Neuer Blogbeitrag: Monatsrückblick - Dezember 2025 🎄

David G.

@homoran sagte in Diskussion zu Portweiterleitungen:

Und sollte dann durch einen Anwenderfehler eine Sicherheitslücke entstehen, glaubt sich der Anwender sicher, ist es aber nicht, und der Adapterprogrammierer ist "schuld"
Diese Verantwortung können wir nicht übernehmen

Das stimmt natürlich.
Kann auch das Gefühl einer falschen Sicherheit geben.

MichMein

@da_woody sagte in Diskussion zu Portweiterleitungen:

... klar, aber wenn mir eine linux distri beim installieren schon erklärt, daß 7 zeichen zu wenig sind, weils 8 sein müssen, ist bei mir der ofen aus... ;)

OT - geht es dabei NUR um eine Linux Distribution oder um allgemeine Passwortvorgaben? Zum allgemeinen, das ist doch mittlerweile fast Standard das der Inhalt eines Passworts vorgegeben ist. Und wie viele sicherlich wissen ist das aus gutem Grund so.

da_Woody

@michmein nein, das ist mir nur auf grund von ioB jetzt eingefallen. es geht ums allgemeine.
tut mir leid, aber wenn wer zu dämlich ist sich abzusichern, ist das nicht mein problem. es ist rein mein problem, mit welchem PW ich mich absichere. ich bekomm auch einen dicken hals, wenn mir jemand dann auch noch mit 2FA daherkommt.
ok, es kann vorgeschlagen werden (1x), wenn ich das aber ablehne, will ich nicht dauernd damit belästigt werden.

klassisch

@homoran sagte in Diskussion zu Portweiterleitungen:

Als Anhaltspunkt kann der Check über Heise wie er im anderen Thread gepostet wurde dienen.
(Hab den Link gerade nicht zur Hand)

Der da?
https://forum.iobroker.net/post/196447

Homoran

@klassisch sagte in Diskussion zu Portweiterleitungen:

Der da?

Danke!

aber ich meinte den Link in deinem Link ;-)

BananaJoe

@david-g Finde ich nicht gut. Dann sagt der Adapter "alles grün" und dann wird gemeckert weil dem doch nicht so war.
finde ich sehr gefährlich.

Wenn im Router (FritzBox & Co) nichts weitergeleitet ist, ist das System erst einmal gegen Angriffe von außen sicher (bis jemand etwas im Inneren startet oder klickt).
Jetzt kannst du bei 1.000 und einem Router erklären wie man dort sieht ob es eine (ggf. automatische) Portfreigabe gibt.

Man könnte - von innen - testen welche Ports von außen erreichbar sind. 08/15 Router die zu Hause üblich sind lassen den Zugriff von Innen über Außen nach Innen zu.

Negalein

@da_woody sagte in Diskussion zu Portweiterleitungen:

aber wenn mir eine linux distri beim installieren schon erklärt, daß 7 zeichen zu wenig sind, weils 8 sein müssen, ist bei mir der ofen aus

doch, das finde ich sehr vernünftig! :)

Passwörter umso länger, umso besser
Mein WLAN Passswort hat zB 64 Zeichen :grin:

Matis

Ich hab da mal eine andere Frage zum Thema Sicherheit und Darstellung nach aussen:

Ich möchte einen View in eine frei zugängliche Seite für andere einbinden. Dazu kann man eine eigene web Instanz installieren, dort einen eigenen User als default verwenden und diesen so weit geht beschränken. Schön und gut, nur wer die Syntax kennt kann sich den vis Editor und flot zumindest anzeigen oder andere views aufrufen.

Wäre es da nicht sinnvoll eine vis/web Instanz zu haben, mit definierbaren Rechten, die keinen editor oder flot sehen kann und nur die views, die ausgewählt wurden?
Es geht nicht alles über die viel propagierte VPN Verbindung und wenn man eine beschränkte Instanz hätte, die über reverse proxy erreichbar ist, nur bestimmte views sehen kann und nur lesen oder vielleicht einen Schalter bedienen, wäre das möglich.

Oder geht das heute bereits auf einem Weg, den ich noch nicht gefunden habe?

da_Woody

@negalein als mündiger mensch sollte das aber schon mir überlassen bleiben... ;)

Mein WLAN Passswort hat zB 64 Zeichen

und klebt aufgeschrieben auf einem postit unter der tastatur.

klassisch

Ernstgemeite Frage: Ist dieses Thema (mittlerweile) ein ioBroker spezifisches Thema? Ich ordne das dem Router zu, in meinem Fall einer Fritte. Die hat keine Portweiterleitung nach aussen, myFritz und Clouds nutze ich nicht, sollte also alles safe sein.
Oder gibt es mittlerweile ioBroker Adapter oder Dienste, die das Thema für ioBroker aktuell machen?

