Neuer ioBroker-Blog online: Monatsrückblick März/April 2026

OliverIO

@Xsev
Ich gehe mal davon aus, dass es hier um Sicherheit geht und der Mitbewohner NUR diese eine Seite sehen darf.

Über ein separates Projekt würde es zwar gehen, das er auf einer Seite nur die Informationen sieht, die für ihn bestimmt sind. Allerdings kann er ja jederzeit die URL des anderen Projekts eintippen und kommt dann auf alle anderen Informationen oder gar Steuerungen.

Sicherheit ist leider immer etwas aufwändiger, da sie ja sonst einfach überwunden werden kann. Auch sind deine ganzen aufgezählten Maßnahmen, die dir wohl schon zu aufwändig sind alles nur Hürden, die mit entsprechend Aufwand und Kenntnissen ebenfalls überwunden werden kann.

• Sperre per MAC mit Arp-Spoofing und dann eine zugelassene MAC dem Gerät zuweisen.
• PIN-Abfrage mit Bruteforce (4stellig? sind dann ja nur 10000 Möglichkeiten, mit Skript wahrscheinlich eine Frage von max einer halben Stunde
• Benutzerverwerwaltung per Node Library -> hoffentlich nicht von einer der vielen Sicherheitslücken in Node betroffen
  etc.etc.

Für dich ist die MAC-Variante wahrscheinlich die am wenigsten aufwändige und für den Benutzer am wenigsten nervend. aber ja, man muss was lesen und man kann nicht nur klicken.

Xsev

@OliverIO
Da gebe ich dir natürlich völlig recht wenn es um die Sicherheit geht. Da hilft die 2. Vis nicht sehr viel.
Wobei die Url ja letztendlich vom Projektnamen abhängt und man damit die Sache schon erschweren kann denke ich. Also ich mein wenn man dann die Url nicht wirklich weiß wird es mit erraten schon relativ schwierig bei einem alphanumerischen Namen z.B.
Aber klar, richtig sicher, wie mit deinen Beispielen ist ganz was anderes...

OliverIO

@Xsev
für die Abfrage der Projekte gibt es sicherlich im ioBroker eine API. Vis fragt diese ja auch ab und zeigt die Auswahl dann an

arteck

ähhhhh schon mal was von Benutzerverwaltung gehört..

Login fertig ..

Xsev

@arteck
Er schrieb ja ohne Pinabfrage oder sonstiges.

arteck

@Xsev geht auch .. ok zur Zeit is es buggy.. 2 web adapter der eine geht nur mit Admin der andere an abderen Port nur der Benutzer

Wildbill

@Xsev sagte in Möglichkeit für Gastzugang gesucht!!!:

@OliverIO
Da gebe ich dir natürlich völlig recht wenn es um die Sicherheit geht. Da hilft die 2. Vis nicht sehr viel.
Wobei die Url ja letztendlich vom Projektnamen abhängt und man damit die Sache schon erschweren kann denke ich. Also ich mein wenn man dann die Url nicht wirklich weiß wird es mit erraten schon relativ schwierig bei einem alphanumerischen Namen z.B.
Aber klar, richtig sicher, wie mit deinen Beispielen ist ganz was anderes...

Würde sagen, das Erraten einer URL die aus irgendwelchen alphanumerischen Zeichen besteht entspricht ungefähr genau dem Erraten eines Passwortes, welches einen Bereich schützt.

Wenn ich die VIS, die der Mitbewohner nicht sehen soll Wohnzimmer nenne, wird er es nicht schwer haben, wenn die VIS aber qew256fgsio heisst, dann scheint mir das ziemlich genauso sicher, als wenn ich es mit Passwort schütze.

SOmit wäre das von @Xsev geschrieben für mich die korrekte Antwort, die der @OliverIO anstrebt. VIS-Zugang einschrönken ohne PIN oder Passwort.

Gruss, Jürgen

OliverIO

@Wildbill

man muss nichts erraten. vis sagt dem client das freiwillig.
wenn du im browser einfach nur:

http://<ip des servers>:8082/vis/edit.html

eingibst, dann hast du ohne zugriffskontrolle zugriff auf alle projekte und alles views

ihr könnt gerne mal nach "security by obscurity" googlen und mal nachschauen was man im internet davon hält.
wie ich aber schon oben geschrieben habe, müssen die schutzmaßnahmen nur so hoch sein, wie es das zu schützende objekt wert ist. wen man nicht davon ausgeht, das jemand mal danach googelt, was man mit iobroker so machen kann oder zu wenig computerkenntnisse da sind, dann gehen auch so einfache "schutzmaßnahmen". man darf sich aber nicht wundern, wenn dann doch etwas passiert.

eine zufällig gewählte url (in diesem fall meinst du sicherlich ein zufällig gewählten namen für das projekt und die view, da die einrichtung eines reverse proxy ja noch komplexer ist) ist dann ungefähr so wie wenn man die tür zwar abschließt, den schlüssel dann unter die fußmatte legt.

Wildbill

@OliverIO
OK, das lasse ich gelten.
Dann bleibt wohl nur, das irgendwie mit der Benutzerkontensteuerung von iobroker zu machen. Wie, keine Ahnung. Brauchte ich bislang nicht. Bei mir gucken da aber nur meine Frau und meine Mutter (wohnt mit im Haus) auf Tablets, und ab und an der Hund. Die dürfen das.
Wenn das mit der Benutzersteuerung nicht geht, wäre es ja evtl. auch möglich, einen Slave-iobroker aufzusetzen, auf dem nur die entsprechende VIS laufen zu lassen und für den Mitbewohner nur Zugriff auf diese IP erlauben bzw. eben den Zugriff auf den Master blocken.

Gruss, Jürgen

Xsev

Wobei man sagen muss, sobald der Admin bereich geschützt ist, wäre der Editor vermutlich safe. Gehe ich mal von aus ohne es getestet zu haben...

Somit käme der Mitbewohner wieder ohne Passwort auf seine View, könnte aber die Projekte nicht auslesen. Das nur so ein Gedanke von mir, allerdings muss dann natürlich der Admin mit einem Passwort arbeiten aber auch nur in den Konfigurationsseiten und nicht in seiner geheimen View.

Den Admin Bereich würde ich Minimum mit PW versehen wenn andere noch im selben Netz hängen, nicht weil ich jemanden etwas unterstellen möchte aber da einfach Klarheit herrschen sollte.

Gerne berichtigen wenn ich falsch liege.

Basti97

Kann man nicht die vis Editor Seite mit einem Passwort sichern wie die Admin Seite. Aber die eigentliche Bis ohne Passwort. So etwas wäre super.