3.3.45: rotation clé api admin

Bonjour

Ce message s’adresse particulièrement à @Loic

J’ai vu le système mis en place en 3.3.45 concernant le changement des clés api admin tous les 3 mois. Concrètement, cela signifie que les sessions admin seront « tuées » et qu’il faudra réentrer les identifiants à la connexion?
Et cela concerne tous les utilisateurs ayant le profil admin ou bien juste l’utilisateur admin?

Tu as dis dans un autre sujet que vous aviez une bonne raison pour le faire et que tu donnerais l’explication dans quelques mois.
Pourquoi pas maintenant?
Serait-ce une faille (grave?) découverte dans Jeedom qui pourrait provoquer un piratage en masse? Si c’est quelque chose de ce genre, il serait bien d’être informé (sans forcément avoir les détails).

Merci d’avance de tes réponses.

Bonjour,

C’est tous les utilisateurs avec le profil admin.

Pour le reste je ne suis pas apte a répondre je te laisse voir directement avec jeedom SAS qui s’occupe de la communication.

Merci de ta réponse Loic. Comment je peux les joindre pour leur poser la question?

Comme toujours ticket de support ou mail que tu trouve sur le site je crois même ya un formulaire. RIen d’extraordinaire ni qui prenne plus de 5min de recherche (c’est meme dans nos doc c’est fou)

Et bien crois le ou non, depuis le temps je n’ai jamais ouvert de ticket

Je vais regarder ça

@Loic:
J’ai cherché mais pas trouvé: A quoi sert cette clé, ou la trouve-t-on, et qu’est ce que ça va impliquer ?

Eric

Si tu sais pas a quoi elle sert c’est que tu n’en as jamais eu besoin… Elle sert pour l’app mobile (mais ca mtn l’app demandera le mot de passe) et si tu as des applications externe qui font appels a jeedom.

Merci Loïc pour la réponse.
Effectivement, je n’utilise pas l’app mobile, j’ai fait un design pour mon ipad et téléphone.

Eric

Bonjour Loic

Cette clé API ne sert que pour l’app mobile? Pas pour les connexions à Jeedom avec un user admin?

PS: j’ai eu la réponse du support (super rapidement d’ailleurs )

Si ça doit aussi déconnecter tous les utilisateurs admin de connecté

Ah ça, ça m’arrange pas par contre.
Bon j’ai vu que c’est desactivable, on verra pourquoi cette fonction a été implémentée du coup

Ben pour la sécurité tout simplement

Bonjour,
Petite question, si je fais la MAJ qui ajoute la rotation des clés, est-ce que je vais devoir mettre à jour toutes mes URL qui executent une commande ou il s’agit d’autres clés ?
J’ai beaucoup de ces urls dans mon IFTTT que j’appelle via Google Home et j’aimerais ne pas avoir à me retaper un changement de ces API tous les 3 mois.
Merci bien et bonne journée

Si tu as utilisé la clé api de ton user (admin), alors oui.
Mais tu n’aurais pas du faire cela, tu dois soit créer un user dédié, soit utiliser la clé api du plugin (ou du core)

Bonjour
Personnellement, j’en ai profité pour revoir toute la gestion de mes users. J’ai crée un user par personne, et le user admin ne me sert plus qu’à la config.
C’est fastidieux peut être, mais c’est un mal pour un bien

Ok merci pour vos réponses. Je vais donc refaire tout ma gestion d’users avant de faire la MAJ. On est d’accord que le changement de clé API ne se fera que sur le compte admin ?

Merci bien

Non, le changement de clé se fait sur le groupe ADMIN, pas seulement sur le user admin.
Donc tous les comptes faisant partie du groupe admin seront modifiés.

Il semble d’ailleurs que l’option de ne pas faire de rotation de clef api pour l’usager admin, n’ait aucun effet. Cela implique que je dois rentrer mes identifiants et mot de passe pour le Dashboard tous les jours. À mioins que ce soit une nouvelle option de sécurité qui a été a ajoutée pour tuer les sessions Web que je ne vois pas.
Je ne comprend pas d’ailleurs l’apport de sécurité d’une telle option lorsque ma box Jeedom n’est accessible qiue de la maison.

Bonjour,
Taper son user / mdp n’a aucun lien avec l rotation de clés admin.
Vérifiez plutôt la durée autorisée des sessions ainsi que si vous avez bien coché la case « se souvenir de moi » sur la page de login…