UPDATE 31.10.: Amazon Alexa - ioBroker Skill läuft aus ?

Curtis777

@bfit danke dir habe ich bereits gewusst...
Ich hab's jetzt bereits Mal Testweise eingebunden in eine Test WordPress Seite...
Hänge derzeit aber beim Problem 2 möchte andere Werte aus dem Iobroker zusätzlich in einer Tabelle (ebenfalls im WordPress) zusammenfassen...

Hab allerdings keinen Tau von JQuery....

Codierknecht

@curtis777 sagte in Darstellung mit Grafana:

da ich das ganze extern betrachten möchte...
will von unterwegs manche Sachen im Auge behalten

Das heißt, Du hast da einen Port auf einen lokalen Webserver offen?

Curtis777

@codierknecht ja über einen Proxy nach aussen.

OliverIO

@curtis777 sagte in Darstellung mit Grafana:

ja über einen Proxy nach aussen

oh man
reverse proxy ist zwar immer noch besser wie direkt den port offen, aber sicher bist du dabei nicht.
wenn jemand eine sicherheitslücke von node oder iobroker ausnützt dann bist du fällig.
entweder zugriff per vpn oder du sendest die daten regelmäßig auf einen webspace
oder mit dem telegram adapter in deinen privaten raum

Curtis777

@oliverio achso meinst du das....

Nein natürlich kommt niemand von aussen an den Iobroker.... Der ist dicht....

Codierknecht

@curtis777
Denkst Du!

@oliverio sagte in Darstellung mit Grafana:

wenn jemand eine sicherheitslücke von node oder iobroker ausnützt dann bist du fällig.

OliverIO

@curtis777
bei dieser gelegenheit poste ich immer wieder mal gerne die aktuellen cve s zu node
für diejenigen die glauben das node überhaupt kein problem hat
nicht alle dieser cve s betreffen aktuelle versionen und nicht alle können im aktuellen node szenario des iobrokers auch tatsächlich ausgenutzt werden
bei denen mit dem höchsten score steht nicht mal dran wie man die ausnützt, da die aktuell erst noch gefixt werden und sonst die gefahr zu groß wäre

CVE NodeJS

Curtis777

@codierknecht ich wüsste nicht wo es hier Probleme geben soll wenn man alles per Proxy und Passwort usw usw gesperrt hat...
Ich komm sogar mit ein paar Kniffe von aussen an meinen Server per SSH und fühle mich sicher.

OliverIO

@curtis777
Woher weißt du das du alles, wirklich alle Möglichkeiten gesperrt hast?
Du denkst in vorgefertigten denkbaren.
Hacker denken daran vorbei.

Die von mir gepustete cve Liste sind nur die aktuell bekannten Fehler.
Aber man ist sich sicher das es auch noch weitere gibt, die ggfs heute, aber evtl dann erst ab morgen ausgenutzt werden.

Und das sind nur die von Node. Die Fehler die sich ggfs in Iobroker in der Authentifizierung befinden sind da nicht enthalten.

Ihr könntet ja mal offiziell Iobroker anfragen ob da eine Garantie gegeben wird?

Aber wir sind hier nicht die Richter die irgend jemanden etwas verbieten möchten. Nur mut. Probiert es. Evtl geht es gut
Andernfalls wäre es nett bei einem Vorfall die anderen hier teilhaben zu lassen, damit das verbessert werden kann.

Codierknecht

@curtis777
Ich bin Softwareentwickler, also gehöre ich schon rein traditionell zur „security sucks“ Fraktion. Ist nämlich extrem hinderlich und zum Teil echt richtig aufwändig, Software abzusichern bzw. mit abgesicherten Systemen zu arbeiten.
Aber was nach außen offen ist, wird auch von außen angegriffen. Früher oder später. Das ist so sicher wie das Amen in der Kirche.
Toi toi toi …