Frage zur WFE Sicherheit (WFE trotz Basis-Auth erreichbar)

Ich habe mehrere WFC’s auf einem Test-RasPi (mit IPS 4.0). Die Webserver (HTTP und HTTPS) im IPS sind jeweils mit Usernamen und Passwort geschützt (Haken auch gesetzt).

Während 2 (von 3) WFC’s ohne Passwort konfiguriert sind, ist eines mit Passwortschutz versehen. Nun würde ich erwarten, dass ich keines der 3 Webfronts öffnen kann, wenn ich nicht den korrekten Usernamen und Passwort des Webservers eingebe. In Chrome scheint das so zu funktionieren (zumindest bekomme ich statt des Webfronts nur eine rote Fehlermeldung, dass der Skin nicht geladen werden kann).

Gehe ich mit Edge oder Internet Explorer auf die URL und versuche eines der 3 WFE’s zu öffnen, werde ich (erwartungsgemäß) nach dem Usernamen & Passwort gefragt. Klicke ich hier 2x auf Abbrechen, öffnet sich trotzdem das WFE?! Gleiches Verhalten unter IPS 3.4.

Ich hab dazu die Doku überflogen - aber keinen Hinweis auf dieses Verhalten gefunden… wie kann das sein?
Anders gefragt: wozu gibt es eine Abfrage nach Usernamen und Passwort, wenn ich ein WFE öffnen will (was nicht via WFC passwortgeschützt ist) - und kann die darüber hinaus umgehen?

Zum Ausprobieren: IP-Symcon WebFront

Schau mal hier:
Sicherheit — IP-Symcon :: Automatisierungssoftware

und dann zusätzlich in der Konfiguration im Screenshot.

Ich werde aber zusätzlich noch einen Hinweis in die Migration hinzufügen. Das könnte dort in der Tat auch erwähnt werden.

Hintergrund: Wenn Basis-Authentifizerung und Konfigurator Kennwort gesetzt war, konnten sich Kunden im Firefox nicht einloggen. Dadurch wird das Problem gelöst und es ist auch klar und sauber getrennt, was den Konfigurator absichert und was den extra Inhalt absichert.

paresy

hinweis.png

ja, das ist mir bekannt. Ich hatte aber bisher angenommen, dass dieser Ausschluss nur für die Datei-Ebene gilt, nicht aber für die Webfront-Ebene. Da es früher (vor der 3.1) so war, dass mit Basis-Auth nicht mal die Startseite der Webserver erreichbar war und darüber hinaus jetzt eine Abfrage nach Passort/Usernamen beim Versuch, eines der Webfronts zu öffnen kommt, bin ich seit der 3.1 davon ausgegangen, dass die Webfronts grundsätzlich und nach wie vor via Basis-Auth geschützt sind.

Das hatte zur Folge, dass meine gesamte Homeautomation über ein bestimmtes Webfront (alle anderen hatten ein WFE-Passort) über Jahre frei zugänglich war, wenn man nur 2x die Passortabfrage ignoriert hat.

Es steht in der Doku (ich hab eben nochmal gewühlt) an keiner Stelle, dass die WFE’s NICHT durch die Basis Auth geschützt sind (trotzdem kommt dort die Passwortabfrage => ich würde das glatt Irreführung nennen). Bis auf eine Ausnahme: in den Migrationshinweisen zur 3.1.

Ich bin grad noch bemüht, meine Fassung wieder zu erlangen…

Wenn du Elemente aus dem ‚user‘ Ordner lädst, kommt die Passwort abfrage. Weil der Browser eben für diese Elemente das Passwort braucht. Auf der Login-Seite hättest du dies jederzeit ausprobieren können. Dort würde nämlich keine Abfrage kommen. Warum sollten die WFE über die Basis-Auth gesichert werden, wenn explizit steht, dass es nur für die Inhalte im User Ordner gilt?

Und du hast Recht, es ist eine Änderung zur 3.1 und nicht zur 4.0. Somit kann ich mir den Hinweis in der Doku sparen. Danke für den Hinweis :slight_smile:

paresy

Wäre es nicht möglich wie bei der Fritz Box IPS mit einem Sicherheitstest auszustatten.
Nach ausführen kommt eine Meldung die uns sagt was wer von wo kann/darf

Die WFE’s, die ich als Beispiel konfiguriert habe, sind komplett leer. Dennoch kommt die Passwort-Abfrage der Basis-Auth, die mir suggeriert, dass es hier einen Authentifizierungs-Schutz gibt. Und genau darauf bin ich scheinbar Jahrelang hereingefallen. Dazu fällt mich echt nichts mehr ein.

