Symcon Connect - Funktionen einschränken

ErikB · 17. September 2022 um 07:30

Hallo,

eigentlich brauche ich kein Symcon Connect.
Allerdings seit IFTTT die Funktionen für Google Assistant stark eingeschränkt hat bin ich auf das Symcon Modul gewechselt was ja Symcon Connect benötigt.
So weit klappt alles, aber jetzt sind natürlich meine Webfronts über das Internet erreichbar.

Was möchte ich aber nicht!

Kann man nicht eine Option einbauen bei der Google/Alexa funktioniert aber es keinen Zugriff auf die Webfronts gibt?

Ich hatte einen Thread hier gefunden bei dem das gleiche gefordert wurde (finde ihn leider gerade nicht).
Die Lösung war ein Passwort für die Webfronts zu vergeben.
Na super…
Klar kann man machen, aber was nicht da ist kann nicht angegriffen werden.

PS
Ich wollte das Thema eigentlich in „Funktionswünsche“ erstellen. Ging aber nicht.
Ist es normal das ich in einigen Unterforen kein Thema erstellen kann?

Viele Grüße
Erik

Nall-chan · 17. September 2022 um 08:01

Wenn kein Passwort vergeben ist, ist auch kein Zugriff auf das WebFront von außen möglich.

In der Hauptkategorie Funktionswünsche kann man kein Thema erstellen, nur in den dazugehörigen Unterkategorien.
Michael

ErikB · 17. September 2022 um 09:02

Das bringt mich zu einen anderen Problem was ich bis jetzt einfach umgehen konnte.
Ich nutze einen reverse proxy (IIS) für den Zugriff von außen.
Wenn ich über diesen zugreife erkennt Symcon immer einen Zugriff von außen und will das Passwort für das Webfront.
Ich habe schon alles versucht mit dem X-FORWARDED-FOR aber entweder fehlt es mir dann auch für andere Dinge die der reverse proxy macht oder er hängt immer die öffentliche IP an was Symcon wohl dazu bringt das als externen Zugriff zu erkennen
z.B. X-FORWARDED-FOR: 192.168.0.2, 80.187.64.149:7664

Und deswegen nginx einzusetzen ist mir zuviel Aufwand da viele andere Dinge noch betroffen sind.

Kann man an der Stelle etwas tun?

Viele Grüße
Erik

ErikB · 21. September 2022 um 15:36

@paresy
Wie genau erkennt ihr ob der Zugriff von außen kommt?

Reicht es das eine öffentliche IP irgendwo im X-FORWARDED-FOR steht (Client oder Proxy) damit Symcon das als externen Zugriff sieht?
Wäre es denkbar das konfigurierbar zu machen damit „X-FORWARDED-FOR: 192.168.0.2, 80.187.64.149:7664“ auch als lokaler Zugriff erkannt wird?

Viele Grüße
Erik

paresy · 21. September 2022 um 15:37

Genau so.

Definitiv nicht, da Header spoofbar sind und das somit eine wundervolle Sicherheitslücke darstellen würde. ;

paresy

tobiasr · 20. Oktober 2022 um 15:26

Ich sehe hier aber auch einen Handlungsbedarf. Ich würde ebenso gerne Symcon absichern gegen Zugriff von direkt außen (Connect-Dienst), aber hinter meinem Reverse!!Proxy selbst entscheiden. Also eine Art ‚Anfragen über Proxyserver IP xyz vertrauen‘ fände ich schon gut.
Hier muss ich natürlich selber entscheiden, diesen Haken auch zu setzen.