-
Autor
Hallo
ich habe heute mit großer Verwunderung festgestellt, dass mit der aktuellen Firmware 202008 für den Shelly2 Änderungen in den Security Settings nicht gespeichert werden.
Nach Eingabe eines neuen Usernames und Passwortes wird korrekterweise die IP Adresse des Shelly2 aufgerufen. Es erscheint die Eingabe für Username und Passwort und erst danach kommt man in die Shelly Konfiguration.
Aber der Zugriff auf den Shelly ist nach einer Trennung vom Netz auch ohne Credentials möglich.
Allein durch Aufruf der IP des Shelly2 (die Abfrage von Username und Passwortkommt gar nicht) ist ein direkter Zugriff auf den Shelly2 möglich.
Ist das ein ernst zu nehmender Sicherheits-Bug der neuen Firmware, oder bestand der evtl. schon vorher?
In den Settings ist der vergebene Username gespeichert.
Das hinterlegte Passwort wird nicht kenntlich gemacht durch eine oftmals übliche "neutrale Anzeige", dass ein Passwort angelegt ist.
Anmerkungen:
Der Shelly2 ist im WLAN Netzwerk - mit eigener fester IP und anderen IOT Devices.
Der Shelly2 hat einen eigenen Namen erhalten (19 character), Username und Passwort sind ca. 35 Character, also kleiner als die max. 50 character)
Ich hatte bereits früher Probleme beim Shelly1 festgestellt bei der Vergabe von anderen Usnernamen als "admin" und mit längeren Passwörtern (ca. 20 Charakter).