Du vill kunna sitta på distans och administrera kåken, men du vill inte köra via MCV?phl skrev:
En ssh tunnel är ju rätt säker. Men det är bökigare att sätta upp. Beror ju även på om du kan få din lur att köra detta.
För er som sätter säkerhetsaspekten i första rummet, så tror *jag* att det största problemet för er (det största hålet dvs) är er telefon:- om ni tappar den, och någon fiskar upp den, så kan denne (eller ska jag skriva hen?
) öppna era dörrlås, eller kolla in era kameror osv.Ett annat problem är kompisar osv som har lurar som ni låter kopplas upp mot er wifi, när dom tappar sina lurar, så är det ju lätt att skaffa en mios/fibaro/xx app och öppna dörrarna om dom har fritt tillträde till er wifi.
Den enkla lösningen är naturligtvis att skippa dörrlåsen på zwave, men det kanske inte är en option? (Kör själv med separat system, och har inga betänkligeheter på att köra via mcv). Jag tänker så här; varör skulle jag, som sitter på andra sidan jordklotet bli den första som får problem med detta? Jag är dessutom hyggligt anonym eftersom allena MCV har min enhets serienummer, och möjligen kan koppla denna mot en shipping address (från min upgrade Vera2->Vera3).
Edit: angående att spärra/koppla bort 'ringa hem' funktionalitet o.d. se http://www.byggahus.se/forum/teknik/194092-telldus-eller-z-wave-vad-ska-man-valja-4.html#post1581823
Redigerat:
Okej, då ska jag försöka ge min bild av kontakt mellan VeraLite och Mios. Mios.com är websiten där man skapar ett konto och sedan kan administrera sin Vera-controller.
Vid inkoppling tändes samtliga tre lampor efter ca 2 min (power, net, ready). Är i det här läget naturligtvis ovetande om vilken trafik som skickas från/till VeraLite. Jag har sitter med en Apple Extreme (TimeCapsule) och har inga loggningsmöjligheter i den, men kunde så klart sniffat. Dock ville man ju testa VeraLite, så lite bråttom hade man.
Tar reda på vilket IP som VeraLite har blivit tilldelad från min router. DHCPn fungerade bra trots att jag inte använder det vanliga 192.168.
Jag surfar till VeraLites lokala IP-adress och kommer in utan login. Det verkar inte finnas någon inloggning att ens aktivera. Men klickar runt lite. Går till "Account" där jag snabbt blir informerad om att denna VeraLite redan är kopplad till ett annat administratörskonto. Kollar vidare och ser att det är den välkända svenska site som jag har handlat ifrån.
Skickar ett allvarligt mail där jag belyser att produkten är oanvändbar om jag inte kan skapa egna "users" samt att jag tycker det är kränkande att de faktiskt har full kontroll över min VeraLite! De tog bort sig själva inom ett par timmar och bad om ursäkt. De kopplar alltid upp enheterna för att lägga in senaste mjukvaran innan skeppning. De kommer nu att sluta med detta. I min värld ett ärligt misstag.
Så nu har jag en oreggad VeraLite. Går jag återigen till "Accounts" uppmanas jag att logga in/skapa konto på mios.com. Vill avvakta detta ett tag i undersökningssyfte.
Går istället till cp.mios.com och skapar mig ett konto. Väl inne klickar jag på "MIOS System". Här händer det saker. Uppgifter från min VeraLite dyker upp på mios.com. T ex mitt interna IP. Jag kan då välja att koppla ihop mitt nya konto med min VeraLite. Här slutar mina efterforskningar för tillfället. Men jag kan tänka mig att min browser skannande (något skript) mitt hemma-nät och skickade med uppgifter till siten.
Om jag idag ansluter till cp.mios.com och loggar in med mitt konto kopplat till VeraLite så kommer:
Och sedan har jag full kontroll över min lokala VeraLite.
Två saker står på att göra listan:
1. Göra installationen igen och verkligen sniffa all trafik.
2. Sniffa trafik i bruk.
Någon som är bra på att sniffa? Borde väl inte vara så svårt på en UNIX?
Hoppas att detta hjälper någon! Lite rörigt men bättre än inget ;-)
/J
Vid inkoppling tändes samtliga tre lampor efter ca 2 min (power, net, ready). Är i det här läget naturligtvis ovetande om vilken trafik som skickas från/till VeraLite. Jag har sitter med en Apple Extreme (TimeCapsule) och har inga loggningsmöjligheter i den, men kunde så klart sniffat. Dock ville man ju testa VeraLite, så lite bråttom hade man.
Tar reda på vilket IP som VeraLite har blivit tilldelad från min router. DHCPn fungerade bra trots att jag inte använder det vanliga 192.168.
Jag surfar till VeraLites lokala IP-adress och kommer in utan login. Det verkar inte finnas någon inloggning att ens aktivera. Men klickar runt lite. Går till "Account" där jag snabbt blir informerad om att denna VeraLite redan är kopplad till ett annat administratörskonto. Kollar vidare och ser att det är den välkända svenska site som jag har handlat ifrån.
Skickar ett allvarligt mail där jag belyser att produkten är oanvändbar om jag inte kan skapa egna "users" samt att jag tycker det är kränkande att de faktiskt har full kontroll över min VeraLite! De tog bort sig själva inom ett par timmar och bad om ursäkt. De kopplar alltid upp enheterna för att lägga in senaste mjukvaran innan skeppning. De kommer nu att sluta med detta. I min värld ett ärligt misstag.
Så nu har jag en oreggad VeraLite. Går jag återigen till "Accounts" uppmanas jag att logga in/skapa konto på mios.com. Vill avvakta detta ett tag i undersökningssyfte.
