HTTPS für lokalen Zugriff

Wann bekommt der lokale Zugriff auf die webapp sowie die webhooks endlich einen verschlüsselten Zugriff?
Am besten mit lets encrypt.

1 „Gefällt mir“

Gibt es schon als Featurewunsch…
https://community.hom.ee/t/lokale-webapp-mit-ssl-zertifikat/16613/2

Sowas ist aber kein Feature, sondern ein Sicherheitsrisiko!

Wenn Du Deinen homee in einem öffentlich zugänglichen WLAN betreiben tust, dann stimme ich Dir zu.

Aber wer macht das schon!?

Jede Verbindung, die unverschlüsselt personenbezogene Daten überträgt, ist ein Sicherheitsrisiko.
Anmeldedaten gehören auch dazu.
Das WLAN ist zwar verschlüsselt, die Verbindung zu homee aber nicht.

Ich bin da teilweise bei dir, es ist in der heutigen Zeit nicht mehr üblich Authentifizierungsdaten ungesichert zu übertragen, dennoch wird das die homees nicht interessieren. Ich glaube leider der einzige Weg geht über einen Featurewunsch.

Ich hätte erwartet das die das von sich aus implementieren aber naja :see_no_evil::wink:

1 „Gefällt mir“

In der Datenschutzerklärung in der homee App wird nicht darauf eingegangen, das lokale Verbindungen unverschlüsselt sind!

Es werden früher oder später alle Browserhersteller HTTP als unsicher einstufen und damit dem normal-Verbraucher abraten reine http-Seiten zu öffnen. Ähnlich wie es bei abgelaufenen Zertifikaten mit HTTPS der Fall ist.
Es kann auch ein Sicherheitsrisiko sein, wenn jemand von Außen anders ins Netz gelangt und somit dein Smarthome-Zugang sniffen und entsprechend z.B. deine Tür öffnet oder Alarm deaktiviert. Grundsätzlich sollten alle möglichen Sicherheitsrisiken ausgeschlossen werden.

1 „Gefällt mir“

Wenn Du ein Zertifikat als Bedingung machst, damit Du lokal über die IP (ohne proxy) auf Deinen homee zugreifen kannst, dann verbaust Du allen den Weg, die homee im lokalen Netz OHNE Internetzugang (nicht standalone) betreiben wollen.

Dem stimme ich absolut nicht zu. Ein Zertifikat verhindert eine rein lokale Verbindung / Verwendung doch nicht, es würde eher dafür sorgen, dass auch diese Leute ihre Authentifizierungsdaten gesichert an den homee senden können.

Und wie soll der homee ohne Internetverbindung an das Zertifikat kommen/es aktualisieren?

das Zertifikat sollte vom homee lokal generiert werden. Sicher würde es aufgrund fehlender Vertrauensstellung eine Zertifikatsfehlermeldung geben, dies ist aber durchaus üblich bei selbst signierten Zertifikaten und stellt keine Hürde dar. Man kann das Zertifikat dann als vertrauenswürdig speichern.

Und optional lets encrypt!

Das geht ohne Internetzugriff aber nicht.

1 „Gefällt mir“

Optional für die, die den Internet Zugriff erlauben!

Spätestens wenn Browser keinen Zugriff mehr auf HTTP-Seiten erlauben, wird sich das Problem von selbst erledigen.

Das läuft auch ohne Internet. Homee sorgt, nach jeden Update einfach selbst dafür, dass das Zertifikat aktuell bleibt. Solang die Zertifikate von einer vertrauenswürdigen CA kommen wird jeder Browser das Zertifikat allein vertrauen. Internet ist dazu nicht nötig.
Das kann sicher für Homee teuer werden, da vertrauenswürdige CAs sich das gut bezahlen lassen. Alternativ könnte man auch eigene Zertifikate hinterlegen, das wäre zumindest etwas für diejenigen, die davon was verstehen und in der http-Kommunikation auf Sicherheit stehen. Würde aber den normal-Anwender im Regen stehen lassen.

Der lokale homee bekommt ohne Internet kein Zertifikat von einer bestimmten CA. Wie auch.
Ein selbst signiertes hilft ja auch nicht wirklich.

Das Browser irgendwann nur noch HTTPS akzeptieren stört ja homee nicht. Über die vorgeschlagene Adresse hat es ja ein Zertifikat und alles andere ist ja mehr oder weniger nicht gewollt oder stört homee nicht.

Für mich ist das alles nur Panikmache. Sorry.
Und wenn ihr eurem internen Netz nicht traut ist das ja nicht homees Problem

6 „Gefällt mir“

Ob ein selbstsigniertes hilft oder nicht…da könnte man sicher eine Grundsatzdiskussion führen. :wink: Die ist hier aber nicht notwendig.

Mein Ziel ist es den Proxy von homee für bestimmte externe IP Adressen zu umgehen aber eben nur über https. Dafür habe ich seit ca 2 Stunden die passende Lösung.

Panikmache sehe ich durchaus wenn man pauschal von einem Sicherheitsproblem spricht. Das Risiko ist wirklich erstmal gering würde ich sagen :wink: Aber auch hier durchaus verschiedene Ansichtspunkte sind möglich.

Dein System oder Browser hat von Haus aus eine ganze Stange an Rootzertifikate die es vertraut. Wenn homee ein Zertifikat von einer vertrauenswürdigen CA verwendet und es nicht abgelaufen ist funktioniert das auch lokal ohne Internet. Es muss dann lediglich durch homee-Updates regelmäßig erneuert werden.
Panikmache ist es nicht. Das Risiko, dass jemand wildfremdes in deinem Netzwerk reinkommt um dann die Zugangsdaten deiner Smarthome-Zentrale auszulesen, ist auch als sehr gering einzustufen. Also kein Grund zur Panik.
Dennoch ist das möglich wenn du den Datenaustausch mit homee nur über http machst. Wenn dann doch jemand genau das tut und ihm das gelingt an Zugangsdaten zu kommen, ist die Auswirkung, je nach Smarthome-Umfang, gering bis sehr hoch. Dem sollte jeder bewusst sein, wenn er homee über den lokale http-Link verwendet.