RaspberryMatic 3.47.15.20190831 – Erfahrungsberichte

[sauss]

Einerseits, was ist am fehlenden Auto-Login nervig? Passwörter kann man doch speichern und ein Mausklick mehr kann so welterschütternd nicht sein.

Ja das verstehe ich.... und ich nutze unter anderm die App Tasker ... aber das Projekt um die RM war Jahrelang oder ist eine OpenSource Geschichte... und jeder der sich dafür entschieden hat oder noch wird ...sollte dies wissen und dadurch auch was er machen sollte um in seiner RM nicht alle Türen zu öffnen. Des Weiteren sind mit Sicherheit über die Jahre bei den einen oder anderen Programme...Aktionen...Steuerung entstanden... weil es eben open source ist und die Möglichkeiten weit gefächert sind ... die mit diesem Logout nicht umgehen können. Deshalb .... wegen mir soll es doch den automatischen Logout geben aber bitte so das man diesen auch deaktivieren kann!!

Mir sind keine Programme etc. bekannt die diesen Auto LogIn benötigen oder gar damit arbeiten, denn man braucht es auch nicht.

Auch ohne Auto LogIn ist eine Portfreigabe absolut unsicher, denn wenn man weiß wie, braucht man gar kein Passwort um auf die CCU zuzugreifen.

Es ist aktuell bereits möglich, den AutologIn zu deaktivieren, viele wissen das aber nicht und viele sind sich dem damit verbundenen Risiko nicht bewusst. Von daher wurde diese Funktion auch bereits vom BSI völlig zurecht bemängelt.

Es geht nicht um irgendein Auto-Login ... es geht um den zukünftigen geplanten Logout....

[ptweety]

Es geht nicht um irgendein Auto-Login ... es geht um den zukünftigen geplanten Logout....

Und wo steht, das sowas geplant ist?

[SGubler]

Zum Abschluss des Tage noch etwas humorvolles:

Meine Wetterstation HmIP-SWO Pro zeigt an, dass heute 1030.4 mm Regen gefallen sind !
1 Meter Regen an einem Tag wäre ja wie eine Sintflut, dabei hat es heute und gestern gar nicht geregnet.

Und die Totale Regenmenge sei 20314,2 mm Naja, 20 m in etwa 2 Jahren, seit ich die Wetterstation habe.

ich weiss nicht wie lange der Wert schon so dort steht, ich prüfe dies Morgen nochmals, man ist sich ja von Homematic schon einiges gewohnt

In der Schweiz in der Gegend von Zürich war im 2018 1134 mm gefallen.
Im August 2019 waren es etwa 200 mm.

Also irgendwo ist da der Wurm drin.

[sauss]

Es geht nicht um irgendein Auto-Login ... es geht um den zukünftigen geplanten Logout....

Und wo steht, das sowas geplant ist?

Update auf TinkerS durchgeführt und läuft.

Nur in der Favoriten-Darstellung vom HmIP-FBL gibt es ein Problem. Der DutyCycle CCU wurde ja bereits erwähnt.

Das wird übrigens ein Feature sein das mit der nächsten Version aus Sicherheitsgründen verschwinden wird. Es wird dann kein AutoLogin mehr geben und folglich wird man sich dann nur noch via Nutzername+Passwort in der WebUI einloggen können.

Und daher solltest du am besten jetzt schon ein Passwort setzen und dein AutoLogin deaktivieren damit du darauf vorbereitet bist!

Dies war aber in der Vergangenheit schon einmal ein Thema...

[LibertyX]

Da steht nichts vom einem Logout!

Und einen Session Timeout gibt es schon.

[nicolas-eric]

Mit dem BSI hab ich viel zu tun, die bemängeln so einiges.
Trotzdem bringen sie es z.B. nicht fertig, den Marktführer bei uns AVM dazu zu bringen, die oft gescholtene Portweiterleitung aus ihrem FritzOS zu entfernen.
Für Leute, die ausschliesslich per VPN auf ihr Netzwerk von aussen zugreifen, sollten die neuen Sicherheitsfeautures zumindest per Häkchen abschaltbar sein. Wobei sie mich persönlich nicht stören, solange auch Drittanbietersoftware damit klar kommt.


Aber zurück zum Thema nur RM Version:

Mir ist komischerweise noch nicht aufgefallen, dass die DC Anzeige falsch ist.
Habe mich seit dem Update ca. 25x neu eingeloggt und das war immer plausibel zum Prozentwert.

[jmaus]

wie kann ich Jens Maus die benötigten Logdaten zukommen lassen.

Wie funktioniert das ? Was muss ich dazu tun. ?

