Warum nutzt du dafür eigentlich das XML API Addon und machst es nicht nativ mit
Code: Alles auswählen
wget -q --timeout=10 -O /dev/null 'http://xxx.xxx.xxx.xxx:8181/a.exe?a=dom.GetObject(2635).State(true)"
Moderator: Co-Administratoren
Warum nutzt du dafür eigentlich das XML API Addon und machst es nicht nativ mit
Code: Alles auswählen
wget -q --timeout=10 -O /dev/null 'http://xxx.xxx.xxx.xxx:8181/a.exe?a=dom.GetObject(2635).State(true)"
Code: Alles auswählen
Access to XMLHttpRequest at 'http://192.168.2.126/config/xmlapi/state.cgi?datapoint_id=10992,11281,3302,67298&sid=@TECCuChI81@' from origin 'http://192.168.2.20:8992' has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is present on the requested resource.
Du solltest natürlich die SessionID am besten für einen gewissen Zeitraum zwischenspeichern und nicht bei jeder bedienung dir automatisch immer eine neue geben lassen. Auch solltest du natürlich ein logout irgendwann machen damit die SessionID wieder freigegeben wird.
Bis zum Beweis des Gegenteils halte ich das für eine gute Idee, doch. Am besten wäre natürlich du steigst ggf. auf CCU-Jack oder andere APIs da mir die XML-API schon auch aus anderen Gründen ein Dorn im Auge ist.
Das ich das nicht als sinnvoll erachte und das nur dazu führt das am Schluss die Leute sich doch wieder nur ein Port Forwarding irgendwie bauen und dann ggf. externe IPs freigeben oder ähnliches. Man muss manche Personen eben (leider) zu Ihrer eigenen Sicherheit zu gewissen Dingen zwingen. Und das Andrehen der Sicherheitsschrauen der XML-API bzw. Addons ist ja nur ein Punkt auf meiner langen Liste von verbesserten Sicherheitsmaßnahmen die ich im laufenden Jahr bei RaspberryMatic umsetzen möchte (siehe https://github.com/jens-maus/RaspberryMatic/issues/2175).Gerti hat geschrieben: ↑21.02.2023, 07:37Wäre es nicht einfacher und eigentlich ausreichend sicher, wenn man die XML-Api mit hinter die Firewall packt und nur die dort freigegebenen Adressen für den Zugriff zulässt?
Das würde auch den Umbau der Apps ersparen, die auf die XML-Api zugreifen.
Was spricht dagegen?
Ich speicher die ID zwischen, muss aber automatisch eine neue erzeugen, falls die irgendwann nicht mehr gültig sein sollte. Dafür hatte ich die gespeicherte ID manipuliert um das zu provozieren. Da war dann recht schnell Schluss mit IDs.Du solltest natürlich die SessionID am besten für einen gewissen Zeitraum zwischenspeichern und nicht bei jeder bedienung dir automatisch immer eine neue geben lassen. Auch solltest du natürlich ein logout irgendwann machen damit die SessionID wieder freigegeben wird.
Keine Panik. Für Power-User bzw. Leute mit internem Wissen sollte es ggf. ein leichtes sein diese und andere Dinge ggf. wieder etwas relaxter einzustellen. Es geht hier vor allem um Otto-Normal-Nutzer die sich hier leider regelmäßig in die Füße schießen weil 1. Sie trotz warnungen hier+da ein Port Forwarding einstellen aber eben auch weil 2. es hier doch leider gehäuft einige Angriffsvektoren in der WebUI bzw. im CCU Ökosystem gibt die sehr leicht auszunutzen sind. Die ReGa bzw. die WebUI selber ist zwar inzwischen um einiges sicherer geworden, aber gerade die Third-Party Addons wie XML-API usw gehen IMHO etwas zu relaxt mit dem Thema Sicherheit um.