Google Webcrawler schlägt zu - HILFE -

harway2007 · 09 Mai 2015, 18:22:33

$:-\$
seit ich die Fhem Instanz über den Router im Internet aufrufen kann
(feste IP) steuert Google durch die Webcrawler alle meine Module an !!!!
Logfile Auszug mit Level 5
2015.05.08 14:31:13 4: Connection accepted from FHEMWEB:66.249.64.215:41699
2015.05.08 14:31:13 4: HTTP FHEMWEB:66.249.64.215:41699 GET /fhem?room=Tuerschloss1&pos=zoom=week;off=0
2015.05.08 14:31:13 4: 9397:FHEMWEB:66.249.64.215:41699: /fhem?room=Tuerschloss1&pos=zoom=week;off=0 / RL:7801

meine Rolladen fahren hoch und runter - Lichter gehen an und aus

Als Port habe ich auf dem Router nur die 8083-8087 freigegeben.
Es kommen immer ander Ports durch ...

Connection accepted from FHEMWEB:66.249.64.215:59843
2015.05.08 14:29:32 4: HTTP FHEMWEB:66.249.64.215:59843 GET ....

mit dem Teil hinter dem GET - steuert er meine Module komplett

Hab schon div. versucht - ohne Erfolg !

MFG Harway

marvin78 · 09 Mai 2015, 19:02:14

Portfreigabe wird hier natürlich auch ganz sicher nicht empfohlen. Empfohlene Vorgehensweise ist sicher nur ein VPN zu verwenden. Portfreigabe ist extrem unsicher und kann eben auch solche Ergebnisse liefern.

Ein basicAuth sollte das aber trotzdem verhindern.

Bapt. Reverend Magersuppe · 09 Mai 2015, 19:08:26

Oh Sportsfreund!
Sei froh das im Moment nur Google Deine Lichter schaltet. Das ist ja grob fahrlässig was Du da treibst.
Mindestens eine Passwortabfrage solltest Du einschalten wenn die Verbindung nicht aus dem lokalen LAN kommt.
Besser ist natürlich ein VPN nach Hause wie Dr. Marvin schrieb, mit kommendem IPv6 ist das sowieso sinnvoll.

rudolfkoenig · 09 Mai 2015, 19:14:25

Ich gehe davon aus, dass harway2007 (aka Sportsfreund) Portsfreigabe nur mit Passwort betreibt, und sein Chrome/Android so konfiguriert ist, dass die "wahrscheinlichsten" Webseiten im voraus runtergeladen werden, um das Benutzererlebnis zu steigern.
Das waere ja wohl auch gelungen.

Sowas kann man im Browser ausschalten. Wenn dafuer irgendwelche HTML Anweisungen gibt (<meta> tags, usw), dann bitte berichten, ich bau diese in FHEMWEB ein.

peterchen89 · 09 Mai 2015, 19:21:22

@rudolfkoenig Hier ein bisschen OT aber vielleicht könnte man auch eine robots.txt mit ausliefern, sodass offene FHEM Instanzen zumindest nicht direkt bei google auftauchen wenn Konfigurationsfehler vorliegen.

marvin78 · 09 Mai 2015, 19:24:46

@peterchen89: Das kann doch nicht dein ernst sein!? Für sowas sollte man selbst sorgen. Und über Sicherheit sollte man sich IMMER Gedanken macht. Wenn man daran scheitert, dann ist das Ergebnis vermutlich die richtige Lektion. Man kann und sollte nicht alles regulieren.

@rudoldkoenig: er schreibt von einem Webcrawler und ich gehe erstmal davon aus, dass er diesen auch meint.

harway2007 · 09 Mai 2015, 20:31:21

Ja - ich meinte den Webcrawler ..
und Nein - nicht jeder muss für Sicherheit selbst sorgen !!
Das jetzt hier zu diskutieren wäre nicht sinnig - oder möchtet ihr demnächst
Virenschutzprogramme selber schreiben..

ich wollte BITTE Hilfestellung da ich mit Ports arbeite und der Crawler durchkommt ...

reicht die basicAuth user passwort Angabe um zu verhindern das Crawler durchkommen?

MFG Harway

marvin78 · 09 Mai 2015, 20:39:14

Sorry, aber wenn du selbst Ports öffnest und das dahinterliegende System nicht absicherst, dann kann FHEM nichts dafür und für die Art Sicherheit bist du tatsächlich selbst verantwortlich. Der Vergleich mit dem Virenscanner passt nur insofern, als dass du ihn dann einfach nicht installiert hast und auch noch bescheid sagst, wo die Viren abgelegt werden sollen. Wenn man etwas macht (Portfreigabe), was ausdrücklich nicht empfohlen ist, dann sichtet man vorher die Dokumentation nach Möglichkeiten, das System trotzdem so sicher wie möglich zu machen. Hättest du das getan, hättest du basicAuth gefunden.

Aber ja, wie ich oben schon schrieb, hilft basicAuth bei diesem Problem. Trotzdem bleibt deine Variante unsicher und ich sage es nochmal: du hast dieses Sicherheitsloch geschaffen. FHEM kann nichts dafür. Hilfestellung habe ich dir gegeben. Ich habe gesagt, dass das was du tust, nicht empfohlen ist (was dir in Kombination mit meiner Empfehlung VPN sehr helfen sollte) und ich habe dir auch die Lösung geboten (basicAuth). Dein Ausbruch ist also völlig unangebracht.

Bapt. Reverend Magersuppe · 09 Mai 2015, 21:49:44

Zitat von: harway2007 am 09 Mai 2015, 20:31:21
und Nein - nicht jeder muss für Sicherheit selbst sorgen !!
Das jetzt hier zu diskutieren wäre nicht sinnig - oder möchtet ihr demnächst
Virenschutzprogramme selber schreiben..

Doch.
Man muss es nicht selber programmieren aber selber installieren und dann benutzen!
Benutzer/Passwort reicht schon für den Crawler wie gesagt. Da wird vermutlich auch lange keiner rumprobieren ob er bei Dir reinkommt, aber sowas kommt ja irgendwann dann zu unpassenden Zeiten.

Viele Router (Fritzbox) bieten doch schon VPN an, vielleicht kann Deiner das auch. Das wäre doch sicherer.

harway2007 · 09 Mai 2015, 22:44:14

natürlich habe ich deinen Rat befolgt und beides gemacht ..
basicAuth und per VPN auf der Fritz Box..
.. jetzt warte ich mal ab und schau mal was LogLevel 5 noch so empfängt ..
vielleicht habe ich mich auch etwas ungeschickt bei der Frage angestellt,
mir war es nicht erklärlich warum ein Crawler die get Befehle ausführen kann,
und dies mit Ports die ich nicht freigegeben habe ...

MFG an alle Harway