Je voulais savoir s’il aurait été possible de sécuriser la partie config via un login mot de passe ? (un peu comme sur deconz).
En effet aujourd’hui, n’importe qui un peu malin sans avoir le code PIN homebridge du jeedom, pourrait en scannant les ports d’ecoute de jeedom arriver jusqu’au port 33221 et faire tout ce qu’il veut !
Cela peut parraitre parano je le concois bien mais au dela de cela j’avais aussi une autre idée en tete si c’est faisable
On ne peut acceder qu’a cette interface en local seulement donc pas par internet MAIS … si on fait du NAT du port 33221 vers jeedom, evidemment que cela fonctionne par internet mais la aussi du coup en mode open bar.
Je dois prendre à distance parfois certaines installation (dont la mienne) et au lieu d’ouvrir et fermer le NAT, j’aurai préféré que cette interface soit tout simplement sécurisée … rien qu’en LAN
Cela serait il possible ou pas de sécuriser l’interface (une fois de plus j’insiste que c’est d’abord pour securiser en interne, l’externe c’est du bonus, de plus via cette interface on peut aussi ouvrir les portes sans demande du code 2FA alors qu’en vocal c’est demandé mais c’est peut etre un autre sujet la)
Oui et non … je ne maitrise pas tous les smartphones et tablettes android des enfants des amis qui viennent et qui peuvent etre des trous de sécurité (et c’est vrai) … et que je connecte sur mon wifi quand meme, alors oui tu peux me dire « mets un wifi guest » mais du coup pas accès en cast sur la tv etc …
Aussi le fait que oui on parle d’un LAN, mais personne n’est à l’abri d’une faille de sécu de son routeur (j’ai un netgear qui est regulièrement mis à jour pour des failles c’est pas pour rien).
Cet interface donne accès à tout (l’idée c’est quand meme de piloter la majorité de la maison) alors que jeedom (meme en LAN on doit bien s’identifier) non … je prends l’exemple d’une maison tu as une porte blindée à l’entrée mais une porte de service à la con que tu defonces en - de 2.
Je suis peut etre un peu parano (je travaille dans la cybersecurité ca doit aider lol), mais quelque soit l’interface web dispo se doit d’etre « au min » sécurisée, et qu’on parle d’une interface qui permet de tout piloter son jeedom
Le pin ne sécurise rien du tout dans homekit en fait… ce n’est qu’un code de connexion… tu peux le laisser par défaut. quand un périphérique est ajouté à un compte (un contrôleur homekit c’est appelé) il n’est plus appairable avec un autre.
Pour le pass oui j’ajouterai probablement prochainement la gestion du code lorsque je revisiterai toute la gestion (pour l’instant tu modifies l’onglet config et c’est pas appliqué, comme décrit dans l’alerte lorsque tu ouvre config-ui-x.) Il faut que je trouve un moyen simple… car config-ui-x reste complexe et non traduit en français pour la partie config de plugin. Donc j’aimerais trouver une solution mixte …
OK ca marche, si tu as besoin par la suite d’un beta testeur je suis la
Quand je sais la puissance du plugin et a ce que je donne l’accès via ce plugin … (alarme, portail, porte, garage, volets, lumière, prises etc … bref 4 ans sur jeedom quoi lol)
Au fait normal que dans la partie accessoires pour deverrouiller une porte par exemple je n’ai pas de sécurité comme en vocal ? (il faut d’ailleurs comme bien expliqué dans la doc cocher le 2FA pour que ca soit fonctionnel).
Et sinon un (encore) grand merci pour tout le reste, ton plugin est magnifique (et me permet d’arreter l’abo annuel, du coup tu en demanderai 10, 12 euros par exemple sachant que c’est qu’une fois, ne me choquerai pas)
Je me permets de revenir sur le sujet, car bien que ça soit au niveau du LAN avoir quelque chose de librement accessible me dérange un peu.
Sans rentrer dans la gestion des users (possible nativement dans homebridge), n’est-il pas possible à minima de d’intégrer dans le paramétrage du plug-in HomeBridge, la définition du mot pour le compte « admin » (avec une valeur générique par défaut). Cela permettrait une modification par les utilisateurs qui souhaitent le changer.
Je ne me rends pas compte d’un point de vue développement ce que ça implique ; les access users sont gérés comment par HomeBridge: Fichier json ? htaccess ?
Je viens de regarder, ça se passe dans le fichier
« /var/www/html/plugins/homebridge/resources/homebridge/auth.json » ; mais aujourd’hui ce fichier est ignoré à cause de « auth:none » dans le config.js
Ca semble donc réaliste de customiser le password admin ? Ou à minima d’activer « auth:form » dans le fichier config ; Et les plus motivés pourront changer manuellement le fichier auth.json.
