Sehr provokant gefragt: Welche Sicherheitslücken?
Was kann der Hersteller eines Produktes mit einem Webserver dafür, wenn ein Kunde durch Portforwarding den Webserver im Internet veröffentlicht?
Meiner Meinung nach scheint das aber nicht das primäre Angriffsziel zu sein.Ein Einfallstor scheint ja zu sein, daß man neue User anlegen kann ohne als Admin angemeldet zu sein.
Ich will es nicht gänzlich ausschließen, aber der Port 8181 (http://<IP_der_CUU>:8181/Gott.exe=sprach="...") wird kaum freigegeben. Der Webserver mit Port 80 scheint mir in Kombination mit dem "Automatischen Anmelden", auch als Admin, das Problem zu sein.
Egal, ob RM oder Original-CCU: solche Änderungen gehen nur in neuen FW-Revisionen ein. Wie bringt man Benutzer alter Versionen dazu, ein Update zu machen - wenn vielleicht sogar diese Änderung schon im Voraus bekannt und als unbequem abgestempelt wird? Oder gar für Benutzer, die z.B. vom Elektriker/Bauherren eine CCU hingestellt bekommen haben und es funktioniert mit FW-Stand Hausbau ja ohnehin alles?Könnte man da nicht (zumindest in der RaspberryMatic) ansetzen?
Aber dennoch, mein Vorschlag dafür wäre:
- Automatisches Anmelden nicht als Admin möglich
- Automatisches Anmelden nur innerhalb des eigenen Netzes (oder als Komfortfunktion innerhalb definierbarer Netze, z.B. VPN)
Was uns aber auch gleich zur Überarbeitung der Benutzerstufen (Gast / Benutzer / Admin) führt, wieder ein Fass ohne Boden...
Roland