Autor Thema: Zugriff vernünftig absichern  (Gelesen 1916 mal)

ujaudio

  • Newbie
  • *
  • Beiträge: 8
  • Gerät: Samsung S3 mini
  • Version: 4.x
Zugriff vernünftig absichern
« am: 02.12.2014, 18:28:08 »
Weil ich irgendwas falsch verstanden habe, hatte ich im "betreten"-URL die Leerzeichen durch %20 ersetzt, damit kam in FHEM kein ordenungsgemäßer Befehl an. Bei der Diagnose habe ich dann festgestellt, dass alle möglichen FHEM-Anwender-Daten zwischen meinem FHEM und meinem Smartphone ausgetauscht werden. Der Testzugriff muss also durch einen besser geschützten Zugriff abgesichert werden. Dies als Empfehlung an alle, die sich mit dieser App beschäftigen.

Bevor ich jetzt alle Möglichkeiten durchspiele: welche Absicherungen sind besonders sinnvoll, welche eher weniger? Hat da jemand Erfahrung / Wissen?

Admin

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 762
    • EgiGeoZone
  • Gerät: Xiaomi Redmi Note 5, Samsung Galaxy Note 2, S4, S5, S2, S7
  • Version: MIUI 10.0 Global, Android 4.4, 5, 6, 7, 8, 8.1, 12, 13
Re: Zugriff vernünftig absichern
« Antwort #1 am: 02.12.2014, 18:43:02 »
Willkommen im Forum!

Hast du Android 4.4.4 auf deinem Gerät? Es wurde mir gemeldet, dass Android in früheren Version die Prozentkodierung angenommen hat und ab 4.4.4 nicht mehr.

Es ist so, dass wenn ein "fachlicher" Fehler beim Aufruf von Fhem passiert, Fhem mit einer Fehler-HTML-Seite antwortet. Da steht dann meistens unten: Unknown command set%20jar20km%201, try help
Was der Fhem-Server da an das Gerät als Antwort zurück schickt, hier im Fehlerfall "Unknown command..." ist von der App nicht beinflussbar. Vielleicht mal im Fhem-Forum nach einer Lösung dazu fragen. Am coolsten wäre, dass der Fhem-Server eine HTTP-Fehlermeldung (z.B. HTTP-Fehler 400 Bad Request) zurücksendet und keine HTML-Fehlerseite.
Oder man nutzt die Geofancy Schnittstelle (die erste URL in der App). Diese sendet keine Befehle an den Server sondern nur den Event und man reagiert darauf in Fhem.

Was hat das mit einer vernünftigen Absicherung des Zugriffes zu tun?

Die Absicherungen in der App sind:
- Benutzer und Passwort welche an Fhem weitergegeben werden.
- SSL Verschlüsselung
- Zusätzlich mit einem Clientzertifikat mit Passwort
.

Diese Sicherheitskriterien sind die höchsten die es überhaubt für eine HTTP-Kommunikation gibt. Es bleibt bei einem selbst, ob man diese nutzt oder nicht.

Und diese werden auch für die Tests herangezogen, wenn man seinen Server entsprechend konfiguriert.
« Letzte Änderung: 02.12.2014, 18:45:26 von Admin »
Schöne Grüße
Egmont

ujaudio

  • Newbie
  • *
  • Beiträge: 8
  • Gerät: Samsung S3 mini
  • Version: 4.x
Re: Zugriff vernünftig absichern
« Antwort #2 am: 02.12.2014, 18:50:19 »
Ich habe Android 4.1.2

Admin

  • Administrator
  • Hero Member
  • *****
  • Beiträge: 762
    • EgiGeoZone
  • Gerät: Xiaomi Redmi Note 5, Samsung Galaxy Note 2, S4, S5, S2, S7
  • Version: MIUI 10.0 Global, Android 4.4, 5, 6, 7, 8, 8.1, 12, 13
Re: Zugriff vernünftig absichern
« Antwort #3 am: 02.12.2014, 18:57:16 »
Hmmmm, dann war die Info wohl in den Beschreibungen falsch!
Habe ich gestern bereinigt. Falls es noch wo falsch ist, mir bitte melden.
Schöne Grüße
Egmont