FHEM Forum

Ein User in der Telegram Gruppe (Ableger der Facebook-Seite) hat wohl auf offenen FHEM Seiten das FHEMWEB Device gelöscht.

Falls also jemand nicht auf sein FHEM kommt nicht gleich neu aufsetzen...
und evtl mal Basic Auth einrichten... Die Kisten waren wohl offen wie nen Scheunentor.

Telegram Log im Anhang.

ZitatEin User in der Telegram Gruppe (Ableger der Facebook-Seite) hat wohl auf offenen FHEM Seiten das FHEMWEB Device gelöscht.

Ich meine irgendwo gelesen zu haben, dass sowas nicht legal ist.

Genau meine Meinung.
Ich würde hier noch ganz andere Begriffe in den Mund nehmen...

Dummys anlegen mit Hinweis auf das ofene FHEM ist ja OK, oder mal abends das Licht ausschalten.
Aber ganz lahmlegen....

Wie kommt man in die lustige Telegramm Gruppe?

Zitat von: CoolTux am 31 Mai 2017, 11:09:15
Wie kommt man in die lustige Telegramm Gruppe?

in der Facebook Gruppe ist der Link. https://t.me/joinchat/AAAAAAyOa0dFvfx3Npw9nw (https://t.me/joinchat/AAAAAAyOa0dFvfx3Npw9nw)
Ist an sich ne ganz lustige Truppe mit viel Smalltalk.

Zitat von: rudolfkoenig am 31 Mai 2017, 10:55:43
Ich meine irgendwo gelesen zu haben, dass sowas nicht legal ist.

Zitat§ 303b
Computersabotage

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er

1.   eine Tat nach § 303a Abs. 1 begeht,
2.   Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder
3.   eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.
(3) Der Versuch ist strafbar.
(4) 1In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. 2Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

1.   einen Vermögensverlust großen Ausmaßes herbeiführt,
2.   gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,
3.   durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt.
(5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

Das sollten sich die Shodan-Möchtegern-Hacker mal hinter die Ohren schreiben. Da steht übrigens auch nichts davon, dass die Anlage (besonders) gesichert sein muss. Selbst das Dummy-Anlegen erfüllt Abs. 3 bereits.

hm.....wenn sich jeder daran halten würde was in irgendwelchen gesetzestexten steht, gäbe es wohl auch keine terroranschläge. ich glaube so etwas ist auch nicht erlaubt.  ;)

Hingt ein bisschen die Argumentation aber für den Stammtisch wäre sie wohl ausreichend.
Ist ja auch egal. Hauptsache es heult hinterher keiner rum weil er Post vom Staatsanwalt bekommen hat.

Zitat von: rr725 am 31 Mai 2017, 13:09:49
hm.....wenn sich jeder daran halten würde was in irgendwelchen gesetzestexten steht, gäbe es wohl auch keine terroranschläge. ich glaube so etwas ist auch nicht erlaubt.  ;)

Wie kommst du darauf, dass Terroristen nicht strafverfolgt werden würden (und das ist hier die richtige Analogie)? Sofern sie sich nicht selbst gemeuchelt haben ...

Zitat von: rr725 am 31 Mai 2017, 13:09:49
hm.....wenn sich jeder daran halten würde was in irgendwelchen gesetzestexten steht, gäbe es wohl auch keine terroranschläge. ich glaube so etwas ist auch nicht erlaubt.  ;)

sorry, aber auch der smiley am ende, macht den vergleich wieder gut....

Zitat von: CoolTux am 31 Mai 2017, 13:12:54
Hauptsache es heult hinterher keiner rum weil er Post vom Staatsanwalt bekommen hat.

da wäre ich auch mal gespannt!

Genau! Man stopft nicht das Loch sondern zeigt denjenigen an der das ausgenutzt hat!

Die Tür wurde nicht vom netten Nachbarn verschlossen sondern vom Einbrecher wurde die Eingangstür zum Einsturz gebracht. Das nennt man sabotage.
Es mag für viele albern klingen. Aber würde sich jeder an Rech und Gesetzt halten bräuchten wir keine verschlossenen Türen. Da die Leute sich aber nicht daran halten gibt es eine Strafverfolgung. Egal wie nett der Einbruch und das zerstören gemeint war.

Falls sich jemand für die Gruppe interessiert. Vergesst es. Die haben das nicht so mit der Demokratie.

Zitat von: CoolTux am 31 Mai 2017, 14:11:24Es mag für viele albern klingen. Aber würde sich jeder an Rech und Gesetzt halten bräuchten wir keine verschlossenen Türen. Da die Leute sich aber nicht daran halten gibt es eine Strafverfolgung. Egal wie nett der Einbruch und das zerstören gemeint war.

Es ist halt auch nicht mal irgendwie zielführend. Ich hab's eben schon in der Telegram-Gruppe geschrieben: Wer nicht in der Lage ist, die Doku zu lesen und sinnvoll umzusetzen, wird auch eine abgeschaltete FHEM-Installation nicht automatisch mit einem Sicherheitsproblem in Beziehung setzen. Da "spinnt" dann halt nur das System oder der User denkt, dass FHEM eh schlecht/instabil ist, was weiß ich. Man muss schon die Information, die man übermitteln will, so transportieren, dass der Empfänger sie mit seinen Möglichkeiten verstehen kann, deshalb habe ich auch den Abuse-Kontakt angeschrieben, der für den FHEM-Benutzer aus dem Screenshot zuständig ist (in seinem Fall war das abuse@telekom.de). Dort gibt es Spezialisten, die sinnvoll vermitteln können und die den Trust bei ihrem Kunden haben, um nicht nur als Internet-Trolle oder Hacker aus Russland/Best Korea wahrgenommen zu werden.

Außerdem darf man sich mal bewusst machen, dass es Leute gibt, die für sie kritische Infrastruktur so steuern und auch davon ausgehen, dass FHEM da nicht rumzickt. Dass das vielleicht kein so guter Plan ist und jedes System Risiko hat, ist uns vielleicht noch bewusst, aber man kann nicht gerechtfertigt davon ausgehen, dass das bei jemandem, der so einen banalen Fehler wie ein FHEM-im-Internet macht, auch der Fall ist. Es sind gerade diese Leute, die eine besonders sensible und korrekte Vorgehensweise benötigen.

Sonst fixen die einfach nur ihr System und sind morgen mit neuer IP bei Shodan gelistet.

Zitat von: CoolTux am 31 Mai 2017, 14:57:12
Falls sich jemand für die Gruppe interessiert. Vergesst es. Die haben das nicht so mit der Demokratie.

War die letzten Monate immer OK. Ein/Zwei Leute nervten als aber das hast überall.
Aber nach dem Kindegarten heute wo noch die neuen gekickt wurden bin ich auch wieder raus....

Mann Mann Mann, nen Auszug aus dem Chat nehmen und mich an den Pranger stellen, ganz großes Kino 

Kindergarten ich bin raus

Falls bei jemanden fhem nicht mehr geht, weil es offen war, bitte an mich per pm wenden, ich helfe gern fhem von außen sicher erreichbar zu machen .

Grüße WumpE

Zitat von: WumpE am 31 Mai 2017, 15:34:15
Mann Mann Mann, nen Auszug aus dem Chat nehmen und mich an den Pranger stellen, ganz großes Kino 

kein Pranger, eher Beweissicherung...

Frank doch aber nicht mit namen veröffentlichen!!!!

es hätte auch ein "ich weis wer es verbockt hat und gebe dir gern den Kontakt weiter. Weil ich weis, dass er dir auch helfen würde, dein system wieder zum laufen zu bekommen und sicher machen würde" gereicht.

Danke für deine Aufmerksamkeit

au mann.....herr lehrer, ich weiss was.....im keller brennt licht......

ZitatFalls sich jemand für die Gruppe interessiert. Vergesst es. Die haben das nicht so mit der Demokratie.

Am Rande:
Ich vermute mal, durch die Diskussion hier im Forum, wurde die "Telegram Gruppe" neu organisiert.

Grüße/ 

Der Einladungslink würde für ungültig erklärt und alle neuen User die nichts geschrieben haben würden gekickt.

ZitatDer Einladungslink würde für ungültig erklärt und alle neuen User die nichts geschrieben haben würden gekickt.

Stimmt, deswegen hat sich vermutlich auch was geändert. Falls es darüber genauere Info`s gibt würde
ich gerne berichten.

Grüße/

Ich habe mich versucht in der Gruppe zu erklären und was noch viel wichtiger ist, ich habe mich entschuldigt. Ich habe den guten Ruf der Gruppe in Gefahr gesehen und deshalb unüberlegt gehandelt und es vermutlich sogar schlimmer gemacht.

Wie Mickey schon sagt, haben wir Maßnahmen ergriffen das dies nicht wieder vorkommt.

Auch hier würde ich mich gerne entschuldigen bei allen beteiligten, wenn Sie es denn annehmen möchten. Ich wusste nicht das sich das so hochschaukelt.

Wer wieder bzw. überhauptnoch dazukommen möchte ist herzlich eingeladen.

https://t.me/joinchat/AAAAAAyOa0dMVMdHW0nmhA



Gesendet von meinem SM-G920F mit Tapatalk

Der Fairness halber muss man aber sagen das der Admin in dem Moment einfach überfordert gehandelt hat. Es war auch das erste mal das Leute aus der Gruppe genommen wurden. Da saß der Schreck wohl zu tief oder Befürchtung über negative Meldungen.

