Hallo,
kann ich diese csrfToken Prüfung auch deaktivieren? Sie sorgt bei mir im Editor für Probleme, es kommt während der Bearbeitung einfach zu einer weißen Seite:
- FHEM.CFG bearbeiten, Speichern
- Links wieder auf "Edit Files", FHEM.CFG wählen
- Speichern => Weiße Seite
Hallo,
nach einem UPDATE heute morgen läuft bei mir das LOG mit folgenden Zeilen voll:
FHEMWEB WEB CSRF error: ne fhem_121205027337872. For detals see the csrfToken FHEMWEB attribute
Anm.: Einen Browser-Neustart habe ich natürlich gemacht, wie in der Ankündigung für Version 5.8 beschrieben.
Gruß
Blueberry63
Ich habe das Attribut "csrfToken=none" bei WEB gesetzt. Damit sind die LOG-Einträge gestoppt.
Gruß
Blueberry63
Scheint zu funktionieren. Danke, das hat wirklich genervt. Immer wenn ich speichern wollte bekam ich eine weiße Seite und die Änderungen waren weg.
attr WEB csrfToken none
attr WEBphone csrfToken none
attr WEBtablet csrfToken none
Das Token zu deaktivieren ist aber keine wirkliche Lösung, auch wenn es kurzfristig hilft. Das ist so ähnlich wie mit Kopfschmerztabletten: Es ist besser, die Ursache zu beseitigen.
Speziell das Problem bei "Edit files" sollte man im korrekten Forumbereich beschreiben (FHEMWEB) damit Rudi davon weiß. In den Anfängerfragen liest er sowas wahrscheinlich nicht.
ZitatEs ist besser, die Ursache zu beseitigen
Ist klar! Ich bin aber froh, dass ich mir mit "attr WEB csrfToken none" helfen kann, bis jemand eine Lösung gefunden hat.
Gruß
Blueberry63
Ja, dieses Update scheint es in sich zu haben. Bei mir geht grad nix mehr - diese Fehlermeldung kam bei mit 3-8 mal pro Sekunde ins Log. Jetzt ist das zumindest erstmal gestoppt. Mal sehen, was noch alles NICHT mehr läuft :(
Es ist ja nicht so, dass das nicht seit langer langer Zeit angekündigt war. und immer wieder angekündigt wurde.
Um genau zu sein gibt es das bereits seit 2014 wenn ich das richtig verstanden habe.
Bei mir kommt die Meldung auch aber nur wenn ich auf dem jeweiligen gerät FTUI auf habe. Dort erscheint dann parsererror, SyntaxError: Unexpected end of input. Kann jemand damit was anfangen? Das scheint bei mir die Ursache zu sein. Bloß habe ich davon keine Ahnung
Steht doch alles hier im Thread. Setze das entsprechende Attribut in der von Dir für TabletUI verwendeten FHEMWEB Instanz auf none und dann sollte es gehen.
OK. Nur ich dachte dass das keine richtige Lösung wäre. Deshalb hatte ich das nochmal hin geschrieben. Konnte ja sein dass jemand durch diese Meldung eine andere Lösung weiß. Aber dann setze ich es mal auf none
Die andere/richtige Lösung heißt, der Maintainer von TabletUI muß eine Lösung programmieren. Da dies aber nicht so einfach ist, da statisch, wird es wohl etwas dauern.
Hallo zusammen,
ich hoffe, ich habe es nicht überlesen: Ich verwende für meine Downlights im Wohnzimmer mehrere HM-LC-Sw1PBU-FM. Diese sind als "normaly on" angeschlossen, sodass sie bei Spannungswiederkehr immer einschalten - wenn der Lichtschalter eingeschaltet wird (falls vorher aus). Damit kann sofort immer Licht geschaltet werden - ohne FHEM oder Alexa. Da dieses die alternative Anschlussvariante ist, muss ich in FHEM ummappen on:off off:on. Bekomme ich es irgendwie hin, dass ich jetzt nicht immer im SmartHomeSkill "Ausschalten" zum Einschalten (und umgekehrt) verwenden muss?
Danke und viele Grüße
Sascha
und Du bist sicher, dass Du den richtigen Thread gekapert hast ::)
Zitat von: Sascha_F am 21 Februar 2017, 19:36:17
Hallo zusammen,
ich hoffe, ich habe es nicht überlesen: Ich verwende für meine Downlights im Wohnzimmer mehrere HM-LC-Sw1PBU-FM. Diese sind als "normaly on" angeschlossen, sodass sie bei Spannungswiederkehr immer einschalten - wenn der Lichtschalter eingeschaltet wird (falls vorher aus). Damit kann sofort immer Licht geschaltet werden - ohne FHEM oder Alexa. Da dieses die alternative Anschlussvariante ist, muss ich in FHEM ummappen on:off off:on. Bekomme ich es irgendwie hin, dass ich jetzt nicht immer im SmartHomeSkill "Ausschalten" zum Einschalten (und umgekehrt) verwenden muss?
