RFC: Kommende XML-API CCU Addon 2.0 Version

[jmaus]

Interessant. Könnte vmtl an der älteren tcl Version in der CCU Firmwarw liegen die ggf. noch nicht von dem
"dict" Datentyp weis den ich für die Verwaltung der Tokens nutze wie z.b. hier:

https://github.com/homematic-community/ ... st.cgi#L19

[jmaus]

Ich habe die XML API 2.0 beta 3 soeben ausprobieren wollen, bekomme aber einen XML-Fehler, sobald ich eine der neuen token...cgi-Seiten aufrufe.
Es kommt bei allen dreien der Fehler "XML Error: Extra content at the end of the document" und es wird nur die erste "hardcodierte" XML Zeile ausgegeben. Alles was dynamisch erzeugt wird, wird anscheinend nicht mehr abgearbeitet.

Hab soeben die 2.0b4 der neuen XML-API mal auf GitHub als pre-release freigegeben und dort habe ich die vermeintliche Inkompatibilität zu älteren TCL versionen, die z.B. in der offiziellen CCU3 Firmware immer noch zum einsatz kommt, beseitigt. Siehe hier:

https://github.com/homematic-community/ ... /tag/2.0b4

Bitte damit noch einmal probieren ob diese Version nun auf einer CCU3 mit aktueller Firmware entsprechend wieder funktioniert und die neuen token Funktionen entsprechend dort nun auch funktionieren.

[jmaus]

Nachdem hier zur aktuellste 2.0b4 Version der XML-API (noch) kein weiterer Wiederspruch oder negativer Hinweis kam werde ich vermutlich am kommenden Wochenende die XML-API v2 Version dann wohl offiziell als die aktuelle/neue stable Version herausbringen.

Wer aber noch Hinweise/Anmerkungen, etc. hat gerne her damit damit ich vor dem v2 Release dann hier noch ggf. darauf eingehen kann.

[Gerti]

Hi,

ich werde erst morgen dazu kommen, die neue Version mit der CCU3 zu testen. Dann gebe ich Bescheid.

Gruß
Gerti

[Gerti]

Hi!

Die neue Version funktioniert mit der CCU3
Habe die notwendigen Änderungen bereits in HomeHub eingebaut und hier wird es wohl dann zeitnah ein entsprechendes Release geben.

Auch hier gab es, wie damals beim ersten Versuch einer Version 2.0 natürlich wieder das Problem mit access-control-allow-origin, wenn man die XML-API über ein Javascript einer Webseite auslesen möchte. Das lies sich aber wieder einfach lösen, indem das Javascript eine lokale PHP-Datei aufruft, die dann den Zugriff auf die XML-API durchführt.

Gruß,
Gerti

[jmaus]

Die neue Version funktioniert mit der CCU3
Habe die notwendigen Änderungen bereits in HomeHub eingebaut und hier wird es wohl dann zeitnah ein entsprechendes Release geben.

Danke fürs testen. Dann gibt mir das zusätzliche Sicherheit das einem XML-API v2 release im Grunde nichts mehr im Wege steht. Danke nochmal an dich und an die anderen fleissigen Tester und Hinweisgeber. Ich denke mit dem neuen Token-basierten Ansatz haben wir nun einen guten Kompromiss gefunden zwischen mehr Sicherheit und genug Flexibilität.

Auch hier gab es, wie damals beim ersten Versuch einer Version 2.0 natürlich wieder das Problem mit access-control-allow-origin, wenn man die XML-API über ein Javascript einer Webseite auslesen möchte. Das lies sich aber wieder einfach lösen, indem das Javascript eine lokale PHP-Datei aufruft, die dann den Zugriff auf die XML-API durchführt.

Das hatte ich in dem entsprechenden Ticket dazu (siehe https://github.com/homematic-community/ ... /issues/72) ja bereits thematisiert. Ich denke aber weiterhin, das es keine gute Idee ist die CORS policy gänzlich via "Access-Control-Allow-Origin: *" ausser Kraft zu setzen, da dies nur wieder eine unnötige Sicherheitslücke auftut, genau das was ja die XML-API v2 versucht zu unterbinden. Statt direkte XML-API Abfragen jetzt in einfach javascript XMLHTTPRequest abfragen zu verpacken sollten die Entwickler besser (wie du das jetzt gemacht hast) auf andere Methoden ausweichen um diese Abfragen eben nicht mehr direkt im Webbrowser stattfinden zu lassen, denn das diese CORS Policies existieren hat ja einen guten Grund, nämlich genau das nicht hinter dem Rücken des Webbrowser-Nutzers irgendwelche Dinge geschehen die so nicht gewollt sind.

Auch müsste man im dem Zuge ehrlich gesagt auch mal überlegen XML-API Abfragen vielleicht in Zukunft nur via https zuzulassen damit auch die tokens nicht verbatim so unverschlüsselt übermittelt werden und damit recht leicht abgreifbar sind. Aber das ist eine andere/spätere Geschichte. Das jetzt eine zwingende Authentifizierung notwendig ist, ist schon IMHO ein recht großer Sicherheitsgewinn, denn ich denke weiterhin das vor allem die unachtsame Nutzung dieses Addons zusammen mit der unachtsamen Freischaltung einer Port-Weiterleitung in der Vergangenheit eins der Hauptgründe für gehackte CCUs gewesen ist. Und wenn jetzt früher oder später die XML-API v2 sich durchsetzt sollte zumindest diese Sicherheitslücke für etwaige Angriffe nicht mehr zur Verfügung stehen...

[steingarten]

Auch hier keine Probleme mit dem neuen XML-Api CCU3 Addon.

Zusatzsoftware Homehub/Shomy. Problemlose Einbindung mit Gertis Vorlage. *thumbs up*

[etofi]

Nachdem die Version 2.0 ja nun als Stable Release zur Verfügung steht muss ich das Thema TinyMatic nochmal vorholen.
Gibt es da eine sinnvole Alternative für Android? Weil mit der neuen Version funktioniert TinyMatic ja nicht mehr.
Oder ist abzusehen wann das wieder funktioniert? Dann warte ich mit der Installation.

[Tagfahrlicht]

Hallo,da meine CCU3 (Raspberymatic) gerade anzeigte das ein Update für die API-XML ansteht hab ich dazu ein wenig gelesen bin aber jetzt nicht sicher kann ich das über die alte API_XML 1.22 drüber installieren oder muss ich im Vorfeld die alte Version deinstallieren...?
Gruß

[AndiN]

Hallo,

nur für mich zum Verständnis. Ich habe mir in der XML 2.0 einen Token angelegt und kann mir die Liste auswerten.

http://192.168.XXX.XXX/addons/xmlapi/de ... d=XXXXXXXX

Allerdings beim Versuch eine Systemvariable oder ein Gerät über die URL "

https://192.168.XXX.XXX/addons/xmlapi/s ... id=XXXXXXX

" zu schreiben kommt:

<result>
<not_authenticated/>
</result>

Die URL (ohne den Zusatz ?id=xxxxx) hatte ich bis dato auf meinen Android Geräten (Sprachansagen) mit Tasker genutzt um den Ladezustand der Android Geräte in Systemvariablen der CCU schreiben. Oder auch um Schaltaktoren für die Ladung der Geräte zu schalten.

Daher frage ich lieber: Geht nicht mehr und hat wer eine Idee für eine andere Lösung?

Andi