Mathias Skrevet 18. januar 2021 Skrevet 18. januar 2021 https://www.home-assistant.io/blog/2021/01/14/security-bulletin/ Har forstått det sånn at dette kun er et problem relatert til Custom components, men så vidt jeg kan se så er det ikke nevnt hva som er utfordringen med disse komponentene. Noen som vet hva dette mer konkret dreier seg om? Er det komponenter som innehar spesielle funksjoner som er problemet eller er det potensielt alle typer komponenter? Hadde vært fint om de etter hvert kan konkretisere kontroller man kan gjøre selv på slike komponenter for å verifisere at de tilfredsstiller sikkerhet, hvis det er mulig da.. Siter
LaStrada Skrevet 18. januar 2021 Skrevet 18. januar 2021 https://community.home-assistant.io/t/security-bulletin/268456/4 Sitat People asked for more information. We are currently investigating the scope of the issue. We will follow up with more details. Meanwhile, update Home Assistant. Regner med de kommer med mer konkret informasjon når de vet mer og har fått rydda opp. Selv har jeg veldig få custom components, så kan ikke se den store risikoen for min del. Jeg hadde ikke oppgradert til siste versjon av Home Assistant, så fikk gjort det når denne beskjeden kom. Siter
stigvi Skrevet 18. januar 2021 Skrevet 18. januar 2021 Jeg vet ikke hva det går i, men generelt sett er alle systemer der en kan laste inn komponenter utsatt. En kan si at en har jo kildekoden og kan studere den, men i praksis har en ikke den muligheten. Mange komponenter, også de offisielle, laster inn bibliotek fra pypi.org. Her kan en snike inn ny kode uten at brukerne får det med seg at en ny versjon av et bibliotek er lagt ut og lastet ned. Det gjelder apper på telefoner også. Noe som i utgangspunktet så morsomt, kult og uskyldig ut kan bare med en oppdatering bli en app som serverer reklame ganske så aggresivt. Siter
Marhil Skrevet 18. januar 2021 Skrevet 18. januar 2021 I teorien kan vel en custom component lese secrets.yaml og sende den hvorsomhelst. Fordelen er at dette er open source, så "alle" kan finne ut om det foregår noe muffens ved å lese koden selv. Jeg gidder ikke å gjøre det, men satser på at det blir plukket opp av andre folk som følger litt bedre med enn meg selv. Siter
Guahtdim Skrevet 18. januar 2021 Skrevet 18. januar 2021 14 minutes ago, Marhil said: I teorien kan vel en custom component lese secrets.yaml og sende den hvorsomhelst. Fordelen er at dette er open source, så "alle" kan finne ut om det foregår noe muffens ved å lese koden selv. Jeg gidder ikke å gjøre det, men satser på at det blir plukket opp av andre folk som følger litt bedre med enn meg selv. Du er ikke alene der. Jeg hørte på en podcast om feil og ondsinnede endringer i open-source. Det går fort 2-5 år fra noe er lagt inn til en eller annen faktisk tar en titt og finner noe. Og dette var main-stream open source komponenter/program. Siter
Marhil Skrevet 18. januar 2021 Skrevet 18. januar 2021 1 minutt siden, Guahtdim skrev: Du er ikke alene der. Jeg hørte på en podcast om feil og ondsinnede endringer i open-source. Det går fort 2-5 år fra noe er lagt inn til en eller annen faktisk tar en titt og finner noe. Og dette var main-stream open source komponenter/program. Det var i overkant, ja. Det er absolutt en sikkerhetsrisiko ved å bruke ikke-offisielle komponenter. Masse passord som ligger vidt åpent i alle hjemmeautomasjonssystemer, vil jeg tro. Siter
Anbefalte innlegg
Bli med i samtalen
Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.