Tor-Erik

Helt enig i at dette ikke er spesielt vanskelig å sikre seg mot. Men jeg da først oppdaget dette brukte jeg en hel kveld på å søke etter informasjon, og jeg fant ingenting. Kan bare anta at jeg ikke brukte riktige søkeord, men jeg fant ikke noe på HS-forumet eller resten av nettet. Når en stor andel av kundene dems ikke er spesielt datakyndige er det enda viktigere at de har klare råd om hvordan man sikrer en HS-server. Det er ekstremt usannsynlig at disse kundene også bruker Wi-Fi nett som potensielt kan hackes på kort tid. Har de vist om dette i mange år er det rart at det ikke finnes en enkel checkbox som skrur av remote plugins. Eller at remote plugins må whitelistes i HS før de fungerer. Spesielt når det allerede er innstillinger for å deaktivere ting som ASCII og JSON fjernstyring.

Det tok litt tid, men jeg fikk omsider sendt en e-post til support. Svaret jeg fikk var ikke helt det jeg hadde håpet: Så det virker som om dette ikke er et "problem", og noe vi må løse selv. ಠ_ಠ Hadde vel håpet at de ville vise litt mer interesse for å gjøre noe med dette.... Heldigvis er dette foreløpig et ganske hypotetisk angrepsvinkel.

ID Lock kan også låses med kode utenfra. Da settes låsen i "away-mode". Så dette burde også gjelde ID Lock. Sent from my F5121 using Tapatalk

Jeg har to Elko dimmere på Homeseer/Jowihue og de har fungert helt utmerket i en del måneder nå. Sent from my F5121 using Tapatalk

Selv ikke innstillingene for tilgang på devicene ser ut til å gjøre noe som helst. Virker på meg som om en Remote Plugin kan sidestilles med en bruker med Admin rettigheter.

Det endrer ingenting, testet akkurat nå og den innstillingen gjelder bare for nettlesere og HSTouch. Det er heller ikke dokumentert noen måte for eksterne plugins autentisere seg (ref: https://homeseer.com/support/homeseer/HS3/SDK/default.htm?architecture.htm) Det er litt merkelig at de ikke har tenkt på dette.

Ja, det er det jeg tror. Jeg har ikke testet veldig mye, og det kan være jeg tar helt feil. Plugin prosjektet er basert på https://github.com/sgieseking/HSPI_HikAlarmCheck og jeg kan ikke huske at jeg måte gjøre noe annet enn å sette "server = IpAddress" som kommandolinje argument (det er et par måneder siden jeg opprettet prosjektet). Jeg har bare gjort noen enkle tester (listet ut alle devicer til en fil, og brukt CAPI til å aktivere en knapp), men det for meg ut som om det bare er fantasien som begrenser hva man kan finne på. Så basert på det jeg har funnet vil jeg sterkt anbefale å blokkere port 10400 på serveren (eventuelt slippe gjennom spesifikke IPer dersom man benytter seg av remote plugin funksjonaliteten). Selv kjører jeg HS3 på Ubuntu og bruker UFW til å løse dette.

Har noen gjort seg noen tanker rundt det å sikre Homeseer fra en "ondsinnet" remote-plugin? Satte meg ned for å prøve meg på å lage min egen plugin og det slo meg plutselig at Homeseer ikke har noen form for autentisering av "remote-plugins". Så med mindre jeg tar veldig feil så er alt som trengs tilgang til lokalnettverket for å kunne kjøre en plugins som kan gjøre mye ugang.

Ja, DS18B20 er 1wire og kan lese fra en digital pin. Men den må adresseres, altså den sender ikke en kontinuerlig verdi. Du må aktivt be om at den sendes. Så om ikke Arduino pluginen i HomeSeer støtter 1wire protokollen vil du ikke få noe ut av den. Sent from my F5121 using Tapatalk

ESP8266 har en ADC (analog digital converter), men det er kun en kanal og deles med batterinivået (altså man må velge om man skal kunne lese batterinivået eller en ekstern verdi). Men om Homeseer støtter å koble noe til A0 husker jeg ikke. Sent from my F5121 using Tapatalk