Shodan.io ist ja echt interessant. Nun handelt es sich bei den FHEM-Dingen um Heimprojekte, die Amateure machen. Aber ich habe mal in meinem Fachgebiet gesucht. Da es hier immer deutlich größer ist, sollten das nur Fachleute in die Hand bekommen, aber auch hier findet Shodan genug und bei 2 Stichproben funktionierte auch das Default-Passwort  :-X
Es würden mir jetzt wenige Mausklicks reichen, um einen indischen und einen brasilianischen Telefonanschluss zu Hause zu haben. Und wenn ich jetzt etwas suche, finde ich sicher auch einen deutschen Anschluss. Wenn ich darauf einen Dialer anmelde, kann der kräftig Bitcoins auf mein nicht vorhandenes Bitcoin-Konto spülen.
Ob sich wirklich so naive Menschen am Ende beklagen sei mal ebenso dahin gestellt, wie die Frage, ob Strafverfolgungsbehörden wegen einem nicht mehr funktionierendem FHEM ermitteln. Ich habe die Löschung vom Web-Interface auch eher als Scherz gelesen!?
Immerhin kann man sogar ein Knöllchen bekommen oder gar abgeschleppt werden, wenn man sein Auto eigentlich korrekt, aber mit geöffnetem Fenster parkt, weil man seine Verkehrssicherungspflicht dahin gehend verletzt, dass man sein Fahrzeug nicht hinreichend gegen unbefugte Benutzung schützt.
Ich kenne da einen IT-Sicherheitsexperten, der für ungesicherte WLAN's mit offenen Druckern gerne mal die Bibel zu rate zieht, indem er darüber nachdenkt die Offline-Version von seiner Festplatte auf dem Drucker auszudrucken. Wer so fahrlässig ist, kann sie sicher gut gebrauchen  ;D

entspannte Grüße
Niels

Hallo Zusammen,
Jetzt haben wir glaube ich genug Meinungen!

Und ich persönlich will lieber nach vorne schauen und lernen.

Lest Euch mal in Analogie das durch:

https://m.heise.de/ct/ausgabe/2016-14-Sicherheitsleck-in-vernetzten-Alarmsystemen-3242034.html

Und jetzt meine Frage:
Sollten wir nicht lieber jede neue FHEM Instanz grundsätzlich mit einem zufälligen Passwort bei der Installation absichern?

Gruß Arnd


Raspi2 mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, Bravia, ...

Zitat von: RaspiLED am 31 Mai 2017, 19:27:36
Und jetzt meine Frage:
Sollten wir nicht lieber jede neue FHEM Instanz grundsätzlich mit einem zufälligen Passwort bei der Installation absichern?

Nö, warum?
Soweit ich weiß gräbt sich FHEM nicht eigenständig Tunnel durch Router/Firewall, so dass man erst manuell aktiv werden muss um FHEM nach draußen zugänglich zu machen. Das wurde also ganz bewußt so gemacht!

Und auch hierbei heißt meine Devise: Von Sachen, von denen man keine Ahnung hat, besser die Finger lassen.

Gruß
Dan

P.S. Schon mal was von Honeypot gehört? Könnte ja einer sein!

Zitat von: DeeSPe am 31 Mai 2017, 19:30:56
Nö, warum?
Soweit ich weiß gräbt sich FHEM nicht eigenständig Tunnel durch Router/Firewall, so dass man erst manuell aktiv werden muss um FHEM nach draußen zugänglich zu machen. Das wurde also ganz bewußt so gemacht!

Und auch hierbei heißt meine Devise: Von Sachen, von denen man keine Ahnung hat, besser die Finger lassen.

Gruß
Dan

P.S. Schon mal was von Honeypot gehört? Könnte ja einer sein!

Die aktuelle fritzboxversion erlaubt automatisches portforwarding .... Peng 8083 , 8084, 8085 offen

Zitat von: WumpE am 31 Mai 2017, 22:04:25
Die aktuelle fritzboxversion erlaubt automatisches portforwarding .... Peng 8083 , 8084, 8085 offen

Sowas gehört IMHO auf Consumers Geräten verboten!!!
Mich würde trotzdem interessieren wie das funktionieren soll. So gaaaanz automatisch wird es wohl auch nicht gehen oder?

IMHO sollten genau diese professionellen Einstellungen auf Consumers Geräten eher erschwert, als erleichtert werden. Ich sehe hier die Hersteller der Consumers Netzwerkgeräte in der Pflicht über die möglichen Risiken zu informieren.
Die Meisten die sich eine 20000€ Cisco Firewall kaufen, werden wohl wissen warum sie das tun und wie sie sie konfigurieren.
Es gibt nicht umsonst Netzwerkspezialisten die sechsstellige Jahresgehälter bekommen und die nichts Anderes machen als Netzwerke bestmöglich abzusichern.

Gruß
Dan

Zitat von: DeeSPe am 31 Mai 2017, 23:43:22
Mich würde trotzdem interessieren wie das funktionieren soll. So gaaaanz automatisch wird es wohl auch nicht gehen oder?

Nein, es wird vermutlich überhaupt nicht gehen. Zum Einen ist diese Funktion laut AVM auch nicht automatisch aktiv sondern muss aktiviert werden, zum Anderen braucht es UPNP und es wäre mir neu, das FHEM UPNP macht. Aber da ist sie wieder, die netzwerktechnische Unwissenheit  8)

https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/894_Automatische-Portfreigaben-einrichten/

unwissende Grüße
Niels

ZitatSollten wir nicht lieber jede neue FHEM Instanz grundsätzlich mit einem zufälligen Passwort bei der Installation absichern?

Na so einfach geht das nicht, weil dann 60-80% der Anfaenger (die, die des Shells nicht maechtig sind) gar nicht ins System kommen. Ich bin fuer eine praktikable Alternative aber offen.

Vorschlag: allowedFrom ist in TcpServerUtils per Voreinstellung auf ^(192.168.*|127.*)$ gesetzt, wenn kein allowed Instanz (vulgo Passwort) zugeordnet ist. Bei einer abgelehnten Verbindung wird eine Meldung im Log protokolliert.

Sieht jemand damit Probleme?
Auch eine Bestaetigung von jemandem, der darueber nachgedacht hat, wuerde mir helfen.

Moin,
so habe auch noch mal darüber nachgedacht und mir die ct Artikel noch einmal im Detail angelesen. 

Ich glaube die Kombination aus beiden Massnahmen wäre gut.

1) Zugriff grundsätzlich nur aus Homenetz und Localhost.

2) Ein Passwort spezifisch bei der der Installation generieren.

Zu 1) rein statisch auf 192.168. gehen zieht zu kurz. Da vielleicht einige Benutzer andere Homenetze haben.
Kann man nicht während der Installation die aktuelle lokale IP Adresse des Systems und die Netzwerkmaske auslesen und nutzen?

Zu 2) Warum kann nicht während der Erstinstallation über einen Benutzerdialog das Passwort dem Installateur genannt werden? Dann verlieren wir doch niemanden, oder? Alternativ wäre ein Zwang zum Passwort setzen beim ersten Login möglich...

Gruß Arnd


Raspi2 mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, Bravia, ...

Zitat von: rudolfkoenig am 01 Juni 2017, 07:46:31
Na so einfach geht das nicht, weil dann 60-80% der Anfaenger (die, die des Shells nicht maechtig sind) gar nicht ins System kommen. Ich bin fuer eine praktikable Alternative aber offen.

Vorschlag: allowedFrom ist in TcpServerUtils per Voreinstellung auf ^(192.168.*|127.*)$ gesetzt, wenn kein allowed Instanz (vulgo Passwort) zugeordnet ist. Bei einer abgelehnten Verbindung wird eine Meldung im Log protokolliert.

Sieht jemand damit Probleme?
Auch eine Bestaetigung von jemandem, der darueber nachgedacht hat, wuerde mir helfen.

Hallo Rudi,

sehr guter Ansatz !!!

Ich würde aber die komplette RFC 1918 also

192.168/16
172.16/12
10/8

dazu noch den Lokal Horst und die Welt ist sicher ;-)

nehmen

Zitat
Vorschlag: allowedFrom ist in TcpServerUtils per Voreinstellung auf ^(192.168.*|127.*)$ gesetzt

Neben den IP Bereichen aus RFC1918, wie Wuppi68 schon schrieb, sollte man dann mMn auch die Link-Local Unicast Addressen aus RFC4291 (https://tools.ietf.org/html/rfc4291#section-2.5.6) und RFC5735 (https://tools.ietf.org/html/rfc5735) berücksichtigen, sprich: 169.254.0.0/16 und fe80::/10

ZitatKann man nicht während der Installation die aktuelle lokale IP Adresse des Systems und die Netzwerkmaske auslesen und nutzen?

IP-Adressen auslesen ist nicht OS-unabhaengig, IP & Netzmaske zu bestimmen nicht trivial. Es gibt Computer mit mehreren Netzwerkkarten, und jede Karte kann mit etlichen Adressen konfiguriert werden.

ZitatWarum kann nicht während der Erstinstallation über einen Benutzerdialog das Passwort dem Installateur genannt werden?

Ein Passwort zu setzen ist nicht sicherer als mein Vorschlag, nur (in manchen Faellen) bequemer fuer die Benutzer.  Abgesehen davon, weiss ich nicht wie ich "Erstinstallation" in perl vormulieren soll.
Gegenvorschlag: ein allowed Device bei der Auslieferung definieren, und im FHEMWEB-Menu Links erwaehnen.

@Wuppi68/@dev0: gerne.

