Shelly ohne TLS?

VPN/Proxy erkannt

Es scheint, dass Sie einen VPN- oder Proxy-Dienst verwenden. Bitte beachten Sie, dass die Nutzung eines solchen Dienstes die Funktionalität dieser Webseite einschränken kann.

1. offizieller Beitrag

    Hallo zusammen,

    vorweg, ich habe noch kein Shelly-Gerät und kann daher die Prüfung nicht selbst vornehmen.

    Ist die API ausschließlich über http oder auch über https(TLS) erreichbar?

    Sollte es nur ohne TLS funktionieren wäre dies für mich ein schwerer Sicherheitsmangel der heutzutage für Neugeräte mit Netzwerkzugang nicht mehr zeitgemäß ist. Erschwerend kommt hinzu dass somit auch die Authentifizierung unverschlüsselt übertragen wird.

    Liege ich mit meiner Annahme richtig, oder kann Shelly mehr als erwartet?

    Gruß Sascha

    Zitat

    Sollte es nur ohne TLS funktionieren wäre dies für mich ein schwerer Sicherheitsmangel der heutzutage für Neugeräte mit Netzwerkzugang nicht mehr zeitgemäß ist.

    Interessant, besitzt du etwa die notwendige Infrastruktur, um valide Zertifikate auf einen Shelly zu bringen?
    Welchen Sicherheitsmängel siehst du denn, wenn Geräte in einem abgeschotteten lokalen Netzwerk unverschlüsselt untereinander kommunizieren? Tut mir leid, aber ich kann da keinen Sicherheitsmangel erkennen.

    Zitat

    Interessant, besitzt du etwa die notwendige Infrastruktur, um valide Zertifikate auf einen Shelly zu bringen?
    Welchen Sicherheitsmängel siehst du denn, wenn Geräte in einem abgeschotteten lokalen Netzwerk unverschlüsselt untereinander kommunizieren? Tut mir leid, aber ich kann da keinen Sicherheitsmangel erkennen.

    Gewagte Aussage. Wenn das so egal wäre, bräuchtest du deinem PC innerhalb deines Netzes auch kein PW geben zum Login.

    Denke das dieses Thema leider etwas größer ist.

    Die Nutzerdaten (auch mqtt) fliegen OHNE Verschlüsselung durch die datenbahnen deines Netzes. Finde das auch etwas schade. Ein Zertifikat wäre eine Lösung aber sehr aufwendig. Dieses Thema wurde aber mit allen Facetten schon mehrfach hier besprochen. Bitte nutze die SuFu.

    Prime-SmartHome-Solutions

    Selbstständiger SmartHome Berater. Von der Beratung bis hin zur Einrichtung

    :thumbup: Bei Fragen, einfach via PN melden :thumbup:

    Zitat von 87insane

    Gewagte Aussage. Wenn das so egal wäre, bräuchtest du deinem PC innerhalb deines Netzes auch kein PW geben zum Login.

    Was hat das Passwort eines Computers mit der Verschlüsselung von Datenverkehr zu tun? Das ist dazu gedacht, einen Computer vor unberechtigten Zugriffen zu schützen, genau wie eine Smartcard, ein OTP-Token oder ein Finger-Abdruck..

    Etliche andere Kommunikations-Protokolle auf TCP/IP-Basis sind übrigens ebenfalls unverschlüsselt (FTP, Apple Bonjour, SMB1 + SMB2 und viele, viele mehr.. )

    Und jetzt? alle abschalten bzw. blockieren?

    Zitat von 87insane

    Dieses Thema wurde aber mit allen Facetten schon mehrfach hier besprochen. Bitte nutze die SuFu.

    *kopfschüttel*

    >100 Shellies, darunter so gut wie alles was der Hersteller produziert hat. ;)
    :!: ich beantworte grundsätzlich keine Fragen per persönlicher Nachricht:!:

    Guten Morgen,

    es ging um den Vergleich. Es macht in meinen Augen immer Sinn den Datenverkehr zu verschlüsseln. Wenn ich alles unverschlüsselt lasse, kann ich den pc auch offen lassen.....ggf kam das so nicht an. Aber wie gesagt... Ist ein Thema welches oft hier zu finden ist.

    Prime-SmartHome-Solutions

    Selbstständiger SmartHome Berater. Von der Beratung bis hin zur Einrichtung

    :thumbup: Bei Fragen, einfach via PN melden :thumbup:

  • Dieses Thema enthält 4 weitere Beiträge, die nur für registrierte Benutzer sichtbar sind.