OliverIO

Es ist sehr aufwändig seine software so sicher zu machen das sie frontal vom Internet aus erreicht werden kann. Auch die Sicherheit nur von der passwortlänge fest zu machen ist zu kurz gedacht solange es für die zugrundeliegende Sprache oder Betriebssystem immer wieder neue sicherheitslücken gibt.
Iobroker ist keine software welche ich offen ins Internet stellen würde. Auch Reverse Proxy ist nicht wirklich eine Lösung.
https://www.cvedetails.com/product/30764/Nodejs-Node.js.html?vendor_id=12113

Nur VPN wäre eine annehmbare Lösung oder ein zwischenprovider. Aber dann muss ich mich auf die Sicherheit dieser auch verlassen können

BananaJoe

@matis du könntest einen "Webseitenscreenshot" regelmäßig machen (oder getriggert bei änderungen), das Bild an einem ungefährlichen Ort hochladen und anzeigen lassen :-)
Es gibt es sogar einen Adapter dafür: https://github.com/ioBroker/ioBroker.phantomjs

DAS würde ich für sicher genug halten. Dann hat man aber eben Null Interaktivität.
Oder deine Webseite müsste auswerten wo auf dem Bild hingeklickt wurde und das an den ioBroker zurückmelden, deine View steuerst du dann halt per Script. Ob diese Art von Webseite beim Screenshot dann eine Instance-ID hat?

Du könntest zwar - z.B. per Reverse Proxy - URLs filtern bzw. z.B. das Vorkommen von bestimmten Text in der URL. Aber das wäre ein Wettrennen das du nicht machen möchtest.

Homoran

@klassisch sagte in Diskussion zu Portweiterleitungen:

Ist dieses Thema (mittlerweile) ein ioBroker spezifisches Thema?

Eigentlich nicht.

Aber wenn man von unterwegs zugreifen will und zu geizig ist die iobroker cloud zu nutzen und nicht weiss wie man VPN aufsetzt, dann kommen diese YT Videos, in denen gezeigt wird wie man eine Portweiterleitung einrichtet.

Der Teil mit der Absicherung wird entweder gar nicht gezeigt oder nicht verstanden und deshalb nicht umgesetzt

Matis

@homoran ... das hat mit geizig nichts zu tun und nur unsachlich. Manche Dinge gehen eben weder mit VPN noch mit der Cloud.

Homoran

@matis sagte in Diskussion zu Portweiterleitungen:

@homoran ... das hat mit geizig nichts zu tun und nur unsachlich. Manche Dinge gehen eben weder mit VPN noch mit der Cloud.

dann hast du nicht gelesen!

ich hatte das wenn extra fett geschrieben

klassisch

@homoran sagte in Diskussion zu Portweiterleitungen:

Eigentlich nicht.

Dann bin ich erst mal beruhigt. Hätte ja sein können, daß da was an mir vorbeigegangen ist.

dann kommen diese YT Videos, in denen gezeigt wird wie man eine Portweiterleitung einrichtet.

Gut, daß ich die nicht kenne. Die Gnade der Unifomiertheit oder so :-)
VPN nutzte ich schon bevor die Fritte das unterstützte. Damals via openVPN auf einer NSLU2. Das war damals ein Gefrickel.

Dr. Bakterius

@matis sagte in Diskussion zu Portweiterleitungen:

Manche Dinge gehen eben weder mit VPN

Welche zum Beispiel?

Negalein

@da_woody sagte in Diskussion zu Portweiterleitungen:

und klebt aufgeschrieben auf einem postit unter der tastatur

Nööööö, aber wenn man weiß, wie es sich zusammensetzt ist es ein sehr einfaches.
Nur weiß es keiner ausser mir! :joy:

lobomau

Hier ein Tipp für die Proxmox User.
Habe nach der super Anleitung seit gestern Reverse Proxy im Einsatz und konnte somit einige offene Ports schließen ;-)
Geht relativ schnell die Installation (45min. komplett). Die Befehle hat er für copy & paste zur Verfügung gestellt :+1:

https://www.youtube.com/watch?v=nmf_nSkYAuk
https://www.youtube.com/watch?v=nkHsclQWKqw

Der neue nginx-Container verbraucht kaum was extra:

Meister Mopper

@lobomau sagte in Diskussion zu Portweiterleitungen:

und konnte somit einige offene Ports schließen

Welche ports hast Du denn mit Hilfe dieser Videos schließen können?