Also ich finde Rudis Vorschlage mit der Erweiterung um alle privaten Netze gut. Das ermöglicht wirklich eine Grundabsicherung denn diese Netze werden aus der großen weiten Welt nun mal nicht geroutet. Wenn sich jetzt jemand dran zu schaffen macht, ist der Aufwand schon deutlich höher, um ran zu kommen (wenn überhaupt möglich).
Wer das als Anfänger nun deaktivieren will muss lesen und wird damit auch etwas über die Gefahren erfahren. FHEM ist von seiner Grundkonstruktion sowieso nicht idiotensicher und soll es auch nicht sein. Ich sage nurdelete .*Da gibt es auch keine Abfrage, ob ich wirklich alle Devices löschen will und einen 2. Hinweis, dass FHEM danach nicht mehr funktionieren wird - das wird einfach gemacht.
Von daher ist die genannte Lösung ein netter Service an Einsteiger, der gut zu FHEM passt.

zustimmende Grüße
Niels

delete .*

ist doch harmlos :-)

der save danach ist das gefährliche 8-)

Ja wuppis Vorschlag mit der Erweiterung von dev0 sollte reichen

ist der hinweis nicht in motd besser aufgehoben als im menü?

Wenn wir dabei sind, FHEM sicherer zu machen, wäre m.A. nicht schlecht eine Seite "Hinweise zur Sicherheit" auf der Hauptseite vom Wiki zu verlinken. Z.B. in "Wie fang ich an?".

Inhalt (die einzelne Items existieren schon teilweise im Wiki):
- mit https + User/Passwort absichern
- mit apache oder nginx
- apiWEB Instanz
- Port Freigabe im Router (und Gefahren)
- csrf Token - warum auch im internetn Netzwerk...
- COS?
- ...

Alle Experten sind der gleiche Meinung: der Kern der IT-Sicherheit ist... das Benutzerbewusstsein.

ich hätte noch eine zusätzliche Idee: hier wurde die fhemweb Instanz ja gelöscht um den unbekannten Benutzer einen Hinweiß zu geben. Wie wäre es ein device zu erstellen dessen Aufgabe darin besteht einem Benutzer einen grossen deutlichen Hinweiß zu geben. Zum Beispiel könnte das als großes overlay über die fhemgui erfolgen.

Sprich, wenn jemand auf shodan, oder wo auch immer, auf ein offenes fhem trifft: "set warn 'Ey Freund, Dein FHEM ist offen wie ein Scheunentor. Wenn ich Dir helfen soll dann mail mich an oder komm ins forum und lass Dir dort helfen'".

Und wenn der unbekannte Benutzer sich das nächste mal "sein FHEM" aufruft dann wird das groß, rot und prominent als overlay über seine GUI gelegt. Wer das ncht versteht dem ist dann ohnehin nict mehr zu helfen :)

vg
Joerg

Finde die Idee von herrmannj eigentlich ganz gut...

So eine Art Notfallmechanismus der Ausgelöst werden kann.

Zitat von: herrmannj am 02 Juni 2017, 00:07:52
ich hätte noch eine zusätzliche Idee: hier wurde die fhemweb Instanz ja gelöscht um den unbekannten Benutzer einen Hinweiß zu geben. Wie wäre es ein device zu erstellen dessen Aufgabe darin besteht einem Benutzer einen grossen deutlichen Hinweiß zu geben. Zum Beispiel könnte das als großes overlay über die fhemgui erfolgen.

Sprich, wenn jemand auf shodan, oder wo auch immer, auf ein offenes fhem trifft: "set warn 'Ey Freund, Dein FHEM ist offen wie ein Scheunentor. Wenn ich Dir helfen soll dann mail mich an oder komm ins forum und lass Dir dort helfen'".

Und wenn der unbekannte Benutzer sich das nächste mal "sein FHEM" aufruft dann wird das groß, rot und prominent als overlay über seine GUI gelegt. Wer das ncht versteht dem ist dann ohnehin nict mehr zu helfen :)

vg
Joerg

dein Vorschlag erfordert ein Update von Fhem oder?
Naja dann wäre doch Rudis Vorschlag sinnvoller externe IP Anfragen ohne Passwort erst garnicht zulassen.

Natürlich. Beides. Das beschränken auf interne ip benötigt im übrigen auch ein Update

Vg
Jörg

Meine laienhafte Meinung, die ich ähnlich schon im Zusammenhang mit Alexa und csrftoken geäußert habe: Das Thema Sicherheit wird in FHEM zu stiefmütterlich behandelt. Deshalb findet der Vorschlag von amenomade meine vollste Unterstützung.

Man erkennt das meines Erachtens auch wieder hier an diesem Thread.

Da schmeißen Experten mit Begrifflichkeiten um sich, wo 90% der User nur noch Bahnhof verstehen. Man kann fast auf die Idee kommen FHEM nicht zu nutzen, weil es "gefährlich" erscheint.

Was heißt offen wie ein Scheunentor ? Was ist basicauth ? Was fehlt meiner Installation, was andere haben ? RFC4711 ? .....

Ich selber habe basicauth nicht gesetzt  8) Warum ?
- ich habe schon einige Threads gesehen, wo User ihr Passwort vergessen haben  ::)
- Ich fände es nervig, wenn ich mich jedes mal lokal anmelden müsste  >:(
- und schließlich finde ich die Doku nicht wirklich verständlich
◦allowedCommands, basicAuth, basicAuthMsg
Please create these attributes for the corresponding allowed device, they are deprecated for the FHEMWEB instance from now on.


Ist mein FHEM also jetzt offen wie ein Scheunentor ? Ich denke(laienhaft) nein, denn was Dan kurz anriss: Ich komme von außen nicht auf mein FHEM(hoffe ich). Das ist doch erst einmal der beste Schutz. Denn wer böses im Schilde führt: ist für den ein Passwort das große Hindernis ?

Nun habe ich nicht jeden Post im Detail verstanden und wiederhole vermutlich in untechnischeren  Worten bereits gesagtes bei meinen Vorstellungen:
- Nach Erstinstallation von FHEM lässt sich NUR lokal zugreifen. Unabhängig von vielleicht falschen Routereinstellungen. Wie man das technisch realisieren kann, weiß ich nicht. Ist vielleicht genau das, was Rudi vorschlug.
- Wer nun trotzdem meint unbedingt von außen zugreifen zu müssen, der braucht:
  - eine viiiiieeeeel bessere Doku zu diesem Thema(da reicht dann eine commandref, Forumsuche.... nicht mehr aus)
  - mehrstufige "fette" Warnhinweise, Dokuverweise
  - hier dann tatsächlich Zwang zu Zugriff NUR mit User/Passwort, aus meiner Sicht(s.o.) aber NUR für den externen Zugriff
  - vielleicht sogar nur über VPN möglich(technisch in FHEM umsetzbar ?)
  -
Und schließlich: An welcher "Stelle" wird das Thema Security von FHEM in FHEM eigentlich behandelt ? Ich bin ein GUI-Banause und kenne außer FHEMWEB keine andere GUI. Setzen die alle auf FHEMWEB auf  und sind daher automatisch entsprechend geschützt/ungeschützt ? Müsste es nicht ein separates device oder wenigstens ein global-Attribut geben, wo man entsprechende Einstellungen macht ? Für technisch versierte vielleicht nicht das Thema, aber der Normaluser denkt sich doch gar nicht viel bei einem device FHEMWEB bzw. wenn er über Sicherheit nachdenkt, sucht er dann nicht in der commandref nach einem device security oder ähnlich, der 2. Gedanke dann an global....

Grüße Markus

Zitat von: herrmannj am 02 Juni 2017, 00:07:52
Wie wäre es ein device zu erstellen dessen Aufgabe darin besteht einem Benutzer einen grossen deutlichen Hinweiß zu geben. Zum Beispiel könnte das als großes overlay über die fhemgui erfolgen.

Nette Idee!
Nitchts desto trotz handelt es sich dabei aber immer noch um eine unauthorisierte Manipulation einer fremden Installation was, wie bereits weiter oben erwähnt (https://forum.fhem.de/index.php/topic,72629.msg642276.html#msg642276), rechtlich zumindest bedenklich ist. Auch wenn es hier mit den besten Absichten geschieht.

Außerdem, wie willst du denn gewährleisten, dass jemand sein FHEM regelmäßig mit FHEMWEB bedient? Ein solcher hinweis kann auch einfach mal unbemerkt bleiben.

Du hast völlig Recht!

Punkt #1 (Manipulation): nicht von der Hand zu weißen. Mein Gedankengang: wir haben es ja schon öfter gehabt das hier jemand gefragt hat: "Kennt jemand xyz, besondere Kennzeichen Aquaium im Wohnzimmer etc. Deren fhem ist völlig offen". Nun gibt es ja keinen Weg diesem Benutzer mal eine Nachricht zu hinterlassen oder denjenigen zu kontaktieren.

Punkt #2 (Schaut er/sie drauf): yepp. Aber jeden können wir halt nicht "retten" ;)

Mal anders formuliert: wenn ich im Auto unterwegs bin und ich sehe jemanden dem schon 4 von 5 Radmuttern fehlen dann huper ich den an, winke vielleicht und gebe ihm Handzeichen. Wenn der die ganze Zeit auf sein smartphone schaut und Kopfhörer trägt kann ich das dann irgendwann auch nicht mehr ändern. Am Ende trägt jeder die Verantwortung für sich selbst.

vg
joerg

ZitatPunkt #1 (Manipulation): nicht von der Hand zu weißen. Mein Gedankengang: wir haben es ja schon öfter gehabt das hier jemand gefragt hat: "Kennt jemand xyz, besondere Kennzeichen Aquaium im Wohnzimmer etc. Deren fhem ist völlig offen". Nun gibt es ja keinen Weg diesem Benutzer mal eine Nachricht zu hinterlassen oder denjenigen zu kontaktieren.

In FHEM so eine Art "backdoor" einrichten, die das ermöglicht?
- Stufe eins, irgendwelche Warnung zu generieren
- Stufe zwei, irgendwas blockierends in FHEM einzustellen, z.B. die Ports zu schliessen.

Das wäre dann kein unautorisierte Manipulation sondern ein Feature. Und nicht wirklich ein Backdoor, wenn es nur das ermöglicht, da  FHEM in solche Fälle sowieso ganz offen ist. Natürlich muss die vernünftige Absicherung von FHEM diese Hintertür auch schliessen.

Bin kein Jurist, aber... wäre sowas wirklich unerlaubt?

Ich halte auf jeden Fall die Voreinstellung von allowed für die beste und dringeste "Lösung".

Zitat von: amenomade am 02 Juni 2017, 10:34:08
In FHEM so eine Art "backdoor" einrichten, die das ermöglicht?
- Stufe eins, irgendwelche Warnung zu generieren
- Stufe zwei, irgendwas blockierends in FHEM einzustellen, z.B. die Ports zu schliessen.

Das wäre dann kein unautorisierte Manipulation

Hast du dir eigentlich selbst mal durchgelesen, was du da schreibst?  :o

Autorisieren kann das nur der Betreiber und nicht der Hersteller!

Nichts desto trotz denke ich, dass der von Rudi vorgeschlagene initiale Schutz schon sehr gut ist. Wenn den jemand dann bewußt, oder auch unbewußt deaktiviert, weil er irgendwelche howtos benutzt, die er nicht versteht, bzw. dann keine eigenen Sicherheitsvorkehrungen mehr tifft, dann sollte man ihn auch getrost gegen die Wand fahren lassen. Manchmal muss es auch einfach weh tun.

Die Wand (wie hart auch immer) könntest dann natürlich du oder ich oder sonstwer hier sein. Derjenige muss sich dann halt nur darüber im klaren sein, dass er sich damit auf rechtlich sehr brüchigem Boden bewegt und ggf. auch dafür belangt werden kann.

Ist es denn wirklich Manipulation?
Wenn eine Seite öffentlich im Internet zugänglich ist, ohne jegliche Sicherheitsmaßnahmen, dann frage ich mich, ob es dann wirklich schon als Manipulation zählt, den Button für Licht ein/aus anzuklicken oder über die Befehlszeile  einen Befehl zur Warnung abzugeben.

Ich meine, ich darf mich ja auch auf Internetseiten anmelden und diese interaktiv nutzen - illegal wird es dann, wenn ich versuche den Betrieb (bösartig) zu stören. Ich sehe im Artikel keine Unterscheidung zwischen öffentlichen Internetangeboten und solchen, die "eigentlich" nicht für die Öffentlichkeit gedacht sind.

Im zitierten Gesetzesartikel heißt es:

Zitat§ 303b
Computersabotage

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört

Bei einer Warnung geht es ja nicht um eine erhebliche Störung, es geht ja darum, weiteren Schaden zu vermeiden. Unbrauchbar machen kann man wohl unter Störung zählen, einen Hinweis veranlassen, ohne die weitere Funktion zu behindern - wohl eher nicht. Wäre auch dafür.

Alternativ die default-MOTD evtl. mehrsprachig bzw.l zumindest drastischer formulieren, sodass auch Laien klar ist, dass FHEM möglicherweise aus dem Internet zu erreichen ist und hier zumindest mal die Routereinstellungen überprüft werden sollten, ggf. mit einem Link zu einem entsprechenden Wiki-Artikel.

Zitat von: amenomade am 01 Juni 2017, 23:47:33
Wenn wir dabei sind, FHEM sicherer zu machen, wäre m.A. nicht schlecht eine Seite "Hinweise zur Sicherheit" auf der Hauptseite vom Wiki zu verlinken. Z.B. in "Wie fang ich an?".

Inhalt (die einzelne Items existieren schon teilweise im Wiki):
- mit https + User/Passwort absichern
- mit apache oder nginx
- apiWEB Instanz
- Port Freigabe im Router (und Gefahren)
- csrf Token - warum auch im internetn Netzwerk...
- COS?
- ...

Alle Experten sind der gleiche Meinung: der Kern der IT-Sicherheit ist... das Benutzerbewusstsein.

Ich wollte auch mal meine Gedanken ausschreiben. Ich finde den Ansatz schon recht gut, allerdings trifft das nicht die Leute, welche sich über Blogs oder youtube oder sonst irgendwie erklären lassen wie man Fhem installiert.Ich glaube, dass viele erst weitaus später darauf kommen würden sich mit dem Wiki auseinander zu setzen. Was sieht man zuerst, wenn man fhem das Erste mal installiert? Die Startseite von FHEMWEB. Man könnte hier vll sogar als kurzfristige Abhilfe Weblinks setzen, welche diese Themen umfasst. Entweder als Weblink Device, welche später gelöscht werden können, oder aber auch als Text welcher per Attribut abgeschaltet werden kann. Somit wird man fast gezwungen, sich mit der Thematik zu beschäftigen.

Just my two cents..

Grüße Stephan

@Benni

ZitatAutorisieren kann das nur der Betreiber und nicht der Hersteller!

Das stimmt nicht ganz. Wenn Du ein Software nutzt, kannst Du schwören, dass Du jeden einzelnen Portfkommunikation / Socket, jeden Mechanismus für Updatessuche und Aktualisierung, usw. explizit validiert hast? Ne, in meisten Fälle bestätigen die Benutzer die AGBs (evtl. ohne die zu lesen), nutzen die Standard Einstellungen für die Installation, und lassen deren Firewall selbst entscheiden, was erlaubt ist, oder nicht.

Aber OK, in dem Fall gibt es doch AGBs, und die wurden validiert. Das haben wir für FHEM so weit ich weiss nicht.

@Eshay

ZitatMan könnte hier vll sogar als kurzfristige Abhilfe Weblinks setzen,...

Finde die Idee gut.

Zitat von: herrmannj am 02 Juni 2017, 09:27:51
Punkt #1 (Manipulation): nicht von der Hand zu weißen. Mein Gedankengang: wir haben es ja schon öfter gehabt das hier jemand gefragt hat: "Kennt jemand xyz, besondere Kennzeichen Aquaium im Wohnzimmer etc. Deren fhem ist völlig offen". Nun gibt es ja keinen Weg diesem Benutzer mal eine Nachricht zu hinterlassen oder denjenigen zu kontaktieren.

Dafür gibt es bei jedem ISP einen Abuse/Security-Kontakt. Der ISP kann anhand IP und Zeitpunkt genau feststellen, wer der Kunde war und ihn über seine Kanäle informieren. Wir müssen und sollen das nicht wissen.

Zitat von: szoller am 02 Juni 2017, 12:13:39
Ist es denn wirklich Manipulation?

Wie würdest du es denn nennen, wenn jemand dein FHEM abschaltet oder dir irgendwelche Devices anlegt oder was auch immer? Das ist offensichtlich mindestens eine Veränderung.

Zitat von: szoller am 02 Juni 2017, 12:13:39
Wenn eine Seite öffentlich im Internet zugänglich ist, ohne jegliche Sicherheitsmaßnahmen, dann frage ich mich, ob es dann wirklich schon als Manipulation zählt, den Button für Licht ein/aus anzuklicken oder über die Befehlszeile  einen Befehl zur Warnung abzugeben.

Dein Rechtsverständnis deckt sich nicht mit dem der Fachmehrheit.

Zitat von: szoller am 02 Juni 2017, 12:13:39
Ich meine, ich darf mich ja auch auf Internetseiten anmelden und diese interaktiv nutzen - illegal wird es dann, wenn ich versuche den Betrieb (bösartig) zu stören. Ich sehe im Artikel keine Unterscheidung zwischen öffentlichen Internetangeboten und solchen, die "eigentlich" nicht für die Öffentlichkeit gedacht sind.

Der Unterschied ist, dass ein Internetangebot, das für die Öffentlichkeit gedacht ist, für die Öffentlichkeit gedacht ist. FHEM von Franz Müller aus M. ist es aber nicht. Und da hast du deine Finger still zu halten, wenn du sowas findest.

Zitat von: szoller am 02 Juni 2017, 12:13:39
Im zitierten Gesetzesartikel heißt es:Bei einer Warnung geht es ja nicht um eine erhebliche Störung, es geht ja darum, weiteren Schaden zu vermeiden. Unbrauchbar machen kann man wohl unter Störung zählen, einen Hinweis veranlassen, ohne die weitere Funktion zu behindern - wohl eher nicht. Wäre auch dafür.

Was für einen Schaden vermeidest du denn, wenn du einen Device anlegst? Und weißt du, ob du beim Nutzer damit irgendwas störst? Und willst du das Risiko eingehen, dass du vielleicht haftbar gemacht wirst, wenn du irgendwas störst, was du vielleicht nicht antizipiert hast?

Zitat von: szoller am 02 Juni 2017, 12:13:39
Alternativ die default-MOTD evtl. mehrsprachig bzw.l zumindest drastischer formulieren, sodass auch Laien klar ist, dass FHEM möglicherweise aus dem Internet zu erreichen ist und hier zumindest mal die Routereinstellungen überprüft werden sollten, ggf. mit einem Link zu einem entsprechenden Wiki-Artikel.

Das sekundiere ich.

Zitat von: amenomade am 02 Juni 2017, 13:03:55
@BenniDas stimmt nicht ganz. Wenn Du ein Software nutzt, kannst Du schwören, dass Du jeden einzelnen Portfkommunikation / Socket, jeden Mechanismus für Updatessuche und Aktualisierung, usw. explizit validiert hast? Ne, in meisten Fälle bestätigen die Benutzer die AGBs (evtl. ohne die zu lesen), nutzen die Standard Einstellungen für die Installation, und lassen deren Firewall selbst entscheiden, was erlaubt ist, oder nicht.

Aber OK, in dem Fall gibt es doch AGBs, und die wurden validiert. Das haben wir für FHEM so weit ich weiss nicht.

