RFC: Kommende XML-API CCU Addon 2.0 Version

diverse Zusatzsoftware

Moderator: Co-Administratoren

Benutzeravatar
jmaus
Beiträge: 9819
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 459 Mal
Danksagung erhalten: 1856 Mal
Kontaktdaten:

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von jmaus » 21.02.2023, 09:10

Gerti hat geschrieben:
21.02.2023, 09:09
Du solltest natürlich die SessionID am besten für einen gewissen Zeitraum zwischenspeichern und nicht bei jeder bedienung dir automatisch immer eine neue geben lassen. Auch solltest du natürlich ein logout irgendwann machen damit die SessionID wieder freigegeben wird.
Ich speicher die ID zwischen, muss aber automatisch eine neue erzeugen, falls die irgendwann nicht mehr gültig sein sollte. Dafür hatte ich die gespeicherte ID manipuliert um das zu provozieren. Da war dann recht schnell Schluss mit IDs.
Wie gesagt, vergiss nicht das Logout am Schluss um die SessionID entsprechend wieder freizugeben und damit wieder Platz zu machen.
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / ☕️

Gerti
Beiträge: 3000
Registriert: 28.01.2016, 18:06
System: CCU
Wohnort: Hürth
Hat sich bedankt: 16 Mal
Danksagung erhalten: 260 Mal

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von Gerti » 21.02.2023, 09:51

Hi,

eigentlich ist kein Logout vorgesehen, da die Visualisierung dauerhaft mit der CCU verbunden ist und die Session daher dauerhaft aktiv bleibt.
Es kann daher eigentlich nur durch einen Neustart der CCU zu einer ungültigen Session kommen, so dass ich eine neue erzeugen muss.

Gruß
Gerti

Benutzeravatar
jmaus
Beiträge: 9819
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 459 Mal
Danksagung erhalten: 1856 Mal
Kontaktdaten:

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von jmaus » 21.02.2023, 10:01

Gerti hat geschrieben:
21.02.2023, 09:51
eigentlich ist kein Logout vorgesehen, da die Visualisierung dauerhaft mit der CCU verbunden ist und die Session daher dauerhaft aktiv bleibt.
Es kann daher eigentlich nur durch einen Neustart der CCU zu einer ungültigen Session kommen, so dass ich eine neue erzeugen muss.
Du hast doch gerade irgenwas davon gesprochen das du zwar zwischenspeicherst, dann aber die nicht mehr gültig machst. Oder ich hab was falsch verstanden. Du solltest halt drauf achten das es nicht dazu kommen kann das dauern eine neue sessionID generiert wird solange noch die alte aktiv ist. Deshalb ggf. eben eine SessionID "zurückgeben" via logout in der xml-api bevor du versuchst unendlich viele neue sessionids zu genieren.
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / ☕️

Benutzeravatar
deimos
Beiträge: 5383
Registriert: 20.06.2017, 10:38
System: Alternative CCU (auf Basis OCCU)
Wohnort: Leimersheim
Hat sich bedankt: 121 Mal
Danksagung erhalten: 950 Mal
Kontaktdaten:

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von deimos » 21.02.2023, 10:13

Hi,

und genau hier sieht man schön, warum ich Stateless Auth mit Tokens ins Spiel gebracht habe.

Viele Grüße
Alex

Benutzeravatar
jmaus
Beiträge: 9819
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 459 Mal
Danksagung erhalten: 1856 Mal
Kontaktdaten:

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von jmaus » 21.02.2023, 10:21

deimos hat geschrieben:
21.02.2023, 10:13
und genau hier sieht man schön, warum ich Stateless Auth mit Tokens ins Spiel gebracht habe.
Ich bin da voll bei dir Alex. Ich scheue bisher jedoch noch den Aufwand die Verwaltungsoberfläche für solche Auth-Tokens irgendwo in der WebUI allgemein oder gar in jedem Addon selbst umsetzen zu müssen. Wenn das aber gerne jemand motiviert ist und machen will bin ich gerne bereit das noch in die XML-API v2 oder gar in die WebUI der RaspberryMatic einfließen zu lassen.
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / ☕️

Benutzeravatar
deimos
Beiträge: 5383
Registriert: 20.06.2017, 10:38
System: Alternative CCU (auf Basis OCCU)
Wohnort: Leimersheim
Hat sich bedankt: 121 Mal
Danksagung erhalten: 950 Mal
Kontaktdaten:

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von deimos » 21.02.2023, 10:36

Hi,

das Problem ist aber, dass du mit einer halbgaren Lösung die Arbeit hochtreibst bei den Entwicklern, welche die Schnittstelle nutzen und im Zweifel auch ziemliche Probleme der Nutzer in Kauf nimmst für einen überschaubaren Sicherheitsgewinn. Und wenn man das dann richtig umsetzt, dann müssen die Entwickler wieder ran.
Als Schnellschuß die Firewall Lödung würde genauso helfen. Klar, es wird dann wieder Leute geben, die das umgehen und sich ein Einfallstor bauen, aber die wird es bei jeder Lösung geben und auf die würde ich keine Rücksicht nehmen bei einem System, bei dem nur diese ein Problem bekommen, wenn sie Löcher bauen.

