blurrrr
Well-known member
In Bezug auf den Thread: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1) von @carsten_h
Also wirklich "kritisch" daran ist erstmal jener hier...
-> "Mit Li..... VPN wäre das nicht passiert!"
Wäre mitunter aber vielleicht auch nicht die verkehrteste Idee, wenn man sowas mal etwas ausführlicher thematisieren würde... Hatte es (genereller Natur) hier ja schon mal kurz angerissen, aber da guckt ja auch keiner nach (muss man ja auch mal realistisch bleiben).
Also "sicher" (wenn auch "umständlich" in den Augen vieler und sicherlich auch nicht immer ganz trivial) wäre sicherlich die Nutzung eines VPN zur heimischen Einwahl. Alternativ eben noch eine Erweiterung der Authentifizierung (2FA, etc.), aber so wie sich das liest (zugegebenermaßen sind die Infos ja auch recht dürftig), könnte man auch eine 2FA umgehen (und vermutlich auch anderweitige Authentifizierungsprovider).
Insofern wäre es ggf. auch sinnvoll, wenn man einfach noch etwas vorgelagertes hätte, z.B. in Form eines Reverse-Proxy mit zusätzlicher Authentifizierung, allerdings bleibt da die Benutzerfreundlichkeit auch wieder auf der Strecke. Damit es nicht "nervt" könnte man die Authentifizierung noch anhand von Zertifikaten umsetzen, aber auch all das muss erstmal eingerichtet und auf die Clients verteilt werden. In grösseren Umgebungen sicherlich kein Ding, aber nur um ein HomeAssistant zu schützen? Möglichkeiten gibt es sicherlich einige, aber es muss ja auch für den Normalverbraucher irgendwo machbar und wartbar sein, ansonsten macht es ja auch keinen Spass.
Wie sind denn eure Meinungen dazu? Ich persönlich würde schon eher sagen: VPN und fertig
Also wirklich "kritisch" daran ist erstmal jener hier...
... und eher nicht so schön "on top" dann noch dieser...The issue allowed an attacker to remotely bypass authentication
Also war es dann bei öffentlich erreichbaren HomeAssistant-Instanzen jetzt 5-6 Jahre möglich, sich einfach an der Authentifizierung vorbei zu mogeln und auf die Dinge in HomeAssistant zuzugreifen.... Ein Hoch auf das Internet!Our analysis shows that this issue has been in Home Assistant since the introduction of the Supervisor in 2017.
-> "Mit Li..... VPN wäre das nicht passiert!"
Wäre mitunter aber vielleicht auch nicht die verkehrteste Idee, wenn man sowas mal etwas ausführlicher thematisieren würde... Hatte es (genereller Natur) hier ja schon mal kurz angerissen, aber da guckt ja auch keiner nach (muss man ja auch mal realistisch bleiben).
Also "sicher" (wenn auch "umständlich" in den Augen vieler und sicherlich auch nicht immer ganz trivial) wäre sicherlich die Nutzung eines VPN zur heimischen Einwahl. Alternativ eben noch eine Erweiterung der Authentifizierung (2FA, etc.), aber so wie sich das liest (zugegebenermaßen sind die Infos ja auch recht dürftig), könnte man auch eine 2FA umgehen (und vermutlich auch anderweitige Authentifizierungsprovider).
Insofern wäre es ggf. auch sinnvoll, wenn man einfach noch etwas vorgelagertes hätte, z.B. in Form eines Reverse-Proxy mit zusätzlicher Authentifizierung, allerdings bleibt da die Benutzerfreundlichkeit auch wieder auf der Strecke. Damit es nicht "nervt" könnte man die Authentifizierung noch anhand von Zertifikaten umsetzen, aber auch all das muss erstmal eingerichtet und auf die Clients verteilt werden. In grösseren Umgebungen sicherlich kein Ding, aber nur um ein HomeAssistant zu schützen? Möglichkeiten gibt es sicherlich einige, aber es muss ja auch für den Normalverbraucher irgendwo machbar und wartbar sein, ansonsten macht es ja auch keinen Spass.
Wie sind denn eure Meinungen dazu? Ich persönlich würde schon eher sagen: VPN und fertig