Die (nicht vorhandenen) AGBs gelten dann aber zwischen Betreiber und Hersteller aber nicht zwischen Betreiber und Dritten und jeder der in einer offenen FHEM-Installation rumfingert ist ein solcher Dritter der sowieso nix validiert. Wenn der dann manipuliert ist der auch dran. AGBs hin oder her, gute Absichten hin oder her.

Und da spielt es auch erst mal keine Rolle ob das System offen oder irgendwie abgesichert ist. Keiner ist per se von mir autorisiert in meiner Garageneinfahrt zu parken, auch wenn diese zur Straße hin nicht mit einem Schlagbaum geschützt ist. Und jeder der trotzdem ungefragt seinen Porsche dort parkt wird auch entsprechend mit maßnahmen zu rechnen haben, da er dies unautorisiert tut. Das spielt es auch keine Rolle, ob ich mir vom Hersteller der Einfahrt vorher habe versichern lassen, dass keine Autos der Marke Porsche drin parken können und ihm im Gegenzug versichert habe, dass ich auch keine solchen darin abstellen werde.

Und eine einprogrammierte und per default geöffnete "Backdoor" über die ein "Wissender" mir "helfen" kann klingt extrem gruselig und genau nach dem Bullshit, den uns die NSA und was weiß ich wer auch immer als Schutz verkaufen wollen.

ZitatUnd eine einprogrammierte und per default geöffnete "Backdoor" über die ein "Wissender" mir "helfen" kann klingt extrem gruselig und genau nach dem Bullshit, den uns die NSA und was weiß ich wer auch immer als Schutz verkaufen wollen.

Da hast Du was falsch verstanden.

Das Problem liegt auch ohnehin anders. Im Zweifel fällt das leider auf fhem (an sich) zurück - auch wenn es von unbedarften usern explizit geöffnet wird. In und um IT/Software gelten leider eben nicht die gleichen Spielregeln wie bei Garagen. Das geht ruck zuck da fliegt irgendwo eine Meldung rum: "tausende ;) fhem Installationen ungeschützt im Netz - smarthome ist unsicher" und 99% der Leser sind nicht in der Lage / willens das zu erfassen.

Leider fällt das in der IT auf der Hersteller der Garage zurück, auch wenn der Besitzer die Tür mit voller Absicht erst aufmacht. Leider!

@Benni: um deine Metaphorik zu übernehmen, handelt es sich eher für mich um folgendes: wenn ich als deiner Nachbar in der Zeitung erfahre, dass deine Haustür ständig auf bleibt, darf ich deine Tür selbst schliessen? Rein theoretisch nein. Ich sollte eher die Polizei anrufen. Aber werde ich dafür vorm Gericht verurteilt? Mir ich schon klar, dass die Grenze sehr dünn ist...

@herrmannj: es gab mal in der USA einen Prozess. Ein Automobilhersteller wurde verurteilt, weil ein Fahrer den Cruise Control seines Wohnmobils engagiert hatte, und dann hinten schlafen gegangen war. Natürlich schlief er nicht lang... Aber es stand nicht explizit im Handbuch, dass man sowas nicht darf / kann. Die ganze Geschichte hier sieht mir ähnlich aus.

Fazit: ok, so eine Backdoor ist wahrscheinlich nicht die beste Lösung. Lieber den User aufmerksam machen, und vor allem bei der Installation alles "by default" schliessen.

Zitat von: amenomade am 02 Juni 2017, 16:20:51
@Benni: um deine Metaphorik zu übernehmen, handelt es sich eher für mich um folgendes: wenn ich als deiner Nachbar in der Zeitung erfahre, dass deine Haustür ständig auf bleibt, darf ich deine Tür selbst schliessen? Rein theoretisch nein. Ich sollte eher die Polizei anrufen. Aber werde ich dafür vorm Gericht verurteilt? Mir ich schon klar, dass die Grenze sehr dünn ist...

Das kommt darauf an, welche Folgen/Auswirkungen (Stichwort "erhebliche Störung") das verschließen der Tür hat. Es kann ja auch sehr gute Gründe (Stichwort "wesentliche Bedeutung") für die offene Tür geben. Das kannst du doch gar nicht so ohne weiteres abschätzen.

Das ist, wie wenn in einer offenen FHEM-Installation einfach einer ein Licht ein oder ausschält. Es weiß doch von außen keiner was er damit wirklich anrichtet. Vielleicht schält er eine Nachttischlampe ein, die umgefallen ist und im Bett liegt. Oder am mit "Licht.Leselampe" bezeichneten Zwischenstecker hängt eine Wasserpumpe, die nicht ausgeschaltet werden darf.  Oder es brennt dann über Stunden der 500W-Strahler, wodurch dann ein Finanzieller Schaden durch eine erhöhte Stromrechnung entsteht. Weitere mehr oder weniger schwerwiegende Szenarien kann sich jeder selbst ausmalen.

Deswegen ist jede von Dritten von außen herbeigeführte Statusänderung an einer DV-Installation immer eine Manipulation/Veränderung, unerheblich davon, ob sie persistent ist oder nicht. Und was eine "erhebliche Störung" ist oder was unter "wesentliche Bedeutung" zu verstehen ist muss dann ggf. im Einzelfall geklärt werden. Das kann aber vorher keiner ohne Kenntnis des Gesamtsystems einschätzen.

Zitat von: herrmannj am 02 Juni 2017, 14:35:00
Das Problem liegt auch ohnehin anders. Im Zweifel fällt das leider auf fhem (an sich) zurück - auch wenn es von unbedarften usern explizit geöffnet wird.

Das wirst du eh nie ganz verhindern können auch nicht mit noch so vielen und noch so guten Meldungen, Links und Dokus. Und die Umsatzzahlen werden davon auch nicht einbrechen ;)

Der unbedarfte User möchte von außen auf sein System zugreifen und Sucht nach entsprechenden Informationen und zwar irgendwo, mit Glück im FHEM-Forum, vielleicht in irgendwelchen AVM-Foren, in Linux-Foren, oder im Windows-Netzwerk für Dummies-Buch oder hat einen "Experten" im Bekanntenkreis, der ihm das einrichtet.

Dann lieber von vornherein, so wie von Rudi vorgeschlagen den Zugriff von außerhalb per Default verhindern, denn je höher der Aufwand ist, das System nach außen zu Öffnen und je FHEM-spezifischer es ist, desto eher muss er sich damit beschäftigen und um so einfacher ist es hinterher auch aus FHEM-Sicht zu argumentieren.

(Hinterher) eine offene Installation auch nur anzurühren ist auf jeden Fall ein absolutes No-Go!

Aber letztendlich fangen wir an uns im Kreis zu drehen, was der Sache auch nicht dienlich ist.

Lasst den Rudi mal machen und die, die sich um bessere Doku kümmern wollen, können das ja auch jederzeit tun. Das Wiki steht grundsätzlich jedem offen.

Und wie hier irgendjemand schon geschrieben hat: "Jeden (Idioten) kann man eh' nicht retten" und das muss man auch nicht. Man kann es nur versuchen, das bitte aber mit legalen Methoden.

Zitat von: amenomade am 02 Juni 2017, 16:20:51
@Benni: um deine Metaphorik zu übernehmen, handelt es sich eher für mich um folgendes: wenn ich als deiner Nachbar in der Zeitung erfahre, dass deine Haustür ständig auf bleibt, darf ich deine Tür selbst schliessen? Rein theoretisch nein. Ich sollte eher die Polizei anrufen. Aber werde ich dafür vorm Gericht verurteilt? Mir ich schon klar, dass die Grenze sehr dünn ist...

Doch, darfst du, da es kein Gesetz gibt, dass dir das verbietet, im Gegenteil (https://dejure.org/gesetze/BGB/680.html) sogar. In der EDV ist es aber anders, da gibt es den von mir zitierten Paragraphen nun mal.

Zitat von: jeschkec am 02 Juni 2017, 17:06:07
Doch, darfst du, da es kein Gesetz gibt, dass dir das verbietet, im Gegenteil (https://dejure.org/gesetze/BGB/680.html) sogar.

Zitat
Bezweckt die Geschäftsführung die Abwendung einer dem Geschäftsherrn drohenden dringenden Gefahr, so hat der Geschäftsführer nur Vorsatz und grobe Fahrlässigkeit zu vertreten.

Du hast aber schon gesehen, in welchen Kontext das gehört? Das hat weder was mit der geöffneten Haustür, noch mit IT zu tun!  ::)

Ich habe was gebaut und angekuendigt, siehe https://forum.fhem.de/index.php?topic=72717

Zitatist der hinweis nicht in motd besser aufgehoben als im menü?

Ich wollte keinen Hinweis, sondern ein allowed Instanz automatisch anlegen, und analog zu Logfile per Menue-Eintrag darauf verweisen. Da ich aber nicht so recht entscheiden kann, wie/wann ich diese Instanz anlege, habe ich den Plan erstmal verschoben.

ZitatWenn wir dabei sind, FHEM sicherer zu machen, wäre m.A. nicht schlecht eine Seite "Hinweise zur Sicherheit" auf der Hauptseite vom Wiki zu verlinken.

Sobald diese Seite existiert, wird sie in der FHEM-motd bei der Sicherheitsmeldung erwaehnt.

ZitatDas Thema Sicherheit wird in FHEM zu stiefmütterlich behandelt

Diese Bemerkung finde ich unfair:
- Passwort/basicAuth oder allowfrom existiert in FHEM schon seit "ewig".
- die haessliche motd Sicherheits-Meldung nervt mich auch schon seit langen, aber ich baue es nicht aus, damit die Anfaenger keine Ausrede haben.
- ich hatte wochenlang Aerger nach der Einfuehrung von csrfToken, und musste mir oefters anhoeren, wozu das gut sein soll.
- mit dem Authenticate/Authorize Framework gibt es sehr weitreichende Moeglichkeiten FHEM abzusichern. Jeder koennte ein Kerberos/Ldap/ActiveDirectory/OAuth/etc Modul programmieren.
- in der DetailAnsicht eines allowed Moduls kann man Passwoerter einfach setzen und mit SHA256 speichern.

Hi Rudi,

erstmal wieder ein generelles Danke für FHEM und für das neue Feature. Die Beschreibung des Features klingt gut.

ZitatDiese Bemerkung finde ich unfair

Nicht unfair, sondern missverständlich  ;) Ich meinte weniger fehlende Sicherheitsfeatures, sondern proaktiver den lesenden User drauf stoßen oder, wie mit dem neuen Feature und auch csrfToken, den User zur Sicherheit zwingen(Änderungen ist er dann selbst Schuld).

Im Einsteiger-pdf ist meines Wissens nichts zum Thema erwähnt. Im Wiki auf der Hauptseite: Fehlanzeige, in "Erste Schritte" auch ......Und im Forum ? Wonach sollen Laie bis Amateur suchen ? Vielleicht wäre ja auch ein Subforum "FHEM und Datensicherheit" eine Möglichkeit Threads wie diesen hier zum nachschlagen zu sammeln.

Allen schöne und sichere Pfingsttage
Markus

Zitat von: KölnSolar am 02 Juni 2017, 21:13:34...Im Einsteiger-pdf ist meines Wissens nichts zum Thema erwähnt. Im Wiki auf der Hauptseite: Fehlanzeige, in "Erste Schritte" auch .....

Eine ähnliche Diskussion gab es schon mal bezgl. des Editierens der Konfig-Datei. Warum fummeln immer so viele Einsteiger an der Konfig rum? Auch ich habe am Anfang viel dran rum gefummelt, weil viele Anleitungen sich auf die Konfig beziehen.
Aber da sind alle gefragt, die etwas beitragen können. Die Entwickler entwickeln und geben eine Basisdoku und die erfahrene User sollten die Programmierleistung mit der Erweiterung der Dokumention 'bezahlen'. Da bin ich immer gerne (im Rahmen meiner immer zu wenig vorhandenen Zeit) dabei. Aber gerade das macht es auch wieder schwierig, denn viele Köpfe denken in viele Richtungen und es kommt nichts aus einem Guss heraus. Das ist ja auch bei den Modulen so - da gibt es eine schicke Oberfläche, auf der anderen Seite die Funktion dazu, aber beide Parts müssen aufwendig miteinander verheiratet werden, weil die Modulentwickler keinen gemeinsamen Standard finden können. Oder es gibt parallele Module die nahezu das Gleiche machen, weil 2 Entwickler so unterschiedliche Philosophien haben, dass sie ihre Kräfte nicht bündeln können.

Aber hey - das ist OpenSource in Reinkultur. Jeder trägt das bei, was er kann. Dafür ist das System aber auch flexibler wie jede professionelle Lösung. Nennt doch mal ein kommerzielles System, welches so viele verschiedene Systeme anbinden kann. Und Backdoors haben keine Chance, weil viel zu viele Entwickler mit unterschiedlichen Ansätzen auf den Code schauen.

Und niemand hat je behauptet, das FHEM etwas für jedermann ist!

Leider ist der allgemeine Umgang mit EDV im Allgemeinen sehr sträflich. Um bei den beliebten Autobeispielen zu bleiben: Man braucht einen Führerschein. In der EDV wird immer vieles vorausgesetzt und viele meinen, so ein Computer muss schon so ticken, wie jeder es sich gerade denkt. Das geht schon in der Schule los. Ohne grundlegende Ausbildung arbeiten die Schüler mit Anwendungssoftware. Und weiter geht es im Leben - man kauft sich Android, Windows etc., meldet sich bei Webdiensten an, holt sich Alexa in's Haus und überall akzeptiert man die Ausnutzungsbedingungen ungelesen.
Wenn jetzt meine Windose gehackt wird, ist selbst eine Passwortabfrage von FHEM egal - der Hacker hat die Macht über FHEM. und der fragt nicht, ob das jetzt strafbar ist, oder nicht. Viele geben die Hoheit über ihr FHEM freiwillig an Amazon's Stellvertreterin Alexa ab.

Von daher ist das hier aus meiner Sicht eine etwas schräge Diskussion. Rudi hat eine Grundabsicherung gemacht und damit ist das doch aber mehr als gut.

entspannte Grüße
Niels

Zitat...Im Einsteiger-pdf ist meines Wissens nichts zum Thema erwähnt. Im Wiki auf der Hauptseite: Fehlanzeige, in "Erste Schritte" auch .....

Rudi hat vor längerer Zeit dazu unter https://fhem.de/HOWTO.html#security bzw. https://fhem.de/HOWTO_DE.html#security einige kurze Hinweise gegeben. Ihr konnt gerne Aktualisierungen für den Abschnitt bzw. auch das ganze HOWTO liefern. Ich würde mich dann um die Einbindung kümmern.

Gruß, Christian

Ich kann in dem Ankündigungsthread nicht anworten, darum mach ich das hier:

ZitatIch gehe davon aus, dass:
- aus dem Internet direkt erreichbare FHEM-Instanzen ein Passwort gesetzt haben

In meinem Fall trifft das nicht zu. FHEM ist zwar von außen erreichbar, jedoch mit einem ReverseProxy davor. Der ReverseProxy übernimmt auch die Authentifikation. Die FHEM-Instanz dahinter hat dann kein Passwort.

Wie kann ich mein FHEM dann weiter erreichen von außen? Muss ich dann "allowfrom" auf ".*" setzen?

Zitat von: vbs am 03 Juni 2017, 12:43:30
In meinem Fall trifft das nicht zu. FHEM ist zwar von außen erreichbar, jedoch mit einem ReverseProxy davor. Der ReverseProxy übernimmt auch die Authentifikation. Die FHEM-Instanz dahinter hat dann kein Passwort.

Das ist doch genau der Fall:

Zitat von: rudolfkoenig am 02 Juni 2017, 19:53:57
- Proxy ueber Apache/Nginx/etc eine lokale Adresse verwendet

Daran sollte sich doch nichts geändert haben.  ???

Was genau funktioniert denn bei dir jetzt nicht?

Achso danke, da hast du bestimmt Recht. Sorry, noch früh am morgen  :-X. Hatte noch nicht gewagt upzudaten, weil ich befürchten musste, dass dann der externe Zugriff nicht mehr funktioniert...

Zitat von: vbs am 03 Juni 2017, 12:59:29
Sorry, noch früh am morgen  :-X.

Ääh ... ok!  ;D

@rudolfkoenig

weil du damit

ZitatUnd wer keinen direkten Zugang zum Rechner hat, der soll kein FHEM-update machen.

sicher mich meinst.

erstens ist das eine FALSCHE annahme von dir
und
zweitens nicht sehr hilfreich für mein jetziges problem (das bis zu miener ankunft zuhause sowieso unlösbar bleiben wird).

ich bitte somit nicht nur um hilfe oder wenigstens die passenden infos, wie in meinem anderen fred, ich werd auch noch folgende frage stellen:
wann NACH einem LOKALEN update bitte, darf ich das haus den verlassen? ist 1 stunde genug, oder soll ich doch lieber 1 woche warten?

Zitatwann NACH einem LOKALEN update bitte, darf ich das haus den verlassen?

Wenn Du sicher seinen möchtest, dass nach einem Update alles funktioniert, dann mußt Du Dein System vollständig testen.

Zitat von: the ratman am 03 Juni 2017, 13:15:09
weil du damitsicher mich meinst.

Du bist aber ganz schön egozentrisch veranlagt.

Zitat von: rudolfkoenig am 03 Juni 2017, 13:07:27
Und wer keinen direkten Zugang zum Rechner hat, der soll kein FHEM-update machen.

Beides sind mAn Selbtverstaendlichkeiten, und erwarte sie selbst von Anfaengern.

Ich glaube das bezog sich eher genau auf den einen Post vor Rudis Post in dem Thread!
(Kannst da ja nochmal nachschauen (https://forum.fhem.de/index.php/topic,72717.msg643369.html#msg643369))

Und zum Thema Updates:

Wieso machst du überhaupt ein Update, wenn du weg musst?
Hat davor irgendwas nicht funktioniert, was mit dem Update behoben werden sollte?
Idealerweise informiert man sich vor einem Update, was für Änderungen kommen. Wenigstens in den Ankündigungs-Bereich im Forum sollte man einen kurzen Blick werfen. Und idealerweise hat man ein Testsystem auf dem man zuvor ein Update testet.
Wenn nicht, dann sollte man auch genügend Zeit einplanen um sein Produktivsystem nach Update zu prüfen.
Updates sind immer kritisch und können immer mal zu Problemen führen. Dabei ist es Egal, ob es sich um FHEM-Updates, Linux-Updates oder Windows-Updates handelt.

Und die Art wie du her auf Rudi losgehst finde ich daher absolut unangebracht!

Ich erreiche mein FHEM von aussen ueber Apache, und auch wenn ich es theoretisch weiss, dass es funktionieren muss, habe ich es vor dem checkin Sicherheitshalber getestet.

Falls irgendwer mit dem Feature Probleme hat, der kann allowfrom auf .* setzen.
Sollte aber trotzdem die Umstaende beschreiben, damit uns diese Sonderfaelle bekannt sind, und es entweder fixen, oder andere davor warnen koennen.

Zitat...sicher mich meinst.

Ich dachte ich habe auf betateilchens "Rant" geantwortet. Wenn FHEM wichtig ist, dann sollte es nach einem update in einer Umgebung getestet werden, wo man im Problemfall das update zurueckdrehen kann. Das ist mit Software, was man teuer bezahlt, nicht anders. Ich kann nicht alle Situationen testen, und csrfToken hat mir gezeigt, dass Sicherheitsfeatures keiner freiwillig aktiviert, einbauen und spaeter aktivieren also nichts bringt. Das heisst nicht, dass ich sinnlose Sachen ohne Nachdenken aktiviere, im Gegenteil, ich bin eher uebervorsichtig.

