Hallo, gibt es eine gute Lösung um HABridge zu nutzen ohne die Tokenprüfung lahmzulegen ?
Vielen Dank
Joachim
Stelle die Frage mal Lieber im Bereich der Sprachsteuerung.
Gesendet von dem teuren ding in meiner hand
Ja, auf HA Bridge verzichten, und ein Custom-Skill anlegen ;)
Scherz beiseite, schau mal hier: https://forum.fhem.de/index.php/topic,66920.msg598187.html#msg598187
Hallo,
vielen Dank.
Ist nur die Frage ob ein nicht dynamischer Token noch viel für die Sicherheit bringt.
Bestimmt besser als nix.
VG
Joachim
ZitatIst nur die Frage ob ein nicht dynamischer Token noch viel für die Sicherheit bringt.
Auf jeden Fall. Das Token ist da, um bösartige Webseiten zu behindern. Z.B. eine Seite mit :
<img src="http://<deineFHEM-IP>:8083/fhem?cmd=delete .* ">
<img src="http://<deineFHEM-IP>:8083/fhem?cmd=save>Rufst Du so eine Seite, wird deine Konfiguration schlecht aussehen.
Jetzt sagen wir mal, du hast einen statischen csrfToken "4qe5rh543q5erh4".
Was ist die Wahrscheinlichkeit, dass eine Webseite sowas enthält?
<img src="http://<deineFHEM-IP>:8083/fhem?cmd=delete .*&fwcsrf=4qe5rh543q5erh4>
Schöne Erklärung amenomade,
@Jack_n: Ist das Ursprungsproblem damit gelöst? Dann bitte noch [Gelöst] vor das Subject des ersten Posts schreiben.
Nein, es ist leider nicht erledigt.
Bei reinen HTTP Links klappt es , bei Harmony Activities leider nicht :-X
ZB
{"name":"-1","hub":"HarmonyHub"}&fwcsrf=tollestokenpasswort
Das ist aber die "Variante2 direkt per habridge -> HarmonyHub" vom Post hier https://forum.fhem.de/index.php/topic,66920.0.html oder?
In dem Fall wird keinen FHEM Token benötigt, da es ohne FHEM funktioniert?
Ich bin ein Vollhorst - Du hast recht.
Bei Activities brauche ich den Token nicht weil FHEM ja nicht beteiligt ist...
Danke vielmals für die Hilfe und Geduld