Tinymatic 2.19.7 - Token Authentifizierung in Raspberrymatic nicht löschbar
Verfasst: 31.10.2023, 00:20
Moin allerseits,
bisher war ich in diesem Forum nur lesend aktiv.
Vorweg mein Dank an alle, die dieses Forum aktiv mitgestalten. Es ist für Einsteiger & Anfänger eine hervorragende Quelle. Ich habe meine Fragen immer schon beantwortet gefunden und brauchte deshalb noch nicht zu posten.
Der Aktualität geschuldet werde ich nun doch aktiv.
Die Verbindung von Tinymatic zur CCU war bisher ohne Authentifizierung. Bei der jetzigen Methode mittels Token gibt es nun mehr Sicherheit.
Bei Verlust des Gerätes mit der App vielleicht aber auch eine Neue Sicherheitslücke.
Daher dieser Beitrag:
Meine CCU ist eine Raspberrymatic. (Nachfolgend im Text einfach CCU)
Gestern habe ich die Raspberrymatic aktualisiert auf: 3.71.12.20231020
Die Zusazsoftware wie folgt aktualisiert: CUx Daemon auf 2.11
XML-API auf 2.2
Die Tinymatic auf die Version: 2.19.7(2197000).
Ein Nutzer in der CCU war bereits angelegt, mit diesem Nutzer habe ich in Tinymatic einen Token generiert. (Dazu in Tinymatic HTTPS und in der CCU HTTPS temporär abgeschaltet, wie im Forum “XML-API Addon 2.0“ von „Gryf“ vorgeschlagen)
Der Token wurde erfolgreich generiert, der Zugriff von Tinymatic auf die CCU war hergestellt.
Nun war mir der Nutzername nicht eindeutig genug und das Passwort etwas zu kurz.
Beides habe ich zunächst in der CCU Benutzerverwaltung geändert. Der ursprüngliche Benutzer war somit nicht mehr vorhanden.
Mit Tinymatic war trotzdem noch der Zugriff auf die CCU möglich. Auch beenden und neustarten der App änderte nichts am Zugriff auf die CCU.
Nun habe ich den Nutzer in der CCU Benutzerverwaltung komplett gelöscht. Nun steht nur noch der Admin Zugang zur CCU. Trotzdem ist mit Tinymatic der Zugriff auf die CCU noch möglich.
Erst das Deinstallieren und neu Installieren der App beendete den Zugriff auf die CCU. Obwohl nach der Neuinstallation der App noch die richtige IP Adresse hinterlegt war, gab es kein Zugriff auf die CCU.
Soweit so gut. Nun stellt sich mir die Frage, warum ist das so?
Wie Johann schon geschrieben hatte wird Benutzername und Passwort nach Generierung des Tokens nicht mehr abgefragt. Und verworfen.
Damit ist nun der Zugriff auf die CCU zwar ohne Authentifizierung nicht möglich, aber wenn das Gerät mit der App verloren geht, welche Möglichkeit habe ich dann den Zugang zur CCU zu sperren?
Den Benutzer kann ich in der CCU Benutzerverwaltung löschen, wo aber muss der Token der App gelöscht werden?
Geht das überhaupt in der CCU?
Gruß Michael
bisher war ich in diesem Forum nur lesend aktiv.
Vorweg mein Dank an alle, die dieses Forum aktiv mitgestalten. Es ist für Einsteiger & Anfänger eine hervorragende Quelle. Ich habe meine Fragen immer schon beantwortet gefunden und brauchte deshalb noch nicht zu posten.
Der Aktualität geschuldet werde ich nun doch aktiv.
Die Verbindung von Tinymatic zur CCU war bisher ohne Authentifizierung. Bei der jetzigen Methode mittels Token gibt es nun mehr Sicherheit.
Bei Verlust des Gerätes mit der App vielleicht aber auch eine Neue Sicherheitslücke.
Daher dieser Beitrag:
Meine CCU ist eine Raspberrymatic. (Nachfolgend im Text einfach CCU)
Gestern habe ich die Raspberrymatic aktualisiert auf: 3.71.12.20231020
Die Zusazsoftware wie folgt aktualisiert: CUx Daemon auf 2.11
XML-API auf 2.2
Die Tinymatic auf die Version: 2.19.7(2197000).
Ein Nutzer in der CCU war bereits angelegt, mit diesem Nutzer habe ich in Tinymatic einen Token generiert. (Dazu in Tinymatic HTTPS und in der CCU HTTPS temporär abgeschaltet, wie im Forum “XML-API Addon 2.0“ von „Gryf“ vorgeschlagen)
Der Token wurde erfolgreich generiert, der Zugriff von Tinymatic auf die CCU war hergestellt.
Nun war mir der Nutzername nicht eindeutig genug und das Passwort etwas zu kurz.
Beides habe ich zunächst in der CCU Benutzerverwaltung geändert. Der ursprüngliche Benutzer war somit nicht mehr vorhanden.
Mit Tinymatic war trotzdem noch der Zugriff auf die CCU möglich. Auch beenden und neustarten der App änderte nichts am Zugriff auf die CCU.
Nun habe ich den Nutzer in der CCU Benutzerverwaltung komplett gelöscht. Nun steht nur noch der Admin Zugang zur CCU. Trotzdem ist mit Tinymatic der Zugriff auf die CCU noch möglich.
Erst das Deinstallieren und neu Installieren der App beendete den Zugriff auf die CCU. Obwohl nach der Neuinstallation der App noch die richtige IP Adresse hinterlegt war, gab es kein Zugriff auf die CCU.
Soweit so gut. Nun stellt sich mir die Frage, warum ist das so?
Wie Johann schon geschrieben hatte wird Benutzername und Passwort nach Generierung des Tokens nicht mehr abgefragt. Und verworfen.
Damit ist nun der Zugriff auf die CCU zwar ohne Authentifizierung nicht möglich, aber wenn das Gerät mit der App verloren geht, welche Möglichkeit habe ich dann den Zugang zur CCU zu sperren?
Den Benutzer kann ich in der CCU Benutzerverwaltung löschen, wo aber muss der Token der App gelöscht werden?
Geht das überhaupt in der CCU?
Gruß Michael