Går istället till cp.mios.com och skapar mig ett konto. Väl inne klickar jag på "MIOS System". Här händer det saker. Uppgifter från min VeraLite dyker upp på mios.com. T ex mitt interna IP. Jag kan då välja att koppla ihop mitt nya konto med min VeraLite. Här slutar mina efterforskningar för tillfället. Men jag kan tänka mig att min browser skannande (något skript) mitt hemma-nät och skickade med uppgifter till siten.
Om jag idag ansluter till cp.mios.com och loggar in med mitt konto kopplat till VeraLite så kommer:
Och sedan har jag full kontroll över min lokala VeraLite.
Två saker står på att göra listan:
1. Göra installationen igen och verkligen sniffa all trafik.
2. Sniffa trafik i bruk.
Någon som är bra på att sniffa? Borde väl inte vara så svårt på en UNIX?
Hoppas att detta hjälper någon! Lite rörigt men bättre än inget ;-)
/J
Redigerat:
Jag sätter datasäkerheten i sista rummet. Mitt argument är att jag inte vill blanda in en felkälla till (som jag dessutom inte har kontroll över). Dessutom är mina erfarenheter av tjänster som skall gå via någon server någonstans i sämsta laget.vespaman skrev:Du vill kunna sitta på distans och administrera kåken, men du vill inte köra via MCV?
En ssh tunnel är ju rätt säker. Men det är bökigare att sätta upp. Beror ju även på om du kan få din lur att köra detta.
För er som sätter säkerhetsaspekten i första rummet, så tror *jag* att det största problemet för er (det största hålet dvs) är er telefon:- om ni tappar den, och någon fiskar upp den, så kan denne (eller ska jag skriva hen?
(Ohhhh vad jag hatar min Logitech Harmony)
vespaman skrev:Du vill kunna sitta på distans och administrera kåken, men du vill inte köra via MCV?
Precis!
Behöver inga SSH-tunnlar för det, räcker ju egetligen med port-forwarding på givna portar från sin publika IP-address där hemma in till Veran. Givetvis ställer det väl till det att Veran med stor säkerhet kör en gammal Linux-dist, gammal webserver, gammal ditt, gammal datt. Den biten kan jag leva med, det jag inte gillar är att mina prylar och min data ska ta vägen om tredje part.
En mycket bra poäng som även täcker in allt annat man har sparat i telefonen. Faktum är att det i mitt fall är lite mer än vad jag borde. Dock är det för mig inga problem att spärra ner alla konton och nät vars credentials finns lagrade i telefonen. Tar i runda slängar några minuter.För er som sätter säkerhetsaspekten i första rummet, så tror *jag* att det största problemet för er (det största hålet dvs) är er telefon:- om ni tappar den, och någon fiskar upp den, så kan denne (eller ska jag skriva hen?
Ingen extern kopplar upp sig till mitt WiFi. Vill någon gäst använda internetuppkopplingen här hemma trådlöst så kopplar de upp sig till annat SSID som ligger på separat VLAN helt skilt från mitt hemmanät.
Att blanda in lås och larm är inte aktuellt för min del då Z-Wave-produkterna tydligt har en annan fokus. Låsföretag kan lås (nåja, ASSA 2000), larmföretag kan larm.
Du behöver ett konto på mios för att tanka in appar. Jmf appstore. Du kör dessa sedan helt lokalt. Vad som händer om man avreggar Veran från mios och har aktiva appar vet jag ej idag. En sak till att testa.phl skrev:
/j
Har förstått att det finns ett http-api man kan anropa.
http://wiki.micasaverde.com/index.php/Luup_Requests
Men skall man verkligen tillåta dessa requests till veran genom brandväggen hemma? Hur säkerställer man accessrättigheter.
http://wiki.micasaverde.com/index.php/Luup_Requests
Men skall man verkligen tillåta dessa requests till veran genom brandväggen hemma? Hur säkerställer man accessrättigheter.
Till Vera är det vanliga att man ska ange sitt login till mios i appen. Dock har jag sett minst två som har "serveradress" som en konfig. Borde fungera med t ex port forwarding.phl skrev:
/J
Jo. Man verkar kunna kicka igång https i veran också om man fipplar lite.
http://forum.micasaverde.com/index.php/topic,528.0.html
mvh
Henrik
http://forum.micasaverde.com/index.php/topic,528.0.html
mvh
Henrik
Frågan är ju om appar kan prata med Veran över HTTPS. Koppligen Vera<->mios.com lär ju ske över någon form av tunnel (typ Veran sätter upp TCP SSL-tunnel). Gränssnittet som appar pratar mot mios.com är HTTP GET och identiskt mot det som Veran tillhandahåller direkt. Dock läggs det till användarnamn + lösenord i URI:n när man kommunicerar mot mios.com
Vad menar du? Går lösenordet i klartext över HTTP till mios.com. Låter ju inte så superbra.
Eller är det GET-parametrar över HTTPS? Isåfall är det ju lugnt.
Men som du säger så lär inte apparna funka direkt mot ens egen lådda över ssl.
Eller är det GET-parametrar över HTTPS? Isåfall är det ju lugnt.
Men som du säger så lär inte apparna funka direkt mot ens egen lådda över ssl.
Det senare så det får väl anses vara lugnt. Login/lösenord läggs inte på som parametrar till GET requesten utan petas in i URL:en. Antar att de valt att göra så för att parametrarna till GET ska se likadana ut oavsett om man kommunicerar med Veran direkt eller mios.comhek skrev:
Nyfniken skrev:
OK, då är jag med! Du kommer nog inte att känna att mios.com är en felkälla, och skulle det av någon anledning trassla (någon avgrävd kabel till internet någonstans e.d.) så påverkar detta inte dig om du kan komma åt ditt nätverk utifrån.
Ohhh vad jag hatar min Logitech Harmony också!