Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

Anbefalte innlegg

Skrevet

https://www.home-assistant.io/blog/2021/01/14/security-bulletin/

 

Har forstått det sånn at dette kun er et problem relatert til Custom components, men så vidt jeg kan se så er det ikke nevnt hva som er utfordringen med disse komponentene.

 

Noen som vet hva dette mer konkret dreier seg om? Er det komponenter som innehar spesielle funksjoner som er problemet eller er det potensielt alle typer komponenter?

 

Hadde vært fint om de etter hvert kan konkretisere kontroller man kan gjøre selv på slike komponenter for å verifisere at de tilfredsstiller sikkerhet, hvis det er mulig da..

Skrevet

https://community.home-assistant.io/t/security-bulletin/268456/4

Sitat

People asked for more information. We are currently investigating the scope of the issue. We will follow up with more details. Meanwhile, update Home Assistant.

 

Regner med de kommer med mer konkret informasjon når de vet mer og har fått rydda opp. Selv har jeg veldig få custom components, så kan ikke se den store risikoen for min del. Jeg hadde ikke oppgradert til siste versjon av Home Assistant, så fikk gjort det når denne beskjeden kom.

Skrevet

Jeg vet ikke hva det går i, men generelt sett er alle systemer der en kan laste inn komponenter utsatt. En kan si at en har jo kildekoden og kan studere den, men i praksis har en ikke den muligheten. Mange komponenter, også de offisielle, laster inn bibliotek fra pypi.org. Her kan en snike inn ny kode uten at brukerne får det med seg at en ny versjon av et bibliotek er lagt ut og lastet ned.

Det gjelder apper på telefoner også. Noe som i utgangspunktet så morsomt, kult og uskyldig ut kan bare med en oppdatering bli en app som serverer reklame ganske så aggresivt.

Skrevet

I teorien kan vel en custom component lese secrets.yaml og sende den hvorsomhelst. Fordelen er at dette er open source, så "alle" kan finne ut om det foregår noe muffens ved å lese koden selv. Jeg gidder ikke å gjøre det, men satser på at det blir plukket opp av andre folk som følger litt bedre med enn meg selv.

Skrevet
14 minutes ago, Marhil said:

I teorien kan vel en custom component lese secrets.yaml og sende den hvorsomhelst. Fordelen er at dette er open source, så "alle" kan finne ut om det foregår noe muffens ved å lese koden selv. Jeg gidder ikke å gjøre det, men satser på at det blir plukket opp av andre folk som følger litt bedre med enn meg selv.

Du er ikke alene der. Jeg hørte på en podcast om feil og ondsinnede endringer i open-source. Det går fort 2-5 år fra noe er lagt inn til en eller annen faktisk tar en titt og finner noe. Og dette var main-stream open source komponenter/program.

Skrevet
1 minutt siden, Guahtdim skrev:

Du er ikke alene der. Jeg hørte på en podcast om feil og ondsinnede endringer i open-source. Det går fort 2-5 år fra noe er lagt inn til en eller annen faktisk tar en titt og finner noe. Og dette var main-stream open source komponenter/program.

 

Det var i overkant, ja. Det er absolutt en sikkerhetsrisiko ved å bruke ikke-offisielle komponenter. Masse passord som ligger vidt åpent i alle hjemmeautomasjonssystemer, vil jeg tro.

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.