Und ich wiederhole mich: solange man als User keinen Überblick hat, wie an welchen Stellen und unter welchen Bedingungen auf was bei IPS zugegriffen werden kann, wird sowas immer passieren. Ich sehe hier deutlich den Hersteller in der Pflicht, dem User -gerade in Sicherheits-Aspekten - transparent zu machen, wie das System konzipiert ist, dem er sein Haus, seine Pools, die Pferde und die Pferdepflegerin anvertraut.
Eine Grafik (nur als Beispiel), die das verdeutlicht, gibt es bis heute nicht. Und das bei einem derart komplexen System…

An keiner Stelle findet man eine vollständige Zusammenfassung und Beschreibung aller Schnittstellen. Hey Jungs, aufwachen! Wir reden über Home-Automation, nicht über Pokemon’s!

wenn ich das dann lesen muss:

…Und du hast Recht, es ist eine Änderung zur 3.1 und nicht zur 4.0. Somit kann ich mir den Hinweis in der Doku sparen.

scheint Eure Sorglosigkeit (schließlich ist der User selber Schuld, wenn er IPS einsetzt) sich hier in den letzten Jahren nicht verändert zu haben… ich bin sprachlos. Ich dachte wenigstens, dass sich der Hersteller hier sensibilisieren lässt, im Interesse der Sicherheit seines Produktes und seiner User zu handeln.

Ziemlich guter Vorschlag wie ich finde.
Sollte doch gar nicht so schwer sein dies dann auch grafisch gut und unmissverständlich darzustellen. Wenn irgendwie geht auch unter Einbeziehung gängiger Zusatzsoftware (IpSVIEW, ect.)
Ich würde mich damit besser fühlen.

gruß
bb

Halte ich auch für eine extrem wichtige Maßnahme. Solange uns der Hersteller die komplette Übersicht der Schnittstellen verweigert, sollte er sich wenigstens in der Pflicht sehen, auf diese Weise sich für die Sicherheit seines Produktes und der User zu engagieren.

Ach ereifert euch doch nicht so. Das ist eh alles vergebene Liebesmüh.

Wenn interessiert schon Sicherheit? Es interessiert doch auch niemanden, erstaunlicherweise auch niemanden der User, wenn Schaltzustände in der App falsch dargestellt werden.

Auf dieses merkwürdige Verhalten gibt es auch keinen Hinweis.

Von daher erfreut euch einfach an den Dingen, auf die es wirklich ankommt, dass alles so hübsch aussieht.

Gruß
Ralla

vermutlich ja, leider …

Naja, sag ma so: Bis dato war es schon OK so wie es ist.

Durch die neuen Module werden aber auch immer mehr Plug&Play User angezogen. Das bedingt dann aber wiederum auch ein Sicherheitskonzept bzw. Doku und Visualisierung auf einem entsprechend angepasstem Niveau.

Wenn ich so manche Beiträge der "suche Modul xvz " User lese, so denke ich mir das so manches IPS weltoffen rumliegt.
Zu meiner Schande muß zugeben dass mir dies auch selbst schon passiert ist. Bis mich dann mal paresy privat und diskret darauf hingewiesen hatte.

gruß
bb

Finde die Idee einen „System-Check“ einzubauen gut. Werde das mal für IP-Symcon 4.2 aufnehmen :slight_smile:

paresy

Nach diesem Sicherheitshinweis in der Doku:

bin ich auch hier nicht sicher, ob ich das nicht vielleicht falsch interpretiere. Gesetzt den Fall, ich will mit einem dedizierten WFE Daten für den allgemeinen Zugriff aus dem Netz visualisieren und lege dort ein paar ausgewählte Variablen rein und veröffentliche diese via WFE (ohne Passwortschutz).
Hier stellt sich mir (im Kontext auf oben genannten Doku-Hinweis) die Frage, ob über dieses beschriebene WFE auch der Rest meines Systems eingesehen werden kann? => Bisher habe ich die Erwartungshaltung: Nein, darf und kann nicht eingesehen werden.

Nun habe ich mir eben mal den WFE-Code angeschaut, um evtl. zu verstehen, was da passiert. Erstaunt stelle ich in der Chrome-Konsole fest, dass dort ausnahmslos alle Variablen und Events zu sehen sind, die es in dem System gibt. Egal, ob diese was mit dem oben beschriebenen WFE zu tun haben oder nicht.

Im Beispiel die Rohdaten in der Browser-Konsole, die für die Variable 45064 übertragen (Var-ID, Wert, TimeStamp) wurden. Diese Variable gehört aber nicht zu dem Teilbaum, der diesem WFE zugewiesen und veröffentlicht wurde…

Würde ich schon mal als potenzielle Sicherheitslücke und perfekte Schnittstelle für NSA & Co. werten.

