Forum Tiny Control Solution LanKontroler - sprzęt i wersje wsadów, problemy, zastosowanie LanKontroler V3.5 v
LK3.5-NOWY SOFT - KOLEJNE WERSJE

Ocena wątku:
  • 0 głosów - średnia: 0
  • 1
  • 2
  • 3
  • 4
  • 5
Tryb normalny
LK3.5-NOWY SOFT - KOLEJNE WERSJE
stAch Offline
Senior Member
****
Liczba postów: 285
Liczba wątków: 22
Dołączył: Nov 2013
Reputacja: 3
#254
03-08-2021, 05:13 PM (Ten post był ostatnio modyfikowany: 03-08-2021, 06:36 PM przez stAch. Powód edycji: przeklete nowe linie )
(03-07-2021, 02:36 PM)wilkxt napisał(a): 1.Tak, soft pójdzie w kierunku jak 1.37b
2. Pomyślimy nad opcją miesiecznego czy rocznego cyklu
3. Chodzi o zablokowanie możliwości wykonania jakichkolwiek komend z uzyciem apiLk i adresu przeglądarki przez usera?
dokładnie tak tylko odczyt stanów.

Wystawiasz LK na świat na jakiejś stronie ww z komunikacja clientside by pokazać jakie są warunki meteo (t h p) i już dajesz tym samym dostęp do całej reszty.
Jeśli komunikacja z LK była by po serwerside jest nieco trudniej w teorii nie widać hasła, ale można spreparować stronę i zmusić ją do wysłania własnej komendy zmieniając lub dodając zawartość do interaktywnego elementu strony.
Zatem wystarczy jeden guzik który wykonuje post lub get i przesyła jakąś informację bezpośrednio do LK tym samym pobiera dane do logowania które nie są wiadome i ponownie mamy dostęp do całej reszty. Nawet jeśli strona używa ssh

Udowodniłem to kilka dni temu jednej osobie która ma cały budynek sterowany minn przez LK i dedykowaną stronę PHP online na której dostęp do zmiany ustawień wg twórcy ww strony uzyska się wyłącznie po zalogowaniu.
wystarczy doklejona jedna komenda do dowolnej operacji na stm.cgi &auth=01YWRtaW4=*YWRtaW4=*dXNlcg==*dXNlcg==  i cały dom mój, tak więc mogłem minn otwierać mu zdalnie bramę wjazdową garaże oraz każde ustrojstwo na dowolnym LK bo wszystkie miały już standardową autoryzacje.

Sama zmiany stanu wyjść nie jest nie bezpieczna (widać skutek lub sheduler zadanie dokona korekty) ale co się stanie jak zmienimy np ustawienia zadań lub składni dif
pewne wartości nie powinny być dostępne dla userow nie będących administratorami chyba ze użytkownik wyraża zgodę na istniejące ryzyko
Zatem jeśli włączamy uwierzytelnianie to dostęp domyślny do nich powinien być zablokowany do poziomu strony www jako administrator lub komend httpApi i haseł admina (cały stm.cgi może z wyjątkiem vOLED)
  • user:user mieć dostęp wyłącznie do odczytu oraz vOLED
  • custom:custom do wybranych opcji np wyjec,pwm, zmiany nazw oraz odczytow
  • dostep dla sheduller watchdog network time email itd dostępne tylko dla admina

pozwoliło by to na rozdzielenie zasad bezpieczeństwa w podstawowym poziomie
e-chata.hyzne.com | LK1 - sterowniki akwarystyki | LK2 - sterowniki ihome | LK3 - niezliczone ilości wersji/nakładek na farmach PV i nie tylko | LK4 - testy bezprzewodowe
Szukaj
Odpowiedz


Wiadomości w tym wątku

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości