Anpassungen der Sicherheitseinstellungen (CCU3 V3.41.7) auch für RaspberryMatic?

[Mathias]

Hallo Jens,

in der CCU3 Firmware V3.41.7 sind Änderungen bezüglich der Zusammenarbeit mit Fremd-Software enthalten: "Dieses Update enthält relevante Anpassungen der Sicherheitseinstellungen. Diese können sich auf die Funktionen von Zusatzsoftware auswirken. Darunter fallen erweiterte Firewalleinstellungen und die obligatorische Vergabe eines Anmeldepassworts. "

Diese Änderungen werden sicherlich auch in RaspberryMatic einfließen. Gibt es da schon eine RaspberryMatic Ziel-Version?

Wie sieht es mit den XML-RPC-Benachrichtigungen von der CCU zur Fremd-Software aus (init-Aufruf). Ist dort eine Verschlüsselung und Anmeldung ebenfalls geplant?

Gruß
Mathias

[deimos]

Hi,

wenn man sich die letztem Commits auf Github anschaut, sieht man, dass es in der nächsten Version drin sein wird.

Viele Grüße
Alex

[jmaus]

in der CCU3 Firmware V3.41.7 sind Änderungen bezüglich der Zusammenarbeit mit Fremd-Software enthalten: "Dieses Update enthält relevante Anpassungen der Sicherheitseinstellungen. Diese können sich auf die Funktionen von Zusatzsoftware auswirken. Darunter fallen erweiterte Firewalleinstellungen und die obligatorische Vergabe eines Anmeldepassworts. "

Diese Änderungen werden sicherlich auch in RaspberryMatic einfließen. Gibt es da schon eine RaspberryMatic Ziel-Version?

Natürlich werden all diese Dinge in der nächsten kommenden RaspberryMatic einfliessen die dann auf der OCCU 3.41.7 basieren wird welches dem selben Versionsstand wie die CCU3 Firmware entspricht. Damit werden dann auch alle Anpassungen bzgl. Sicherheitseinstellungen, verschlüsselter XMLRPC verkehr sowie mögliche Authentifizierung einfliessen wie ich es hier beschrieben habe:

viewtopic.php?f=69&t=46455#p465022

Momentan habe ich geplant diese Version um den 23./24. November zu releasen. Wenn das ganze aber schneller sich stabilisiert dann ggf. auch etwas früher, mal sehen.

Wie sieht es mit den XML-RPC-Benachrichtigungen von der CCU zur Fremd-Software aus (init-Aufruf). Ist dort eine Verschlüsselung und Anmeldung ebenfalls geplant?

Welche XML-RPC Benachrichtigungen meinst du genau? Bitte Beispiel geben.

[Mathias]

Wie sieht es mit den XML-RPC-Benachrichtigungen von der CCU zur Fremd-Software aus (init-Aufruf). Ist dort eine Verschlüsselung und Anmeldung ebenfalls geplant?

Welche XML-RPC Benachrichtigungen meinst du genau? Bitte Beispiel geben.

Fremd-Software kann sich bei den Schnittstellenprozessen anmelden, um über Wertänderungen von Datenpunkten informiert zu werden. Dadurch wird eine zyklische Abfrage vermieden. Dies erfolgt über die init-Methode (s.a. aktuelle XML-RPC Dokumentation Abschnitt 4.2.1). Die Schnittstellenprozesse bauen dann eine Verbindung in die Gegenrichtung auf, um Wertänderungen über die event-Methode (s.a. Abschnitt 5.1) zu publizieren.

Das gleiche Thema hat auch hobbyquaker angesprochen.

Gruß
Mathias

[jmaus]

Fremd-Software kann sich bei den Schnittstellenprozessen anmelden, um über Wertänderungen von Datenpunkten informiert zu werden. Dadurch wird eine zyklische Abfrage vermieden. Dies erfolgt über die init-Methode (s.a. aktuelle XML-RPC Dokumentation Abschnitt 4.2.1). Die Schnittstellenprozesse bauen dann eine Verbindung in die Gegenrichtung auf, um Wertänderungen über die event-Methode (s.a. Abschnitt 5.1) zu publizieren.

Das gleiche Thema hat auch hobbyquaker angesprochen.

Und hier dazu meine Antwort:
viewtopic.php?f=26&t=46282&p=465378#p465376

In der Tat steht das natürlich auch auf meiner Agenda. Allerdings muss dazu natürlich jeder Schnittstellenprozess bzw. die XMLRPC Implementation dieses Schnitstellenprozesses angefasst und ggf. um SSL und Authentifizierungsmethoden erweitert werden. Und das kann natürlich mitunter dauern. Darüber hinaus müssten dann auch externe Addons wie CUxD es gleich tun und als erstes mal BINRPC wegschmeissen und stattdessen dafür XMLRPC verwenden und auch SSL+Auth implementieren um das ganze insgesamt sicherer zu machen. Wie im anderen Beitrag allerdings erwähnt war die Hauptmotivation der jetzigen Maßnahme erst einmal die CCU ansich etwas sicherer zu machen und ich denke mit der Umsetzung der Möglichkeit XMLRPC Anfragen an die CCU via SSL und mit Nutzerauthentifizierung durchführen zu können geht das schon prinzipiell in die richtige Richtung.

[Mathias]

Die Verbesserungen im Bereich Sicherheit begrüße ich auf jeden Fall. Diese müssen sein. Es kam nur etwas überraschend für die Entwickler von Software rund um die CCU. Deshalb noch ein allgemeiner Verbesserungsvorschlag:

Es wäre schön, wenn es für solche wichtigen Änderungen vorab ein entsprechendes Issue auf GitHub (eq-3/occu oder jens-maus/RaspberryMatic) geben würde. Dieses sollte die technischen Änderungen kurz beschreiben und mit einem Milestone (z.B. "next release") verbunden sein. Die Diskussionen fangen dann zwar schon früher an , so ist das eben, aber die Entwickler können sich vorbereiten und auch die Anwender ihrer Software informieren.

Gruß
Mathias

[mpcc]

Ich stimme dem voll zu ...