Viele Grüße
Alex

Benutzeravatar
jmaus
Beiträge: 9819
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 459 Mal
Danksagung erhalten: 1856 Mal
Kontaktdaten:

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von jmaus » 21.02.2023, 10:48

deimos hat geschrieben:
21.02.2023, 10:36
Als Schnellschuß die Firewall Lödung würde genauso helfen.
Welche "Firewall Lösung" meinst du genau?
RaspberryMatic 3.75.6.20240316 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal / ☕️

jp112sdl
Beiträge: 12085
Registriert: 20.11.2016, 20:01
Hat sich bedankt: 847 Mal
Danksagung erhalten: 2139 Mal
Kontaktdaten:

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von jp112sdl » 21.02.2023, 10:51

deimos hat geschrieben:
21.02.2023, 10:36
auch ziemliche Probleme der Nutzer in Kauf nimmst für einen überschaubaren Sicherheitsgewinn.
Die Alternative für "Faule" ist, einfach bei der alten XML-API Addon Version zu bleiben.

Auch ich habe früher mal angefangen, mir mit Wemos-Boards über die XML API per Wifi Systemvariablen zu setzen.
Weil es simpel umzusetzen ist und mir der andere Weg über Port 8181 damals nicht bekannt war.

Und da hier ja jeder meint, zu wissen, was die Mehrheit macht, streue ich hier auch mal meine Mehrheitsvermutung ein:
Wer nach dem Update auf Version 2.0 festellt, dass seine bisherige (Uralt-)Lösung nicht mehr funktioniert, geht wieder auf die ältere Addon Version.
deimos hat geschrieben:
21.02.2023, 10:36
Und wenn man das dann richtig umsetzt, dann müssen die Entwickler wieder ran.
...sofern es sie noch gibt bzw. sie Lust haben, sich damit auseinanderzusetzen.
deimos hat geschrieben:
21.02.2023, 10:36
aber die wird es bei jeder Lösung geben und auf die würde ich keine Rücksicht nehmen bei einem System, bei dem nur diese ein Problem bekommen, wenn sie Löcher bauen.
:arrow: Das ist das, was ich mit
jp112sdl hat geschrieben:
21.02.2023, 08:33
Das ist aber deren Problem, nicht deins.
auch ausdrücken wollte.

VG,
Jérôme ☕️

---
Support for my Homebrew-Devices: Download JP-HB-Devices Addon

Gerti
Beiträge: 3000
Registriert: 28.01.2016, 18:06
System: CCU
Wohnort: Hürth
Hat sich bedankt: 16 Mal
Danksagung erhalten: 260 Mal

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von Gerti » 21.02.2023, 11:04

Hi,
jmaus hat geschrieben:
21.02.2023, 10:01
Du hast doch gerade irgenwas davon gesprochen das du zwar zwischenspeicherst, dann aber die nicht mehr gültig machst. Oder ich hab was falsch verstanden. Du solltest halt drauf achten das es nicht dazu kommen kann das dauern eine neue sessionID generiert wird solange noch die alte aktiv ist. Deshalb ggf. eben eine SessionID "zurückgeben" via logout in der xml-api bevor du versuchst unendlich viele neue sessionids zu genieren.
Das hatte ich nur bei der Entwicklung gemacht um zu testen, ob von meinem PHP Skript automatisch eine neue Session angefragt wird, wenn die alte ungültig ist und es ohne sichtbare Unterbrechung funktioniert.
In der Praxis wird eine Session erzeugt und die so lange verwendet, bis diese als Rückgabe als ungültig gemeldet wird und dadurch eine neue Session angefragt wird.

Gruß
Gerti

Benutzeravatar
deimos
Beiträge: 5383
Registriert: 20.06.2017, 10:38
System: Alternative CCU (auf Basis OCCU)
Wohnort: Leimersheim
Hat sich bedankt: 121 Mal
Danksagung erhalten: 950 Mal
Kontaktdaten:

Re: RFC: Kommende XML-API CCU Addon 2.0 Version

Beitrag von deimos » 21.02.2023, 11:05

Hi,
jmaus hat geschrieben:
21.02.2023, 10:48
deimos hat geschrieben:
21.02.2023, 10:36
Als Schnellschuß die Firewall Lödung würde genauso helfen.
Welche "Firewall Lösung" meinst du genau?
Diese hier, die du bereits selbst kommentiert hast:
Gerti hat geschrieben:
21.02.2023, 07:37
Wäre es nicht einfacher und eigentlich ausreichend sicher, wenn man die XML-Api mit hinter die Firewall packt und nur die dort freigegebenen Adressen für den Zugriff zulässt?
Das würde auch den Umbau der Apps ersparen, die auf die XML-Api zugreifen.
Viele Grüße
Alex

Antworten

Zurück zu „Sonstige Addons“