EgiGeoZone Forum

EgiGeoZone => Probleme und Fehler => Thema gestartet von: ujaudio am 02.12.2014, 18:28:08

Titel: Zugriff vernünftig absichern
Beitrag von: ujaudio am 02.12.2014, 18:28:08

Weil ich irgendwas falsch verstanden habe, hatte ich im "betreten"-URL die Leerzeichen durch %20 ersetzt, damit kam in FHEM kein ordenungsgemäßer Befehl an. Bei der Diagnose habe ich dann festgestellt, dass alle möglichen FHEM-Anwender-Daten zwischen meinem FHEM und meinem Smartphone ausgetauscht werden. Der Testzugriff muss also durch einen besser geschützten Zugriff abgesichert werden. Dies als Empfehlung an alle, die sich mit dieser App beschäftigen.

Bevor ich jetzt alle Möglichkeiten durchspiele: welche Absicherungen sind besonders sinnvoll, welche eher weniger? Hat da jemand Erfahrung / Wissen?

Titel: Re: Zugriff vernünftig absichern
Beitrag von: Admin am 02.12.2014, 18:43:02

Willkommen im Forum!

Hast du Android 4.4.4 auf deinem Gerät? Es wurde mir gemeldet, dass Android in früheren Version die Prozentkodierung angenommen hat und ab 4.4.4 nicht mehr.

Es ist so, dass wenn ein "fachlicher" Fehler beim Aufruf von Fhem passiert, Fhem mit einer Fehler-HTML-Seite antwortet. Da steht dann meistens unten: Unknown command set%20jar20km%201, try help. 
Was der Fhem-Server da an das Gerät als Antwort zurück schickt, hier im Fehlerfall "Unknown command..." ist von der App nicht beinflussbar. Vielleicht mal im Fhem-Forum nach einer Lösung dazu fragen. Am coolsten wäre, dass der Fhem-Server eine HTTP-Fehlermeldung (z.B. HTTP-Fehler 400 Bad Request) zurücksendet und keine HTML-Fehlerseite.
Oder man nutzt die Geofancy Schnittstelle (die erste URL in der App). Diese sendet keine Befehle an den Server sondern nur den Event und man reagiert darauf in Fhem.

Was hat das mit einer vernünftigen Absicherung des Zugriffes zu tun?

Die Absicherungen in der App sind:
- Benutzer und Passwort welche an Fhem weitergegeben werden.
- SSL Verschlüsselung
- Zusätzlich mit einem Clientzertifikat mit Passwort.

Diese Sicherheitskriterien sind die höchsten die es überhaubt für eine HTTP-Kommunikation gibt. Es bleibt bei einem selbst, ob man diese nutzt oder nicht.

Und diese werden auch für die Tests herangezogen, wenn man seinen Server entsprechend konfiguriert.

Titel: Re: Zugriff vernünftig absichern
Beitrag von: ujaudio am 02.12.2014, 18:50:19

Ich habe Android 4.1.2

Titel: Re: Zugriff vernünftig absichern
Beitrag von: Admin am 02.12.2014, 18:57:16

Hmmmm, dann war die Info wohl in den Beschreibungen falsch!
Habe ich gestern bereinigt. Falls es noch wo falsch ist, mir bitte melden.