Danke und viele Grüße
Sascha
Bitte wenden. Sie sind 2000km in die falsche Richtung gefahren ;D
Oh sorry! Zu viele Tabs im Handy aufgehabt :-[
Streicht das - ich versuche es noch mal im richtigen Thread :D
Beste Grüße
Sascha
Zitat von: betateilchen am 20 Februar 2017, 11:42:23
Das Token zu deaktivieren ist aber keine wirkliche Lösung, auch wenn es kurzfristig hilft.
ich hab ein Update gemacht (automatisch) und das gar nicht mitbekommen, dass jetzt auf 5.8 aktualisiert wurde. Nur mein andFHEM ging nicht mehr und da hab ich mal ins Logfile geschaut und nach dem Fehler gegoogelt und schließlich bei der Update v5.8 Meldung gelandet und hab das Token deaktiviert und schau jetzt mal ins Changelog von andFHEM sobald es mal wieder geupdated wurde.
Da ich mein FHEM eh nur im eigenen Netz benutzen kann und ansonsten per VPN auf meine Kisten gehe kann ich das wohl verkraften...
Zitat von: Esteban am 21 Februar 2017, 23:13:03
Da ich mein FHEM eh nur im eigenen Netz benutzen kann und ansonsten per VPN auf meine Kisten gehe kann ich das wohl verkraften...
Nein kannst Du nicht. Zu mindest nicht mit dieser Begründung. Im Grunde geht es darum das die Technik des Angriffs es ermöglicht über geöffnete Browsertabs hinaus Schaden an zu richten.
Deine korrekte Begründung hieße also, dadurch das andFHEM keine weitere Tabverbindungen auf macht, ist andFHEM nicht von so einem Angriffszenario betroffen.
Die Erklärung was CSRF ist habe ich extra einfach gehalten. Genaueres findet man im Internet.
ich habe wie Änderungen wie von Det20 geschrieben vorgenommen und kann mich mit der App (FHEM App) auf dem Smartphone wieder anmelden. Auch die Einträge im Log sind weg. Ob nur die Symptome damit bekämpft sind, kann ich nicht beurteilen. Eine andere Alternative habe ich aber nicht gefunden.
Für die Nutzung des Alarmservers der INSTAR Kameras ist das Deaktivieren, wie von Det20 beschrieben auch erforderlich.
Hat jemand eine Idee, wie der Parameter im Alarmserver (oder allgemein beim URL-Aufruf) aussehen muss, um den csrfToken korrekt zu verwenden?
Zitat von: CoolTux am 22 Februar 2017, 06:20:20
Nein kannst Du nicht. Zu mindest nicht mit dieser Begründung. Im Grunde geht es darum das die Technik des Angriffs es ermöglicht über geöffnete Browsertabs hinaus Schaden an zu richten.
Deine korrekte Begründung hieße also, dadurch das andFHEM keine weitere Tabverbindungen auf macht, ist andFHEM nicht von so einem Angriffszenario betroffen.
Okay, ich habe es zu sehr verallgemeinert, sorry. Letztendlich ist mir das auch lieber, wenn kein CrossSite RF möglich ist obwohl ich wie gesagt das Einsatzgebiet meines Servers relativ gut abgesichert habe.
Da andFHEM gestern Abend ein Update erhielt
http://andfhem.klass.li/changelog/
Zitat4.4.3 (25.02.2017)
Support FHEM csrf token.
...habe ich die fhem.cfg wieder angepasst und den Server neu gestartet.
Hallo!
Ich habe gestern ein Update gemacht, seitdem gehen die externen Links (bei mir auch im Floorplan) nicht mehr. Ich habe aber in der Config für die TabletUI das csrfToken deaktiviert:
define WEBtablet FHEMWEB 8085 global
attr WEBtablet csrfToken none
Bis gestern lief das auch :)
Ich glaube ja das Du mit Deinem Fehlerbild hier falsch bist, aber schauen wir mal.
Bitte einmal ins Log schauen was da drin steht.
Hab ich gerade gemacht (nachdem ich per Floorplan einen Link auf FHEM "von außen" aufgerufen hatte) - das stand im Log:
2017.09.10 20:49:55 3: FHEMWEB WEB CSRF error: ne csrf_550489706154124 for client WEB_192.168.0.187_60504. For details see the csrfToken FHEMWEB attribute.
Ich habe zum Testen mal WEB, WEBPHONE und WEBTABLET das Token auf none gesetzt:
attr WEBtablet csrfToken none
Half aber nicht, siehe Log oben :)
Weiß jetzt nicht ganz genau aber hast wenigstens FHEM mal neu gestartet?
Natürlich abspeichern vorher nicht vergessen.
Nach dem Update? Ich denke schon, auf jeden Fall habe ich den Rechner mehrfach neugestartet. Jetzt plötzlich lief alles nach einem "shutdown restart"...
Dann fasse ich erstmal besser nichts mehr an und freue mich, dass es geht. Warum würde mich aber schon noch interessieren?
Vielen Dank aber erst mal! :)
Nicht nach dem Update sondern nach dem setzen von crfs Token none
Bevor hier jetzt jeder den Token für alle Web-Instanzen deaktiviert, rate ich einmal ins Wiki zu gucken: https://wiki.fhem.de/wiki/CsrfToken-HowTo
Geht es nicht anders, dann sollte eine neue Web-Instanz definiert werden und (nur) dort der Token deaktiviert werden. Im Idealfall wird diese Instanz auch soweit beschränkt, dass dort nur das notwendige möglich ist, aber nicht per se alles.
Ich hole den Thread mal hoch - leider ist die App aus dem Appstore verschwunden :-/ Geht es hier noch weiter?