letzte Nacht wurde ich ziemlich jäh aus dem Schlaf gerissen. Plötzlich schaltete sich das Sonos ein und spielte in einer Gruppe Radio. Fast alle Bool-Variablen gingen auf „true“. Alle Homematic-Geräte wurden eingeschalten, der Roborock fuhr los. Ausschalten über das Webfront brachte nur kurz und nur zum Teil Ruhe. Erst das neustarten des Symcon-Servers half. In den Logs ist absolut nichts auffälliges zu sehen.
Wenn ich das richtig sehe, dann hat dein „Wohnen“ WebFront kein Kennwort und ist von außen per Connect erreichbar. Ich vermute stark, dass jemand dies gefunden hat und sich einen Scherz erlaubt hat.
Welche Version nutzt du? Seit der 6.2 muss man solch ein passwortloses WebFront explizit freischalten und bestätigen, dass man sich der Gefahr bewusst ist.
paresy
Kleiner Hinweis dazu, ich suche des Öfteren nach offenen IP-Symcon System und bin sehr erschrocken, wieviele man immer noch findet.
Grüße,
Kai
Klingt nach einer lustigen Freizeitbeschäftigung, nach offenen Smart Homes zu suchen und den Poltergeist zu spielen… 
ich dachte immer „wen interessiert denn schon mein IPS“ 
Aber nach dem ich nach dem lesen des anderen Beitrags mit Shodan selbst schnell rumgeschaut habe, hat sich mein „Passwortdenken“ stark verändert. Danke den Antwortenden.
1 „Gefällt mir“
Danke für den Beitrag.
Habe dadurch erst mitbekommen, dass man auf das Webfront direkt über IPS auch außerhalb des eigenen Netzwerkes zugreifen kann…
Muss daher nicht mehr umständlich mit VPN hantieren.
1 „Gefällt mir“
ich erinnere mich an die Zeit, wo man per Google die Smarthomes von einem bestimmten Hersteller gefunden hat und direkt drauf zugreifen konnte
Danke fürs Auffrischen des Bewusstseins an dieser Ecke!
Aber: Nachdem das IPS schon sehr lange läuft und immer nur Update erfahren hat, weiss ich nicht mehr, wo die Einstellungen hierfür sind. Ich kann mich vage erinnern, dass da mal ein Einstellungsfenster mit Passwörtern war. Aber ich finde es nicht mehr. Kann mir da wer auf die Sprünge helfen, wo ich die Sicherheit nach extern prüfen kann?
LG
Jörg
Mein Vorschlag an @paresy wäre, dass das Widget „Sicherheit“ standardmäßig mit eingeblendet wird.
1 „Gefällt mir“
Dankeschön!
An der Stelle habe ich natürlich nicht nachgeschaut…
Bei dem Thema fasziniert mich am meisten, wie man denn die einzelnen Systeme findet? Ich möchte weder eine Anleitung dazu noch Details, aber interessehalber was muss man da grob gesagt tun?
Steht weiter oben → Shodan ist eine nette Suchmaschine dafür. Wie Google&Co die Connect Adressen herausfinden ist mir aber schon ein Rätsel. Wie dem auch sei: Sicherheit gibt es nur, wenn ein Kennwort erfordert wird. Security by Obscurity ist nicht besonders gut und deshalb darf man sich nie auf diese lange Connect URL verlassen. Google wird Sie finden.
paresy
Es ist ja erschreckend, wie viele Symcon-Webfronts ohne Passwort im Netz sind und wie leicht sie (und auch die mit Passwort geschützten) auffindbar sind!!!
Insgesamt wäre mir trotz Passwort daher wohler, wenn es eine 2FA geben würde, wie schon an diversen anderen Stellen immer mal wieder angeregt. Das wäre ein guter Anlass, dies wirklich ernst und in Angriff zu nehmen.
Viele Grüße!
In meinen Augen hat das Team da mit dem Zwangspasswort schon eine gute Lösung gefunden, denn jetzt muss es ja explizit bestätigt werden, wenn man kein Passwort haben möchte.
Grüße,
Kai
Ich stimme Dir grundsätzlich zu, Kai, aber auch wenn ein Passwort gesetzt ist (was natürlich der Fall ist) würde ich mich wohler fühlen, zusätzliche Sicherheitsoptionen zur Verfügung zu haben. Entweder 2FA oder z.B. die Möglichkeit vorzusehen, nach einer bestimmten Anzahl nicht erfolgreicher Login-Versuche eine vom Benutzer wieder aufhebbare Login-Sperre setzen zu können, oder Ähnliches. Als Option könnten es zumindest diejenigen nutzen, die es möchten, und state of the art ist es doch inzwischen ebenfalls bei Login-Seiten, die öffentlich zugänglich sind…
Ich kann als IT-Laie nicht einschätzen, mit welchem Aufwand dies verbunden wäre, aber da es ja eine Reihe unterschiedlicher Möglichkeiten gibt, müsste doch jedenfalls eine davon umsetzbar sein?!?
Viele Grüße…
Ich habe gerade in der Doku beim Fernzugriff folgendes gelesen:
Bei zu vielen fehlerhaften Passworteingaben wird das Prüfen von Kennwörtern erst verlangsamt und später vollkommen deaktiviert.
Wenn das grundsätzlich der Fall ist und es keine Umgehungsmöglichkeiten gibt, ist das ja schon ein ganzes Stück von dem, was ich anregen wollte. Ich habe allerdings keine Ahnung, was „zu viele“ und was „verlangsamt“ konkret bedeutet. Wäre es möglich, vorzusehen, dass man Einstellungen in diesem Zusammenhang (Login-Versuche, Verzögerung, etc.) selbst festlegen kann?
Kannst du selbst festlegen, unter den Spezialschalteren.
Dort stehen auch die Default Werte.
Michael
Vielen Dank, Michael.
Wenn man das oder Ähnliches auch für den/die Webfront-Zugriff(e) über Connect vorsehen könnte, wäre es prima…