@dev0

ZitatWenn Du sicher seinen möchtest, dass nach einem Update alles funktioniert, dann mußt Du Dein System vollständig testen.

was für ein glück, dass ich fhem hab - das kann mich dann ja 3 stunden früher aufwecken.

@Benni

ZitatWieso machst du überhaupt ein Update, wenn du weg musst?

weil ich immer ein update mache und weil ich nie weiß, wann ich weg muß. so gesehen dürft ich wohl keine updates mehr machen.

ZitatHat davor irgendwas nicht funktioniert, was mit dem Update behoben werden sollte?

ja! z.b. die beantwort von hilfeanfragen in diesm forum. weil die erste ist wohl immer: "hast du n aktuelles fhem" *totlach*. ich beuge sozusagen nur problemen vor ... dachte ich bis jetzt.

ZitatUnd die Art wie du her auf Rudi losgehst finde ich daher absolut unangebracht!

ich gehe auf niemanden los, ich will bloß antworten. am besten simple wie: "gib das oder das dort ein, damit du global von extern wieder drauf kommst". anstelle dieser simplen antwort, darf ich aber wieder 2 diskussionen mit vielen fragen und falschen annahmen (von anderen) führen. is bei mir wohl karmisch ...

@rudolfkoenig
ah, thx für die erste echte antwort.

na wenn du wen anderen meintest, dann tuts mir leid und ich entschuldige mich bei dir!
sah nur echt so aus, als ob ich mit meinem anderen fred gemeint wäre ...

allowform .* - thx, wird gemacht

umstände: mein system ist schon ab router für extern abgesichert. bei mir wärs also doppelt gemoppelt.

Zitatumstände: mein system ist schon ab router für extern abgesichert. bei mir wärs also doppelt gemoppelt.

Kannst du das bitte genauer beschreiben, ich kenne so eine Loesung noch nicht. Ich hoffe, dass es eine seltene Ausnahme ist.

Und es tut mir Leid: ich habe vergessen die Aenderung in CHANGED einzutragen, das habe ich jetzt nachgeholt.

Und es tut mir Leid: ich habe vergessen die Aenderung in CHANGED einzutragen, das habe ich jetzt nachgeholtHA! dachte schon, ich bin wieder zu blöd zum lesen, konnt mich nämlich nicht erinnern, bei der updateprüfung was gelesen zu haben.

und frag mich ned ... reverse proxy oder sowas - könnts nginx sein oder so? stammt nicht von mir, rennt auf meiner nas und verteilt dann nach innen weiter. mein wissen reicht da grad um zu wissen, dass er rennt *g*.

Kannst du bitte die Zeile mit "Connection refused" aus dem FHEM-Log irgendwo anhaengen?

meinste mich?

ich komm ja nicht auf mein fhem von extern *g*

aber je mehr ich drüber nachdenk, muß da noch was anderes im argen sein.
eig. dürfte fhem beim nem reverse proxy gar nix mitbekommen, oder? *argl* mein halbwissen wieder ...

Zitat von: the ratman am 03 Juni 2017, 15:00:52
eig. dürfte fhem beim nem reverse proxy gar nix mitbekommen, oder? *argl* mein halbwissen wieder ...

Genau!

Denn dein Reverse-Proxy, der die Verbindungen von der Außenwelt (mit der externen IP-Adresse) entgegennimmt kommuniziert mit deinem FHEM-Server dann wieder mit einer internen IP-Adresse aus deinem eigenen privaten Netzwerk und die wird von FHEM und der neuen Absicherung eigentlich nicht geblockt.

Zitat von: the ratman am 03 Juni 2017, 15:00:52
meinste mich?

ich komm ja nicht auf mein fhem von extern *g*

aber je mehr ich drüber nachdenk, muß da noch was anderes im argen sein.
eig. dürfte fhem beim nem reverse proxy gar nix mitbekommen, oder? *argl* mein halbwissen wieder ...

ich komme ja nicht von extern auf mein FHEM ...


hmmm, vielleicht solltest Du Dir auch nen VPN Tunnel bzw. SSH einrichten ... dann wärst Du auch von extern Chef in Deinen System


einen Plan B zu haben ist bestimmt auch nicht falsch - aber mach Dir keine Sorgen, Du bist bestimmt nicht der einzige, bekommst nur die Prügel weil Du der erste warst der sich gemeldet hat

Viel Erfolg

Wuppi, der jetzt erst einmal einen Udate macht

Zitat von: Wuppi68 am 03 Juni 2017, 15:17:17
der sich gemeldet hat

Das war knapp! ;
Wollte schon nachfragen  ;D

Zitat von: Benni am 03 Juni 2017, 15:23:07
Das war knapp! ;
Wollte schon nachfragen  ;D

war die Autokorrektur .... :-)

@rudolfkoenig

jo, hab ich wieder sinnlos geschrieen ...
es liegt mal definitiv nicht an der neuen sicherheit von fhem.

aber gut, jetzt weiß ich wenigstens eines: ein reverse-proxy bringt auch nur was, wenn man ihn konfiguriert. wenn ich das richtig seh, is es einfach nur port-forwarding (wenn ich das richtig versteh), was da ab geht.
diese erkenntnis werde ich meinem ab nun ex-besten-freund (der das verbrochen hat) auch nochmal schlagkräftig vermitteln.
ich glaub, ich muß mich doch noch mit vpn auseinandersetzen *seufz*

somit: sorry für den vielen lärm um nix an alle!
man muß es positiv sehen: eine sicherheitslücke wurde gefunden ...

nachtrag:
bis ich nun openvpn intus hab ... wo geb ich eigentlich das pwd für fhem an, das dann abgefragt wird?
und könnte man das nicht so regeln, dass die abfrage nur bei externen anfragen kommt?

Zitat von: the ratman am 03 Juni 2017, 17:53:42
is es einfach nur port-forwarding (wenn ich das richtig versteh)

Nicht ganz und nicht nur!

Als grobübersicht: https://de.wikipedia.org/wiki/Reverse_Proxy

Zitat
bis ich nun openvpn intus hab ... wo geb ich eigentlich das pwd für fhem an, das dann abgefragt wird?

Es wird kein Passwort abgefragt, da du ja auch über VPN wieder eine private Adresse aus deinem lokalen Netzwerk bekommst, sobald du über den Tunnel verbunden ist. Für FHEM kommt dann die Abfrage quasi wieder von intern.

Zitat
und könnte man das nicht so regeln, dass die abfrage nur bei externen anfragen kommt?

Genau das ist Sinn und Zweck und Funktionsweise des neuen Features!

thx für die infos!

revers zeugs is für mich gestorben, vpn rennt schon - muß das nur mal testen, wenn ich wieder "extern" bin *g* ausser natürlich, jemand kennt ne möglichkeit das ding lokal zu testen - so, dass auch ich sicher bin, also dau-like.

pwd hat sich somit eh erübrigt. aber ich bin mittlerweile draufgekommen, dass damit basicauth gmeint is. und das würde auch funzen, so ichs wollte, nervt mich aber zu sehr, solangs auch lokal kommt.

die pwd-abfrage kommt aber auch lokal - habs ja eben probiert
basicauth ist mit dem base64-dingens belegt = user/pwd abfrage, sogar wenn ich bei dem neuen zeug .* als erlaubte ip hab.

aja - vpn
ist für mich auch nur bedingt möglich, weil meine handys z.b. eine "firewall" auf vpn-basis am laufen haben. das wird also auch noch lustig.

Zitatjemand kennt ne möglichkeit das ding lokal zu testen - so, dass auch ich sicher bin, also dau-like.

Mit Telefon, und ausgeschalteten WLAN.

Nochmal zum Mitschreiben: die Aenderung weist eine Verbindung ab, falls:
- die Gegenstelle aus dem "wilden" Internet kommt _UND_
- kein allowfrom definiert ist _UND_
- kein allowed Instanz fuer diesen Port definiert ist.

Ich bin der Ansicht, dass ein richtig konfiguriertes VPN ein Netz verwenden sollte, was in diesem Sinne nicht zum "wilden" Internet zaehlt.

ZitatMit Telefon, und ausgeschalteten WLAN.

auf die idee hätte sogar ich selber kommen können *g* danke

sag mal: nur so als denkanstoß für die dau-freundlichkeit ...
wäre bei allow nicht ein dropdown ne nette idee? z.b.:
1) nur intern zulassen
2) intern und extern <-- da könnte man dann ja noch extra ein daufreundliches popup mit nem übergroßen smilie-hundehaufen aufpoppen lassen und drunter was schreiben wie "ich weiß wo dein haus wohnt alddder!".
3) händische freigabe von ip's durch komma getrennt
4) was immer ein nerd braucht, um glücklich zu sein
weil ein .* kriegt man ja als dau noch hin, aber wenns mit solch kleinkram wie 192.168/16, 172.16/12, 10/8 los geht, wirds wieder ungemütlich in den dau-gehirnzellen.
weil eines garantiere ich dir: jeder dau wird .* reintippen, sobald ers wo gefunden hat im forum - sicher wird er sich nicht mit sachen wie 10/8 abgeben, ausser rechnerisch 1,25 ermitteltn. aber ein "nur intern" ist schnell angeklickt und ihr habt auch den faulsten hund somit auf dauer abgesichert.

