Guten Tag alle zusammen,
Ich habe extra eine neue FHEMWEB Instanz erstellt um Gästen sozusagen einen Einblick in FHEM Gewähren zu können.
Dafür habe ich alle Rooms außer eins versteckt. Dennoch ist mir aufgefallen das ich mit einem kleinen "Trick" die anderen Räume aufrufen kann.
Gibt es eine Möglichkeit Räume zu sperren und nicht nur zu verstecken?
Der sogenannte Trick wäre : http://ip:port/fhem?room=versteckter_Raumname
Mir persönlich ist das sehr wichtig, da ich nicht möchte das jeder an meiner Heizung oder Türsteuerung rumspielt.
Danke und Grüße
Tho-Gra
Was ich mittlerweile rausbekommen ist folgendes :
Zitathiddenroom
Eine Komma getrennte Liste, um Räume zu verstecken, d.h. nicht anzuzeigen. Besondere Werte sind input, detail und save. In diesem Fall werden diverse Eingabefelder ausgeblendent. Durch direktes Aufrufen der URL sind diese Räume weiterhin erreichbar!
Ebenso können Einträge in den Logfile/Commandref/etc Block versteckt werden.
Allerdings finde ich nirgends meine gewünschte Option...
Gibt es auch nicht. Mit FHEM-Bordmitteln ist der Aufruf per URL nicht zu verhindern.
Hallo,
Beiträge lassen sich auch bearbeiten - man muss nicht auf seine eigenen antworten.
Warum?
Weil einige vielleicht den Forenbreich abboniert haben und nicht wegen jeder Antwort (die keine ist) eine Benachrichtigung bekommen wollen.
Klar kann man das abwählen - aber dann bekommen Fragesteller wie du keine Antwort.
Abwägen was besser ist - Beiträge bearbeiten oder keine Antwort bekommen.
Wie du schon gesehen hast:
ZitatDurch direktes Aufrufen der URL sind diese Räume weiterhin erreichbar!
Da wäre eine Mögichkeit WebViewControl zu verwenden - das ist eine App.
Suchst du, findest du, guggst du.
Ja, auch eine App ist nicht das Allheilmittel.
Für den Heiligen Gral müsstest du dich aber selbst schlau machen.
Grüße
Eine Möglichkeit: Reverseproxy dazwischen schalten, die zu sperrenden Räume auf 403 umleiten und direkte Anfragen auf den fhem-Port droppen.
Apache:
SSLProxyEngine on
<Location /fhem>
RequestHeader set Authorization "Basic lolololol"
ProxyPass https://127.0.0.1:8085/fhem
ProxyPassReverse https://127.0.0.1:8085/fhem
ProxyHTMLURLMap / /fhem/
ProxyHTMLURLMap /fhem/ /fhem/
RewriteEngine on
RewriteRule (room=Optionen) $1 [F]
Order deny,allow
Allow from all
</Location>
iptables:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8085 -j DROP
ABER: Damit ist nur der eine URL gesperrt, der dich in den Raum bringen würde. Die Devices im Raum sind immernoch über ihren jeweiligen detail-URL erreichbar. Du kannst sie natürlich alle ausschliessen (mit einem guten Naming-Schema sogar relativ einfach), aber du wirst keine Garantie bekommen, dass fhem nicht morgen einen URL einführt der durch das Schema fällt.
IOW: Obscurity ja, Security nein.
wenn es dir reicht das schalten in den 'verbotenen' räumen zu verhindern schau dir das allowedCommands attribut an.
gruß
andre
Hallo alle zusammen,
Vielen Dank für die Antworten und sorry für den gestrigen Doppelpost. Hatte mir dabei nichts böses gedacht. Werde ich für die Zukunft bedenken.
Obwohl es mehrere Möglichkeit gäbe mithilfe eines Workarounds eine Lösung zu finden, bin ich ehrlich gesagt nicht 100%tig zufrieden.
Gibt es auch noch andere Forum Mitglieder bzw. FHEM User die sich solch einen "sicheren" Benutzeraccount wünschen?
Weiß man ob es dies in Zukunft geben soll? Oder muss ich mich jetzt wirklich nach was anderem umschauen? :-S
War von FHEM bisher immer sehr positiv überrascht. Aber das hier enttäuscht mich gerade etwas :)
Das soll jetzt kein Meckern oder sowas sein... Ich weiß das ist alles hier kostenlos :)
Grüße
Thomas