Nun aber die Frage: sind in einem konfigurierten WFE (welches nur einen Teil des gesamten Objektbaumes visualisieren soll) nur und ausschließlich die Objekte enthalten die ich dem WFE zugewiesen habe (incl. der im Objektbaum als ‚ausgeblendet‘ markierten Objekte), oder ist dort grundsätzlich der gesamte Objektbaum des Systems enthalten (und nur nicht sichtbar)?

Bis Version 3.4 wird immer der gesamte Snapshot übertragen, jedoch nicht vollständigt angezeigt. Ab Version 4.0 wird nur der wirklich benötigte Teilbaum übertragen. Der Editor benötigt den vollständigen Snapshot übrigens, damit du korrekt neue Start-Kategorien und z.B. Medien-Objekte auswählen kannst.

paresy

sehr spannend… damit habe ich durch mein Missverständnis der letzten Jahre eine völlig offene Datenschnittstelle mit Klartext ins Netz gestellt, über die wirklich alle meine Daten, die jemals in den letzten 3 Jahren durch mein IPS gegangen sind (Passwörter, Loggingdaten, interne Informationen, IP-Adressen etc. etc), veröffentlicht und zur allg. Aufzeichnung freigegeben … sehr beruhigend… gut, dass ich mich jetzt selber damit auseinander setze und nicht nur auf die Doku hoffe…
Vielleicht hätte ich besser einen Profi fragen sollen.

Also, liebe Kinder: NICHT nachmachen!!!
Niemals nich ein WFE (auch nicht mit einem klitzekleinen Teil des Objektbaums) im Web veröffentlichen, nicht für Showcases, nicht für „harmlose Wetterdaten“ … einfach NICHT tun!

Sofern man noch das alte IP-Symcon 3.4 nutzt :wink: Ab Version 4.0 übertragen wir nur den wirklich benötigten Teilbaum inkl. der nur notwendigen Änderungen betreffend des Rückkanals.

paresy

Es ist wirklich bemerkenswert, mit welcher Leichtigkeit Du solche sicherheitsrelevanten Themen behandelst … mir fehlen wirklich die Worte …

zumal das von mir geschilderte Szenario auf der Analyse unter IPS 4.0 beruht. Siehe Bild oben. Es ist also keineswegs so, dass unter IPS 4.0 nur die Daten geladen werden, die ausdrücklich im WFE vom User definiert wurden…

Ich habe jetzt mal (unter IPS 4.0) eine Test-Variable im Testsystem angelegt und geschaut, was in der Browser-Konsole dazu zu sehen ist.

Fazit: es werden wirklich alle Attribute zu der Variable (die wohlgemerkt nicht zum teilbaum dieses Webfronts gehört) an das WFE übertragen, obwohl ich diesem WFE einen klitzekleinen Teilbaum zugeweisen habe, der sich weit weg vom root (hier 'area51.rs.net") befindet. Wenn man diese Änderungen im Objektbaum aufzeichnet, wäre man sogar in der Lage, den gesamten Objektbaum des Systems zu rekonstruieren.

Anschließend habe ich zum Test das Wort ‚passwort‘ in die Variable geschrieben, der unmittelbar danach im Klartext im WFE auftaucht:

ich bin jetzt wirklich gespannt, mit welcher Story Ihr das legitimieren wollt…

Warum die Aufregung? Es wurde doch immer groß und breit geschrieben >> niemand muss auf IPS 4.0 updaten, wenn er nicht will!!!
…also bleib weiter bei IPS 3.4, dann siehst du auch weiter alle Daten im Klartext…falls du sie mal vergessen solltest, schau einfach über das IPS-WebFront nach :smiley: :smiley: :smiley: Du musst dir diese tolle Möglichkeit nicht durch IPS 4 verbauen :wink: :smiley:

Spaß beiseite. Dazu ist das Thema eigentlich viel zu ernst. Aber das ist schon wieder so übel, das man sich doch schon wieder einen Witz erlauben darf.
Erst vor kurzem wird die komplette Partition, auf der IPS installiert ist, frei ins Internet gestellt. Was SSL ist, musste man euch auch erst noch erklären, bis ihr mal ein wenig oberflächlich am Rating geschraubt habt, jetzt das…was kommt als nächstes? :rolleyes:

Aber eure Ausrede ist sicher wieder > der Kunde ist für die Sicherheit zuständig und IPS muss sonst auf nichts hinweisen. Schwach…echt schwach! :rolleyes: Schade, dass zu wenig Leute verstehen/sehen wie ihr so tickt…

-Chris-

Hey RS, schön Dich zu lesen … Du bist aber auch ein kleiner Problembär ;):D;)

Wenn ich das so sehe … es ist und bleibt so das ich eine natürliche Abneigung gegen jegliche Hersteller Implementierung von „sicherheitsrelevanten“ Dingen habe … bei mir bleibt´s beim VPN (on Demand) und das funktioniert ja ohne Probleme…

Grüsse, MaLu