[gelöst]Https passwort speichern

Begonnen von neyzen, 25 Oktober 2020, 11:57:22

Vorheriges Thema - Nächstes Thema

neyzen

Hallo,

entschuldigt die vielleicht Frage.
Ich habe Fhem jetzt über allowed mit passwort abgesichert. Hab aber kein https eingerichtet. Das würde ich aber noch hinzufügen aber würde ungern jedes mal im Tablet fully ein passwort eingeben. Bei fully kann ich meine anmeldedaten speichern,das funktioniert auch aktuell mit http. Würde das auch bei https funktionieren,oder macht es aus sicherheitsgründen eigentlich gar keinen sinn die anmelde daten zu speichern. Alternativ gebe es ja noch die basicauthexpiry. Würde das auch bei https greifen? Oder reicht es aktuell mit http?

MadMax-FHEM

Die Anmeldedaten speichert (wenn dann) der jewilige Browser...

Warum soll der das nur für http können/machen?

http vs. https ist ja "nur" das "Übertragungsprotokoll", also ob verschlüsselt (https) oder nicht (http)...

Allerdings wird der Browser mit einem selbst-signierten Zertifikat wohl "mosern"...
Aber auch dafür gibt es versch. Möglichkeiten...

Auf jeden Fall halte ich Passwortabsicherung ohne https für naja "Quatsch"...
Weil wenn schon mit Passwort absichern, warum dann als "plain Text" übertragen...

Und wenn Zugang "von außen", dann auf jeden Fall https!
(oder gleich vpn oder ganz lassen, wenn nicht wirklich unbedingt nötig)

Und wenn "nur" Zugang "innerhalb" und keine Nutzer mit versch. Berechtigungen: warum überhaupt ;)

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

neyzen

Ich wollt jetzt mein Nuki noch mit Fhem verbinden. Und da das schon Sicherheitsrelevant ist,will ich auch Fhem mit passwort sichern. Aber möchte ungern jedes mal mein fully Ftui neu anmelden. D.h. meine anmelde daten die ich jetzt im fully ja speichern kann und mit http nicht immer eingeben brauche würde auch mit https funktionieren. Ich dachte am anfang,wenn ich im allowed den WebTablet  nicht hinzufüge,dass dann keine passwortabfrage im ftui kommt.

MadMax-FHEM

Das allowed-Device gilt immer für das Fhem-Web was eben bei allowed eingetragen ist...

Aber jede nicht abgesicherte Fhem-Web ist halt ein Zugang ohne Absicherung...

Verstehe zwar nicht warum der Zugang vom Nuki sicherheitsrelevant sein soll...
...aber es ist ja dein Design...

War da jetzt noch eine Frage enthalten?

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

neyzen

Nein ich denke das ist soweit ok.
Warum sollte ein Nuki,bei der ich meine Haustür aufschließen lassen kann nicht Sicherheitsrelevant sein?

MadMax-FHEM

#5
Naja weil es drauf ankommt wie du das machst...

Also in Summe...

Wenn du per Nuki (wie macht der die Tür auf) nur innerhalb deines Netzes auf fhem zugreift (und das macht die Tür auf?), dann ist die zusätzliche Absicherung nicht wirklich relevant, denn wenn "derjenige" schon im Netz ist, kann er sicher ganz andere Dinge tun...

Und wenn "von außen", dann würde ich eher da investieren, als weitere Absicherungen "innerhalb"... ;)

Und wenn fhem von außen und ohne https, dann ist die Absicherung mit Passwort auch "nutzlos"... ;)

Und wie geschrieben würde ich da vpn nehmen (mache ich auch)...

Aber ich kenne ja die "Architektur" nicht usw.

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

neyzen

Ja da hast du natürlich Recht.
Was wenn ich das ganze passwort wieder lösche und auch kein https mache,aber dafür nur ein bestimmtes Gerät mit IP zulasse. Damit bin ich ja wieder mit meinem Tablet frei bezüglich von passwort eingabe,aber könnte nur mit einem bestimmten Gerät auf FHEM zugreifen und sachen ändern. Fernzugriff hab ich zurzeit nicht.

MadMax-FHEM

Genau so.

Du kannst auch nur bestimmte Geräte zulassen und wenn kein User/PW, dann darf nur das (die) Gerät (Geräte).

Aber wie geschrieben ohne zu wissen was wo wie warum mit was verbunden ist, ist es schwer was zu raten...

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

neyzen

Ja das stmmt.
Ok, wie kann ich bei allowedfrom zwei ip adressen vorgeben,wie trenne ich das?
Mit IP1 | IP2 hab ich mich gerade selbst zerschossen :o

MadMax-FHEM

#9
Zitat von: commandref FHEMWEB bzw. verlinkt zu Telnet
allowfrom
Regexp der erlaubten IP-Adressen oder Hostnamen. Wenn dieses Attribut gesetzt wurde, werden ausschließlich Verbindungen von diesen Adressen akzeptiert.
Achtung: falls allowfrom nicht gesetzt ist, und keine gütige allowed Instanz definiert ist, und die Gegenstelle eine nicht lokale Adresse hat, dann wird die Verbindung abgewiesen. Folgende Adressen werden als local betrachtet:

    IPV4: 127/8, 10/8, 192.168/16, 172.16/10, 169.254/16
    IPV6: ::1, fe80/10

allowfrom ist aber bei FHEMWEB nicht bei allowed...

