csrfToken Prüfung deaktivieren

CoolTux · 21 Februar 2017, 20:31:50

Zitat von: Sascha_F am 21 Februar 2017, 19:36:17
Hallo zusammen,

ich hoffe, ich habe es nicht überlesen: Ich verwende für meine Downlights im Wohnzimmer mehrere HM-LC-Sw1PBU-FM. Diese sind als "normaly on" angeschlossen, sodass sie bei Spannungswiederkehr immer einschalten - wenn der Lichtschalter eingeschaltet wird (falls vorher aus). Damit kann sofort immer Licht geschaltet werden - ohne FHEM oder Alexa. Da dieses die alternative Anschlussvariante ist, muss ich in FHEM ummappen on:off off:on. Bekomme ich es irgendwie hin, dass ich jetzt nicht immer im SmartHomeSkill "Ausschalten" zum Einschalten (und umgekehrt) verwenden muss?

Danke und viele Grüße
Sascha

Bitte wenden. Sie sind 2000km in die falsche Richtung gefahren

Sascha_F · 21 Februar 2017, 21:06:54

Oh sorry! Zu viele Tabs im Handy aufgehabt

Streicht das - ich versuche es noch mal im richtigen Thread

Beste Grüße
Sascha

Esteban · 21 Februar 2017, 23:13:03

Zitat von: betateilchen am 20 Februar 2017, 11:42:23
Das Token zu deaktivieren ist aber keine wirkliche Lösung, auch wenn es kurzfristig hilft.

ich hab ein Update gemacht (automatisch) und das gar nicht mitbekommen, dass jetzt auf 5.8 aktualisiert wurde. Nur mein andFHEM ging nicht mehr und da hab ich mal ins Logfile geschaut und nach dem Fehler gegoogelt und schließlich bei der Update v5.8 Meldung gelandet und hab das Token deaktiviert und schau jetzt mal ins Changelog von andFHEM sobald es mal wieder geupdated wurde.

Da ich mein FHEM eh nur im eigenen Netz benutzen kann und ansonsten per VPN auf meine Kisten gehe kann ich das wohl verkraften...

CoolTux · 22 Februar 2017, 06:20:20

Zitat von: Esteban am 21 Februar 2017, 23:13:03

Da ich mein FHEM eh nur im eigenen Netz benutzen kann und ansonsten per VPN auf meine Kisten gehe kann ich das wohl verkraften...

Nein kannst Du nicht. Zu mindest nicht mit dieser Begründung. Im Grunde geht es darum das die Technik des Angriffs es ermöglicht über geöffnete Browsertabs hinaus Schaden an zu richten.
Deine korrekte Begründung hieße also, dadurch das andFHEM keine weitere Tabverbindungen auf macht, ist andFHEM nicht von so einem Angriffszenario betroffen.

Die Erklärung was CSRF ist habe ich extra einfach gehalten. Genaueres findet man im Internet.

Alcamar · 23 Februar 2017, 10:36:54

ich habe wie Änderungen wie von Det20 geschrieben vorgenommen und kann mich mit der App (FHEM App) auf dem Smartphone wieder anmelden. Auch die Einträge im Log sind weg. Ob nur die Symptome damit bekämpft sind, kann ich nicht beurteilen. Eine andere Alternative habe ich aber nicht gefunden.

hosimpson · 26 Februar 2017, 11:32:47

Für die Nutzung des Alarmservers der INSTAR Kameras ist das Deaktivieren, wie von Det20 beschrieben auch erforderlich.
Hat jemand eine Idee, wie der Parameter im Alarmserver (oder allgemein beim URL-Aufruf) aussehen muss, um den csrfToken korrekt zu verwenden?

Esteban · 26 Februar 2017, 12:55:36

Zitat von: CoolTux am 22 Februar 2017, 06:20:20
Nein kannst Du nicht. Zu mindest nicht mit dieser Begründung. Im Grunde geht es darum das die Technik des Angriffs es ermöglicht über geöffnete Browsertabs hinaus Schaden an zu richten.
Deine korrekte Begründung hieße also, dadurch das andFHEM keine weitere Tabverbindungen auf macht, ist andFHEM nicht von so einem Angriffszenario betroffen.

Okay, ich habe es zu sehr verallgemeinert, sorry. Letztendlich ist mir das auch lieber, wenn kein CrossSite RF möglich ist obwohl ich wie gesagt das Einsatzgebiet meines Servers relativ gut abgesichert habe.

Da andFHEM gestern Abend ein Update erhielt

http://andfhem.klass.li/changelog/

Zitat4.4.3 (25.02.2017)

Support FHEM csrf token.

...habe ich die fhem.cfg wieder angepasst und den Server neu gestartet.

nicor2k · 07 September 2017, 11:03:54

Hallo!

Ich habe gestern ein Update gemacht, seitdem gehen die externen Links (bei mir auch im Floorplan) nicht mehr. Ich habe aber in der Config für die TabletUI das csrfToken deaktiviert:

define WEBtablet FHEMWEB 8085 global
attr WEBtablet csrfToken none

Bis gestern lief das auch

CoolTux · 07 September 2017, 11:13:07

Ich glaube ja das Du mit Deinem Fehlerbild hier falsch bist, aber schauen wir mal.
Bitte einmal ins Log schauen was da drin steht.

nicor2k · 10 September 2017, 20:55:49

Hab ich gerade gemacht (nachdem ich per Floorplan einen Link auf FHEM "von außen" aufgerufen hatte) - das stand im Log:

Code Auswählen


2017.09.10 20:49:55 3: FHEMWEB WEB CSRF error:  ne csrf_550489706154124 for client WEB_192.168.0.187_60504. For details see the csrfToken FHEMWEB attribute.

Ich habe zum Testen mal WEB, WEBPHONE und WEBTABLET das Token auf none gesetzt:

attr WEBtablet csrfToken none

Half aber nicht, siehe Log oben

CoolTux · 10 September 2017, 21:25:05

Weiß jetzt nicht ganz genau aber hast wenigstens FHEM mal neu gestartet?
Natürlich abspeichern vorher nicht vergessen.

nicor2k · 10 September 2017, 22:14:55

Nach dem Update? Ich denke schon, auf jeden Fall habe ich den Rechner mehrfach neugestartet. Jetzt plötzlich lief alles nach einem "shutdown restart"...
Dann fasse ich erstmal besser nichts mehr an und freue mich, dass es geht. Warum würde mich aber schon noch interessieren?

Vielen Dank aber erst mal!

CoolTux · 10 September 2017, 22:24:42

Nicht nach dem Update sondern nach dem setzen von crfs Token none

Grinsekatze · 11 September 2017, 09:31:47

Bevor hier jetzt jeder den Token für alle Web-Instanzen deaktiviert, rate ich einmal ins Wiki zu gucken: https://wiki.fhem.de/wiki/CsrfToken-HowTo

Geht es nicht anders, dann sollte eine neue Web-Instanz definiert werden und (nur) dort der Token deaktiviert werden. Im Idealfall wird diese Instanz auch soweit beschränkt, dass dort nur das notwendige möglich ist, aber nicht per se alles.

P.A.Trick · 09 August 2018, 17:50:31

Ich hole den Thread mal hoch - leider ist die App aus dem Appstore verschwunden :-/ Geht es hier noch weiter?

csrfToken Prüfung deaktivieren

hosimpson