iobroker Umgang mit Passwörtern
-
@apollon77 @Bluefox
Niemand eine Meinung dazu? -
Klar gibt es eine Meinung dazu.
Wir haben das schon vor längerem Diskutiert, da sind wir übereingekommen das Passwörter nicht im Klartext gespeichert werden sollten.
Die damalige Meinung war das es zumindest ein minimum an schutz geben muss, aber das auch das System selbst gesichert werden sollte.
Immerhin ist es Wahrscheinlich das ein Angreifer der soweit gekommen ist auch ohne die Passwörter schon viel machen kann.Allein über den Admin von ioBroker lassen sich viele Sachen steuern und teilweise die Konfiguration der Geräte ändern. Daher sollte der auch geschützt werden.
Passwort Verschlüsselung:
Es gibt einen Masterkey für die Verschlüsselung der wird bei der Installation von ioBroker generiert.
Der Key der direkt im Code steht ist ein Fallback aus der Zeit als ioBroker noch keinen Masterkey erzeugt hat.Leider gibt es noch viele Adapter die aus der Zeit davor sind.
-
Danke für die Rückmeldung.
Also kann man als User nur versuchen issues anzulegen und auf den dev des Adapters hoffen. Und weiterhingehend auf die Eingliederung in community Adapter um auch verwaiste Adapter auf aktuellen Stand zu bringen. -
@e-s issues dazu an zu legen ist auf jedenfall gut.
Sonst sollte man sein system so gut es geht absichern. Das fängt beim Netzwerk an geht über das Betriebssytem bis zu ioBroker. -
@e-s Hi,
Also erst einmal: 15h .... Über Nacht ... für ne Antwort auf ein Forum Post. Bitte mal schöööööön langsam!
Effektiv hat JeyCee die Antwort fast korrekt gegeben. Der fallback key ist für iobroker Installationen aus der Zeit wo sie noch keinen automatisch erzeugten key hatten. Gilt also für sehr viele Jahre alte Installationen.
Hat mit dem Adapter Nichts zu tun.Bei neuen Adaptern ist die passwort Verschlüsselung quasi Pflicht weil ich das im Rahmen des „kommt uns Repo check“ prüfe und wir so sicherstellen.
Also falls es Adapter ohne Passwort Verschlüsselung gibt issues anlegen das der dB es fixen kann.
-
Hallo allerseits,
ich habe einen Adapter, der wie so viele andere Adapter auch, die Zugangsdaten für einen Service benötigt. Die Zugangsdaten speichere ich im Admin Bereich des Adapters.
Ich habe diese nach den Ideen hier https://herwig.de/anleitungen/smarthome/iobroker/adapter-entwicklung-faq.html#passwort-verschlusselt-speichern verschlüsselt.
War das eine gute Idee? Oder gibt es da was besseres bzw. ein ioBroker-state-of-the-art Vorgehen?Danke im Voraus für eure Meinung dazu und noch einen schönen Rest-Sonntag
jpgorganizer -
An dieser Stelle möchte ich den Vorschlag anbringe, dass geprüft wird ob in den automatischen Adaptercheck, der auch die Github Issues für Compact mode und Co anlegt, die Passwortsicherheit mit aufzunehmen. Ob das möglich ist und der Aufwand gerechtfertigt müssen andere abschätzen, aber damit könnte auf jeden Fall Aufmerksamkeit auf das Thema gelenkt werden.
Genauso sollte meiner Meinung nach, sofern das nicht schon der Fall ist, der richtige Umgang mit Benutzerdaten Bedingung sein, um ins Latest-/Stable-Repo aufgenommen zu werden. -
@Xyolyp sagte in iobroker Umgang mit Passwörtern:
An dieser Stelle möchte ich den Vorschlag anbringe, dass geprüft wird ob in den automatischen Adaptercheck, der auch die Github Issues für Compact mode und Co anlegt, die Passwortsicherheit mit aufzunehmen. Ob das möglich ist und der Aufwand gerechtfertigt müssen andere abschätzen, aber damit könnte auf jeden Fall Aufmerksamkeit auf das Thema gelenkt werden.
Genauso sollte meiner Meinung nach, sofern das nicht schon der Fall ist, der richtige Umgang mit Benutzerdaten Bedingung sein, um ins Latest-/Stable-Repo aufgenommen zu werden.Ist das nicht genau das was @apollon77 geschrieben hat, dass dies das Vorgehen ist???
Oder habe ich da was falsch verstanden? -
@Homoran das muss ich überlesen haben. Tut mir leid.
-
In den Regeln für neue Adapter ist das bereits drin und wir arbeiten auch gerade daran das für Entwickler und Adapter noch einfacher zu machen und ggf auch die Verschlüsselung zu verbessern.
Jeder nutzer sollte, falls er einen Adapter findet der die Daten nicht sauber verschlüsselt, eingeladen dem Entwickler zu sagen das er das ändern soll.
-
@apollon77 said in iobroker Umgang mit Passwörtern:
In den Regeln für neue Adapter ist das bereits drin
Was meinst du mit "in den <Regeln ist das bereits drin"? In dem Adapter-Template, das ich mir Anfang Januar geholt hatte war dazu nichts drin oder ich hab's nicht bemerkt. Ich musste das selbst einfügen. Kein Problem, ich will nur wisen, ob das der aktuelle Stand ist oder ob es dazu was besseres bzw. anderes gibt.
VG
jpgorganizer -
@jpgorganizer Hier https://github.com/ioBroker/ioBroker.repositories#development-and-coding-best-practices
Kommt noch in den Creator mit rein