Und wenn dann aber schon IP1|IP2 OHNE Leerzeichen?

Ansonsten weiß ich auch nicht genau wie DA die Formulierung sein muss...

Evtl. einen neuen Thread oder mal im Forum suchen...

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

neyzen

Ach das Leerzeichen wars.
Also ohne Leerzeichen kann ich jetzt das ganze auf zwei Geräten begrenzen. Ein drittes mit unbekanter ip kann auf fhemweb nicht zugreifen. Danke Joachim. Somit brauch ich kein PW.
Ich sehe schon.Das Sicherheits Thema wird mich noch ne weile beschäftigen.
Wäre es möglich das jemand von auserhalb auf das Tablet zugreift,was ja jetzt allowfrom bekommen hat, und dadurch wieder ins FhemWeb kommt? Dazu müsste er ja erst einmal ins interne Netz kommen,aber eine zweite Tür wäre nicht schlecht. Oder denke ich da falsch?

MadMax-FHEM

Naja, wenn jemand dein Tablet "kapert", dann kommt er (je nachdem WAS bzw. WIE er "gekapert" hat) "überall" hin (und fhem ist verm. das kleinste "Problem")...

Aber unterscheiden zwischen: du gehst nach außen mit Requests, z.B. http(s) /mqtt Abfragen. Dabei halt wichtig (wie generell) wo du "hingreifst" (und dass/ob dein Tablet eben aktuell ist bzgl. OS/Security-Updates)...

Oder: ob du einen Port öffnest und Zugriff von außen zulässt. Da gilt halt entsprechend absichern! (oder besser: nicht machen!)

Und egal über welchen Weg jemand IN dein Netzwerk kommt, kann er ziemlich viel Schaden anrichten...

Aber um ins LAN zu kommen, muss er schon an eine "Dose" dran.
Und bei WLAN halt entsprechend sichern...

Solange du im eigenen Netz bleibst und keine "LAN-Außen-Dose" hast und auch keine "ESPs o.ä." im Außenbereich hängen hast (der evtl. mal "entwendet" werden kann) und dein WLAN entsprechend absicherst sollte zumindest fhem etc. "sicher" sein.

ESPs/Sonoffs/Tuyas/... speichern halt die WLAN-Zugangsdaten lokal und das kann (rel. einfach) ausgelesen werden.
Daher ist auch das kritisch, wenn die entweder nicht resetted "weggeworfen" werden (gut, müssen entsorgt werden und da muss schon jemand wissen, dass die Dinger von dir sind ;) )...
...oder eben außen (gut) zugänglich hängen...

Und bei einer elektronischen Tür halt wichtig, dass nicht außen ein Eingabe-Pad oder BT-/RFID-Leser, Fingerabdruckscanner, ... dran ist, der außen entscheidet und dann das "Schaltsignal" weiter nach innen zur Tür gibt...
Weil dann ist es einfacher dort anzusetzen, also sich ins Netz zu hacken...

Und Sicherheit ist ein langes Thema ;)

Und: ich würde Zugang von außen so lange als möglich lassen. Und wenn dann doch unbedingt nötig eine Variante nehmen, die man versteht! Und somit (hoffentlich) auch korrekt einrichten kann.
Weil was bringt eine (deutlich) bessere Variante, wenn man sie nicht versteht, sie also (potentiell) falsch einrichtet im Gegensatz zu einer evtl. minimal schlechteren Variante, die aber korrekt eingerichtet wurde und zumindest sicher ist...

Weil immer zu nginx etc. "geraten" wird. Ich finde (immer noch) eine Einrichtung eines vpn z.B. mittels piVPN (deutlich) einfacher und mindestens ebenso sicher (bzw. sogar sicherer, weil eben einfacher einzurichten: Install-Script dauert 5 min. plus [aber das bleibt ja eh] dynDNS o.ä.)...

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

neyzen

Ja Fhem nach ausen öffnen,hab ich mich noch nicht getraut,da mir eben wie du sagst noch einiges an Wissen fehlt. Aber gut schon mal eine Richtung zu haben mit VPN.
Ein Zugangsgerät via fingersensor oder Zahlenpad kommt zurzeit eh nicht in Frage.
Ich denke das ich jetzt mal mit meiner Lösung zufrieden bin und da weiter machen kann.
Ich danke dir wieder einmal für deine Hilfe Joachim,

schönen abend  :)

MadMax-FHEM

Gerne.

Dann viel Spaß weiterhin!

Und dann kannst du ja ein [gelöst] oder [erledigt] "vorne dran pappen", danke.

Gruß, Joachim
FHEM PI3B+ Bullseye: HM-CFG-USB, 40x HM, ZWave-USB, 13x ZWave, EnOcean-PI, 15x EnOcean, HUE/deCONZ, CO2, ESP-Multisensor, Shelly, alexa-fhem, ...
FHEM PI2 Buster: HM-CFG-USB, 25x HM, ZWave-USB, 4x ZWave, EnOcean-PI, 3x EnOcean, Shelly, ha-bridge, ...
FHEM PI3 Buster (Test)

neyzen

Jetzt habe ich aber ein Problem.
Wenn ich allowfrom entsprechende IP definieren für mein WEB,WEBTablet und WEBPhone reagiert mein alexa connector nicht mehr :(
Wenn ich die allowfrom lösche geht es.