„Werksseitige“ Authentifizierung für XML-API-Befehle. Status Quo?

Nutzung von XML RPC, Remote Script, JSON RPC, XMLAPI

Moderator: Co-Administratoren

Antworten
Wookbert
Beiträge: 224
Registriert: 10.05.2013, 18:40
Hat sich bedankt: 3 Mal
Danksagung erhalten: 1 Mal

„Werksseitige“ Authentifizierung für XML-API-Befehle. Status Quo?

Beitrag von Wookbert » 14.01.2020, 03:08

@jmaus

Gibt es mittlerweile Seitens der CCU eine „werksseitige“ Authentifizierungsmethode für XML-API-Befehle, die verhindert, daß ein Äffchen, welches — wie auch immer — Zugang zum lokalen Netzwerk erlangt hat, unautorisiert die Homematic steuern kann?

Oder ist das hier der nachwievor der einzige, empfehlenswerte Weg?

Die Authentifizierungsoption in den CCU-WebUI-Sicherheitseinstellungen für XML-RPC schützt nicht gleichzeitig die XML-API nehme ich an?

Bild 13.01.20 um 22.17.jpg

Familienvater
Beiträge: 7151
Registriert: 31.12.2006, 15:18
System: Alternative CCU (auf Basis OCCU)
Wohnort: Rhein-Main
Danksagung erhalten: 34 Mal

Re: „Werksseitige“ Authentifizierung für XML-API-Befehle. Status Quo?

Beitrag von Familienvater » 14.01.2020, 10:25

Hi,

wenn sich ein Äffchen - wie auch Immer - Zugang zu Deinem Intranet verschafft hat, ist eine nicht Authentifizierende XML-Api dein kleinstes Problem.

Du kannst natürlich Versuchen, ein wahnsinnig große, schweres "Diskus-Schloss" vor die XML-Api zu hängen, damit keiner das Schloss aufbekommt, aber das ganze ist nur auf einer Tür aus "Pappe" montiert.
Du solltest Dir mehr gedanken machen, wie Du ungebetene Gäste aus Deinem Intranet raushälst, z.B. mit echtem Gäste-WLAN, Segmentierung des Netzwerks per VLAN, Authentifikation an Netzwerkports vom Switch etc.
Und sich immer 2x überlegen, ob es unbedingt das 7,50€ China-Billig-WLAN-IOT-Dings sein muss, was ganz krude Authentifikationsmechanismen macht, und damit jeder in der Anmeldephase die Credentials Deines Netzwerks mitsniffen könnte, oder Dir der China-Hersteller (oder jeder andere) jederzeit ungefragt eine andere (böse) Firmware unterschieben kann.

Der Familienvater

Horst1968
Beiträge: 43
Registriert: 05.11.2022, 10:09
System: Access Point
Hat sich bedankt: 2 Mal

Re: „Werksseitige“ Authentifizierung für XML-API-Befehle. Status Quo?

Beitrag von Horst1968 » 26.12.2022, 13:40

Moin, ich habe einen Home Assistant, dieser braucht anscheinend eine deaktivierte Authentifizierung, bzw. stelle ich mir die Frage, welchen Benutzernamen und welches Passwort dann hier verwendet werden würde. Jedenfalls baut meine Home Assistant nur die Verbindung auf, wenn ich das deaktiviert habe.

Die Integration
https://github.com/danielperna84/custom_homematic


Vielen Dank!

Antworten

Zurück zu „Softwareentwicklung von externen Applikationen“