IoBroker.cloud wurde von Suchmaschinen kompromittiert.
-
Wegen eine nicht geschlossene (von mir) Sicherheitslücke wurden die Cloud Account Daten von Suchmaschinen aufgefunden.
Momentan habe ich die Lücke geschlossen und alle Accounts gelöscht. Cloud läuft wieder und man muss sich neu registrieren.
Bitte weiterhin nur die Kennworte benutzen, die speziell für den Cloud erschaffen sind.
Falls jemand die Kennworte benutzt hat, die identisch mit irgend einen anderem Account sind, müssen die geändert werden.
Die Datei ist gestern um 19:03:11 von baidu gelesen wurde.
Ich weiß, dass es die normale Leute verunsichert den cloud später zu nutzen, aber aktuelle Aufbau ist sowieso "Proof of concept" gewesen. Und hat sich wohl von guter Seite gezeigt, was die Technik angeht.
Mir ist aber die Sicherheit wichtiger, als alles anderes.
Jetzt muss das Projekt weiter entwickelt werden. Mit richtigen DB dahinten, SHA256 Verschlüsselung und UserManagement mit google und facebook.
Wegen Serverumzug habe ich momentan keine Zeit, um das Thema zu verbessern und schiebe das Thema auf August.
Ich will sagen, dass die Kommunikation weiter hin verschlüsselt ist und keine ohne Berechtigung von außen auf vis zugreifen kann.
Es wird weiterhin unter
"This is absolutely alfa version! All your account data will be many times deleted and no WARRANTY!"
laufen bis ich nicht die Umbau abschließe.
-
Habe jetzt doch die Zeit gefunden und folgendes umgeschrieben:
-
Alle user Daten (name, password hash, app id) werden in SQL DB gespeichert.
-
Für SQL Server ist ein extra user angelegt, der nur eine Datenbank lesen/schreiben darf.
-
Für Kennworte werden SHA256 mit einem 512 bit secret (um Hash zu erstellen)
-
Für APP-IDs werden UUID V1 verwendet. Und mit username gekoppelt.
Es wird aber später noch mal alles überarbeitet um admin Zugang zu ermöglichen. D.h. es kann sein, dass die accounts noch mal gelöscht werden.
Dies mal aber nicht wegen Sicherheitsproblem, sondern wegen Umstrukturierung. Es wird nach der Umstrukturierung nur möglich mit richtiger email Adresse sich anzumelden.
-
-
Moin Bluefox,
danke für die Info und das "dicht machen".
Besser so, als seltsame Externe auf seinem Vis zu haben. [emoji106]
Gruß,
Eric
-
Ich danke auch, für die Meldung und die Offenheit! So funktioniert richtig gute Software! 8-) Zumal der Alfastatus kommuniziert worden ist.