Zitat von: the ratman am 04 Juni 2017, 13:12:52weil ein .* kriegt man ja als dau noch hin, aber wenns mit solch kleinkram wie 192.168/16, 172.16/12, 10/8 los geht, wirds wieder ungemütlich in den dau-gehirnzellen.
weil eines garantiere ich dir: jeder dau wird .* reintippen, sobald ers wo gefunden hat im forum - sicher wird er sich nicht mit sachen wie 10/8 abgeben, ausser rechnerisch 1,25 ermitteltn. aber ein "nur intern" ist schnell angeklickt und ihr habt auch den faulsten hund somit auf dauer abgesichert.

Nun, wenn man aus dem Internet erreichbar sein will hilft eigentlich auch nur .*, denn man weiß ja nie mit welcher IP man 'draußen' unterwegs ist. Das lässt sich über Geo-IP-Tabellen lösen, was aber sicher nicht des DAU's Job ist. Ergo ist .* mit aktiver Authenthifizierung völlig korrekt.
Die angegebenen Netze sind ja frei, weil es die privaten Netze sind, also gibt DAU sie auch nicht ein, nur SuperDAU.
Für das Subnetting gibt es zig Helferlein, wie z.B. http://www.calculator.net/ip-subnet-calculator.html
So findet man auch schnell die Grenzen von 172.16.0.0/12 (http://www.calculator.net/ip-subnet-calculator.html?cclass=any&csubnet=12&cip=172.16.0.0&ctype=ipv4&printit=0&x=69&y=10).

Es gibt übrigens noch weitere Netze, die man frei machen könnte, z.B. 192.168.0.0/24 und 192.0.2.0/24 sowie 198.51.100.0/24 und 203.0.113.0/24 die für Test- & Dokumentationszwecke reserviert sind. Ich habe die Netze aber in FHEM-Dokumentationen noch nicht gesehen, von daher ist die Verwendung wohl eher unwahrscheinlich.

ergänzende Grüße
Niels

Zitatsag mal: nur so als denkanstoß für die dau-freundlichkeit ...
wäre bei allow nicht ein dropdown ne nette idee? z.b.:

DAUs sollten nicht an allowfrom rumtuefteln, sondern ein Passwort setzen.

Und wenn man ein Allowed definiert, dann wird in der Detailansicht das Passwort setzen oder einzelnen WEB-Instanzen zuzuordnen bereits erleichtert. Ich suche nur nach einem Weg, ein allowed den Anfaengern so unterzujubeln, dass ich bei Experten (wie betateilchen) dabei nicht in Ungnade falle.

Zumindest vor einiger Zeit war es zB. beim Tor-Proxy so, dass eine Warnung beim jedem Start ins (sys)log geschrieben wurde, wenn eine öffentliche IP Adresse an das benutzte Interface gebunden war. Das könnte auch eine Möglichkeit sein, um Anwender auf eine "gefährliche" Konfiguration aufmerksam zu machen... Die Frag ist, ob ein Logeintrag nicht ausreichen würde?

ZitatDAUs sollten nicht an allowfrom rumtuefteln, sondern ein Passwort setzen.

nachdem ich selbst n dau bin, kann ich dir aus erster hand sagen, dass keiner n pwd anlegt, das mit irgendwelchen befehlen auf der console zu erstellen ist. ein .* ist da viel einfacher einzugeben.
da müsste man mind. das pwd per fhem erzeugen können - da kommt mir doch grad, dass ihr doch ne installation für fhem basteln wolltets ... da könnte man ja eine basicauth doch gleich mitgenerieren und auch abfragen, ob das pwd intern auch wirken soll - so in dem dreh könnts auch dau-freundlich werden.

und betateilchen und konsorten kannst dus sowieso nie recht machen. ich versteh sogar die eigentlich guten beweggründe dieser leute. nur verkrault solch kabbelei den dau eher, als dass er lesen will, was er warscheinlich eh ned versteht ... das problem is doch immer, dass daus kein interesse an sowas haben, solch zeug nur machen, weil sie müssen. das versteht der freak/pro halt ned wirklich. is halt wie hund und katz ... eigentlich mag man sich ja, aber keiner darf mit n schwanz wedeln *g*.
ich kann immer mich als bspl. bringen: mich interessiert fhem, weil das das einzig brauchbare stück saftware ist, die das kann was ich brauch (und noch viel, viel mehr). aber glaub mir eines - ich würd sofort was anderes nehmen, würds das selbe können und ich müsste mich dann nicht mit linux, konsolen, perl, regex, usw. rumärgern. das ganze zusätzliche zeug macht mir einfach keinen spaß, kostet mir immer nur zeit. das bitte ist aber nicht falsch zu versstehen! ich bin für fhem dankbar und für jeden, der schon mal seine zeit in mich investiert hat, um meine rostlaube zum laufen zu kriegen.

only my2cents

Zitatda müsste man mind. das pwd per fhem erzeugen können

Tipp mal in FHEMWEB "define allowed allowed" ein, ich glaube den Rest kriegst du auch selbst hin, mit etwas experimentieren.
Ist zwar noch nicht 100% DAU freundlich, aber ich arbeite dran.

da ich fortgeschrittener dau bin, hab ichs sogar per console geschafft *g* (ich weiß nämlich schon, dass ich nichts weiß)

aber siehste - sowas mein ich - mit ein bissi text dazu fast schon dau-freundlich.
jaja, es gibt nicht nur den WAF hier sondern auch den DAUAF.

stell dir mal z.b. ein modul vor, mit dem man devices erstellen kann - DAS würde ich schreiben, könnt ich perl.
ein paar sachen aus dropdowns zusammen klicken, und schon haste ein device mit den richtigen parametern. eventuell gleich mehrere auf einmal.
oder noch so n irrer dau-traum: ein tool mit dem man sich readingsgroups zusammenklicken und dann auch noch floorplan-like designen kann.
und das allergeilste wäre - keine ahnung ob das ginge - eine art regex-erstell-hilfe.
is nur spinnerei, aber da glüht halt dann die dau-seele *g* ...

Zitatstell dir mal z.b. ein modul vor, mit dem man devices erstellen kann - DAS würde ich schreiben, könnt ich perl.
...
und das allergeilste wäre - keine ahnung ob das ginge - eine art regex-erstell-hilfe

Das existiert teilweise ;)
https://wiki.fhem.de/wiki/Event_monitor#Ger.C3.A4te_anlegen.2F.C3.A4ndern

Zitat von: Benni am 02 Juni 2017, 17:33:40
Du hast aber schon gesehen, in welchen Kontext das gehört? Das hat weder was mit der geöffneten Haustür, noch mit IT zu tun!  ::)

Wenn du glaubst, dass es sich dabei nur um die Führung von Unternehmen (wg. Geschäftsführung) handelt ... glaubst du falsch. Hier mal ein Geschäftsführung ohne Auftrag (GoA), die du vielleicht nicht als solche eingeschätzt hättest: Der Retter mit dem Tesla (https://www.lawblog.de/index.php/archives/2017/02/14/der-retter-mit-dem-tesla/).

Zitat von: jeschkec am 10 Juni 2017, 00:22:10
Wenn du glaubst, dass es sich dabei nur um die Führung von Unternehmen (wg. Geschäftsführung) handelt ... glaubst du falsch. Hier mal ein Geschäftsführung ohne Auftrag (GoA), die du vielleicht nicht als solche eingeschätzt hättest: Der Retter mit dem Tesla (https://www.lawblog.de/index.php/archives/2017/02/14/der-retter-mit-dem-tesla/).

Alles recht (oder Recht?  ;) ) und gut, aber eben auch etwas "Glückssache" und das ist was ich meinte, als ich sagte, du kannst das von vornherein doch gar nicht richtig einschätzen ohne das Gesamtsystem zu kennen und eine Bewertung muss dann ggf. im Einzelfall im Nachgang durchgeführt werden. Nicht ohne Grund ist im von dir verlinkten Artikel folgender Passus enthalten:

Zitat von: law blog
Ganz kompliziert wäre es wenig überraschend geworden, hätte sich die Rettungsaktion als Fehleinschätzung herausgestellt. Oder als völlig überzogen. Oder letztlich sogar als kontraproduktiv, etwa wenn der zu Rettende stirbt, obwohl er ohne die Aktion überlebt hätte. Dem Hilfsbereiten nimmt das Gesetz das Risiko einer Falschbewertung nur sehr eingeschränkt ab.

Wie ich auch schon sagte: Man muss sich halt im klaren sein, dass man im Zweifels-, bzw. Schadensfall auch zur Rechenschaft gezogen werden kann.

Zitat von: Benni am 10 Juni 2017, 06:23:56
Alles recht (oder Recht?  ;) ) und gut, aber eben auch etwas "Glückssache" und das ist was ich meinte, als ich sagte, du kannst das von vornherein doch gar nicht richtig einschätzen ohne das Gesamtsystem zu kennen und eine Bewertung muss dann ggf. im Einzelfall im Nachgang durchgeführt werden.

Und genau diese Position vertrete ich seit Beginn des Threads und bin auch ein entschiedener Gegner davon, in irgendeine Weise über eine Benachrichtigung des Providers hinaus, in einer offenen FHEM-Installation tätig zu werden, die nicht meine ist oder mit deren Pflege ich beauftragt wurde.

Zitat von: Benni am 10 Juni 2017, 06:23:56
Alles recht (oder Recht?  ;) ) und gut, aber eben auch etwas "Glückssache" und das ist was ich meinte, als ich sagte, du kannst das von vornherein doch gar nicht richtig einschätzen ohne das Gesamtsystem zu kennen und eine Bewertung muss dann ggf. im Einzelfall im Nachgang durchgeführt werden. Nicht ohne Grund ist im von dir verlinkten Artikel folgender Passus enthalten:

Wie ich auch schon sagte: Man muss sich halt im klaren sein, dass man im Zweifels-, bzw. Schadensfall auch zur Rechenschaft gezogen werden kann.

Cool da liest noch einer den law Blog  :D