Also bevor du jetzt immer wieder aufs neue deine Frage danach stellst (nur weil sie dir nicht unmittelbar beantwortet wird) versuche ich das einmal (hättest du übrigens auch über eine PN fragen können):

Als erstes müsstest du noch einmal deutlich sagen bzw. bestätigen das das Problem mit deinem Pi3b+ auch reproduzierbar mit einer frischen SD Karte OHNE zurückspielen deines Backups auftritt. Wenn das der Fall ist, dann müsstest du bitte noch einmal beantworten:

1. Lässt sich der Pi nach dem Hochfahren (die gründe LED des Pis blinkt im Heart-Beat Modus) via "ping" Befehl korrekt anpingen?
2. Was kommt bei der Ausgabe der HDMI Konsole? Sind dort Fehlermeldungen zu sehen?
3. Kannst du dich dann via Tastatur dort einloggen?
4. Was ist bei der Ausgabe "dmesg" auf der Kommandozeile zu sehen?
5. Was steht in der Datei /var/log/messages bzw. gibt es darin "monit" Fehlermeldungen oder ähnliches.

Und wenn das ganze zu lang wird für diesen Beitrag hier dann bitte das ganze an mich per PN, dann können wir hier ggf. sogar ein Remote-Debugging machen damit ich ggf. rausfinden kann warum die WebUI bei dir angeblich abschmiert beim hochfahren.

[LibertyX]

Mit dem BSI hab ich viel zu tun, die bemängeln so einiges.
Trotzdem bringen sie es z.B. nicht fertig, den Marktführer bei uns AVM dazu zu bringen, die oft gescholtene Portweiterleitung aus ihrem FritzOS zu entfernen.

Portweiterleitungen sind per se nicht das Problem, es gibt Systeme die damit umgehen können ohne das es ein Sicherheitsrisiko darstellt,
die Systeme müssen aber dafür ausgelegt und entsprechend abgesichert sein.

Portweiterleitungen sind auch teilweise notwendig, daher sind Sie auch in professionellen Firewalls vorhanden.

[SGubler]

Zum Thema Automatisches Login

Es ist heute Standard, dass Webapplikationen ein Login benötigen, ob dies nun in privaten oder geschäftlichen Applikationen ist.
Wer will kann ja User&Passwort im Broser hinterlegen. Dann hat "Er" autlogin, die anderen aber nicht.

Was für mich noch wichtig wäre, dass man ohne Login, die Anzeige von Informationen konfigurieren kann,
so wie dies andere Apps auch machen. Also z.B. dem Gast-Benutzer die Anzeige von Messwerten oder den Status von Schaltaktoren anzeigen lässt.

Für die Erhöhung der Sicherheit der Raspberrymatic wäre aber auch notwendig, dass der Webserver und andere Dienste nicht mehr als User Root ausgeführt werden. Damit der Prozess auf dem Linux nicht zu viele Rechte erlangen kann.

Allen einen schönen Abend und einen guten Start in die neue Woche
Stefan

[jmaus]

Auch ohne Auto LogIn ist eine Portfreigabe absolut unsicher, denn wenn man weiß wie, braucht man gar kein Passwort um auf die CCU zuzugreifen.

In der Tat sollte genau sowas mit der aktuellen 3.47.15.20190831 eigentlich nicht mehr möglich sein. Ich habe in dieser Version wirklich (siehe ChangeLog) einige bekannte Sicherheitslücken geschlossen sodass mit deaktiviertem AutoLogin und aktiviertem HTTPS die CCU/RaspberryMatic um einiges sicherer sein sollte. Oder ist dir mit dieser Version noch ein Weg bekannt? Wenn ja, dann bitte per PN an mich und ich kann die Lücke dann ggf. für die nächste Version schliessen.

Ich kann zwar immer noch nicht mit guten Gewissen dazu raten ein Portforwarding zu seiner CCU zu machen. Aber durch die vielen nun geschlossenen Lücken sollte das zumindest um einiges sicherer geworden sein und die bis dato bekannten Wege nicht mehr existieren um in die WebUI zu kommen ohne gültigen Login.

Es ist aktuell bereits möglich, den Auto LogIn zu deaktivieren, viele wissen das aber nicht und viele sind sich dem damit verbundenen Risiko nicht bewusst. Von daher wurde diese Funktion auch bereits vom BSI völlig zurecht bemängelt.

Und genau da komm ich eben zum IMHO überfälligen Entfernen des AutoLogin. Auch wenn das vielleicht für den einen oder anderen ein "geschicktes" Feature ist weil man da schnell und "unkompliziert" auf seine CCU/WebUI kommt. Es ist aber faktisch schon längst nicht mehr zeitgemäß ein System wie die WebUI komplett ohne Authentifizierung zugänglich zu machen. Und all die Diskussionen und von der BSI und anderen aufgezeigten Sicherheitslücken zeigen doch das leider viele Nutzer nicht wissen was sie da tun und welches Scheunentor sie da öffnen. Und wie schon andere hier gesagt haben – auch mir ist keine externe Applikation/Software/Schnittstelle bekannt die es notwendig macht das die WebUI/CCU komplett ohne Nutzername+Passwort angesteuert werden muss. Insofern ist das AutoLogin "Feature" IMHO schon länger obsolete und wird definitiv fallen. Und das nicht nur in RaspberryMatic sondern auch mittelfristig auch in der CCU3 bzw. CCU2. Das sollte man aber bitte nicht als "mir wird was weggenommen" sehen sondern als ein substantieller Zugewinn an Sicherheit.