Zusammen mit der Aufforderung das Passwort und/oder den Login gleich nach dem ersten Boot anzupassen.

Dies ist Mittlerweile eher der Standard als darauf hinzuweisen überhaupt den Passwort Schutz einzuschalten.
Man muss die Leute ja irgendwie immer zum Ihrem Glück zwingen  ;D

Der Nachteil wäre, das es bis zum ersten Herumspielen etwas länger dauert.

Grüße
Schnitzelbrain
Zustimmung Zustimmung x 2 Liste anzeigen

Offline SamNitro

  • Sr. Member
  • ****
  • Beiträge: 532
  • Kölner Wimpelbeauftragter
Antw:Neues FHEM Release 5.9 Vorschlag
« Antwort #1 am: 15 September 2018, 20:10:10 »
Eventuell gibt es aber auch Leute die kein Passwort wollen...

Ich habe auch keins drin, aber mein FHEM ist auch nicht nach außen freigegeben. Ich mache alles über VPN.
Gruß Patrick
------------------------
(Rpi 3, Stretch) (HM-LGW) (CUL868) (CUL433) (Homematic Komponenten) (FS20) (SONOFF) (ESP8266) (EchoDot)
Gefällt mir Gefällt mir x 3 Liste anzeigen

Offline Christoph Morrison

  • Developer
  • Full Member
  • ****
  • Beiträge: 356
    • Private Website
Antw:Neues FHEM Release 5.9 Vorschlag
« Antwort #2 am: 15 September 2018, 20:23:59 »
Wenn jetzt die Instanzen bis auf FHEMWEB wegfallen, könnte/sollte man nicht gleich allowed und das Attribut basicAuth gleich in der fhem.cfg setzen und mit einem Standard Passwort versehen?
Zusammen mit der Aufforderung das Passwort und/oder den Login gleich nach dem ersten Boot anzupassen.

Prinzipiell hast du natürlich recht, aber das ist nur Scheinsicherheit: Jeder Angreifer wird dann zunächst schlicht das eine Standardpasswort versuchen. Sicherheitsgewinn bekommt man so nicht.

Zitat
Dies ist Mittlerweile eher der Standard als darauf hinzuweisen überhaupt den Passwort Schutz einzuschalten.
Man muss die Leute ja irgendwie immer zum Ihrem Glück zwingen  ;D

Bei der Installation sollte einfach ein zufälliges Passwort generiert werden, dass der User dann ändern muss wenn er sich damit einloggt. Alles andere ist eher Schlangenöl.

Offline schnitzelbrain

  • Full Member
  • ***
  • Beiträge: 183
Antw:Neues FHEM Release 5.9 Vorschlag
« Antwort #3 am: 15 September 2018, 20:57:02 »
Prinzipiell hast du natürlich recht, aber das ist nur Scheinsicherheit: Jeder Angreifer wird dann zunächst schlicht das eine Standardpasswort versuchen. Sicherheitsgewinn bekommt man so nicht.

Bei der Installation sollte einfach ein zufälliges Passwort generiert werden, dass der User dann ändern muss wenn er sich damit einloggt. Alles andere ist eher Schlangenöl.
Es ging mir mehr um den Passwortschutz bei der ersten Benutzung dringlicher vorzugeben.

Im Sinne von default safety enabled.
Ein zufälliges Passwort wäre natürlich noch besser aber birgt halt gleich frust Potential wenn nicht mitgeschrieben wird.

Wie bei jeder linux installation auch zumindest ein login/pass vorgegeben wird. Auch wenn der Nutzer es nicht verändert.


Grüße
Schnitzelbrain
« Letzte Änderung: 15 September 2018, 20:59:38 von schnitzelbrain »

Offline Christoph Morrison

  • Developer
  • Full Member
  • ****
  • Beiträge: 356
    • Private Website
Antw:Neues FHEM Release 5.9 Vorschlag
« Antwort #4 am: 15 September 2018, 21:08:25 »
Es ging mir mehr um den Passwortschutz bei der ersten Benutzung dringlicher vorzugeben.

Im Sinne von default safety enabled.
Ein zufälliges Passwort wäre natürlich noch besser aber birgt halt gleich frust Potential wenn nicht mitgeschrieben wird.

Wie bei jeder linux installation auch zumindest ein login/pass vorgegeben wird. Auch wenn der Nutzer es nicht verändert.

Das finde ich auch gut und deine Idee ist wirklich der richtige Weg finde ich, aber es gibt halt doch unzählige Raspberries da draußen wo nie das Passwort für pi geändert wurde. Statische Default-Passwörter werden nur zu weiteren redundanten Nachfragen hier und Blogposts der üblichen Verdächtigen führen, wo dann das Standardpasswort genannt wird und beim nächsten Wechsel auf unique generierte Passwörter (dann mit einer hypothetischen 5.10) nix mehr aktualisiert wird, was dann wieder zu neuen redundanten Anfragen hier führt. Um am Ende gibt es dann auch noch die Leute, die glauben dass sie jetzt sicher sind und sich fahrlässiger verhalten (Risikokompensation). Das sollte man alles im Kopf haben wenn man sowas halbherzig einführt.

Und die Leute, die keine Passwörter verwenden (so wie ich, mit einem Reverse Proxy und anderen Authentifizierungsmethoden), sind fähig genug das zu konfigurieren. Das ist kein Argument gegen deinen Vorschlag IMO.

Zitat
Gesendet von meinem SM-G930F mit Tapatalk

Stell das doch bitte ab.

Offline schnitzelbrain

  • Full Member
  • ***
  • Beiträge: 183
Antw:Neues FHEM Release 5.9 Vorschlag
« Antwort #5 am: 15 September 2018, 21:12:26 »
Das finde ich auch gut und deine Idee ist wirklich der richtige Weg finde ich, aber es gibt halt doch unzählige Raspberries da draußen wo nie das Passwort für pi geändert wurde. Statische Default-Passwörter werden nur zu weiteren redundanten Nachfragen hier und Blogposts der üblichen Verdächtigen führen, wo dann das Standardpasswort genannt wird und beim nächsten Wechsel auf unique generierte Passwörter (dann mit einer hypothetischen 5.10) nix mehr aktualisiert wird, was dann wieder zu neuen redundanten Anfragen hier führt. Um am Ende gibt es dann auch noch die Leute, die glauben dass sie jetzt sicher sind und sich fahrlässiger verhalten (Risikokompensation). Das sollte man alles im Kopf haben wenn man sowas halbherzig einführt.

Und die Leute, die keine Passwörter verwenden (so wie ich, mit einem Reverse Proxy und anderen Authentifizierungsmethoden), sind fähig genug das zu konfigurieren. Das ist kein Argument gegen deinen Vorschlag IMO.

Stell das doch bitte ab.
Guter Punkt, nix dagegen zu sagen.

Die Signatur hab ich gerade angepasst, hat mich auch gestört.





Grüße
Schnitzelbrain


 

decade-submarginal