Har du du fått til noe med disse skiltene? Sent from my F5121 using Tapatalk

Jeg har vist totalt oversett den delen. Men da skjønner jeg ikke hva han mener med at dette er en god erstatter for aspx sider. Den delen av dokumentasjonen begynner med å si at dette bare fungerer som en del av en plugin. En av grunnene til å bruke aspx sider er jo at man ikke trenger å lage en plugin. Etter å ha lest det han skriver en gang til så tror jeg faktisk jeg ikke skjønner noe av det han skriver [emoji44] Jeg tror Microsoft aldri har supportet ASPX utenfor IIS noen gang, men IIS kjører (og har kjørt) på de fleste typer Windows (kanskje med unntak av noen Home-editions) ikke bare Windows Server. Hvordan får ressursbruken blitt bedre når man må kjøre en egen plugin for å lage sidene? Kjenner irritasjonen vokser.. [emoji36] Må passe meg ellers kommer jeg til å sitte hele helgen og grave i dekompilert kode for å finne ut hva som gjør at dette ikke fungerer [emoji851]? Sent from my iPad using Tapatalk

Kan du sende kontaktinformasjonen til meg også? Sent from my F5121 using Tapatalk

Har han ikke hørt om Jon00? [emoji6] Men seriøst, HS har et enormt dokumentasjonsproblem. Jeg viste ikke at det fantes noe jQuery API, ikke at jeg er noen HS3 ekspert (langt i fra [emoji14] ), men jeg trodde faktisk at jeg hadde funnet det meste av relevant dokumentasjon. Sent from my F5121 using Tapatalk

Siden jeg kjører HS3 på Linux kunne jeg veldig gjerne tenkt meg HS4 på .NET Core. Men jeg er redd det vil kreve en total rewrite, med bytte av en del eksterne biblioteker, etc. Får håpe de i det minste gjør noe med den relativt dårlige C# støtten og fikser ASPX sider på Linux (uten at vi må kjøre en utdatert versjon av mono). Sent from my F5121 using Tapatalk

Ja, jeg har opplevd det samme et par dager etter at jeg først satte inn z-wave modulen. Det skjedde bare den ene gangen, mens jeg eksperimenterte med låse i HS, så jeg har ikke tenkt så mye mer over det. Sent from my F5121 using Tapatalk

Det stemmer bra med loggen i HomeSeer, som må bety at dette er en feil i ID Lock sin firmware. Merkelig at de ikke har fanget opp en såpass grunnleggende feil. Sent from my iPad using Tapatalk

Ja, HS husker jo i det minste filter innstillingene, så det hjelper jo en del. [emoji846] Sent from my iPad using Tapatalk

Device administrasjonen i HS begynner å tære veldig på tålmodigheten min. Spesielt er det at den minste ting man gjør laster device listen på nytt og dytter deg til toppen igjen som virkelig gnager. Og alt noe så enkelt som å endre et navn må gjøres på en "edit" side, som også gjør at posisjonen i listen er glemt når du er ferdig. Finnes det noe som gjør denne jobben mer behagelig? Når noe såpass enkelt som å endre navn, rom og etasje på 3-4 enheter blir et slit, så er det noe feil med UXen (brukeropplevelsen). Alternativt: kan man gjøre endringer på devicer via et eller annet API? Jeg begynner å bli såpass lei at jeg kunne vurdert å lage et admin verktøy selv, men da må jeg kunne snakke med HS på en eller annen måte. Sent from my F5121 using Tapatalk

Innstillinger som å legge til eller fjerne RF-brikker, det kan ikke gjøres via Z-wave på ID lock 150. Men det er egentlig det eneste, alt annet kan settes via Z-wave. Devicene er der, totalt 5 child devices. Men HomeSeer skjønner ikke meldingene som sendes. Når jeg låser opp med kode så ser jeg f.eks. en warning i loggen om at en Notification har parameter med ugyldig verdi ( husker ikke nøyaktig ordlyd, men typisk "index out of bounds" feilmelding). Uten at jeg vet noe om hvordan dette fungerer på 100-modellen, så mistenker jeg at de har endret ganske mye på hvordan disse meldingene sendes, med bruk av under parametere som HS tilsynelatende ikke bryr seg med å se på. Så vi må nok kontakte HS-teamet og håpe at de tar seg tid til å gjøre tilpasningene som trengs. Dokumentasjonen fra ID Lock er i det minste god (jeg mener den er god når jeg skjønner den uten at jeg egentlig kan noe om hvordan Z-wave fungere [emoji1]). Sent from my iPad using Tapatalk

Nei, jeg har greid å legge kode og fjerne med lukket og låst dør. Så det er tydeligvis endret. Mye annet som er endret også for Homeseer viser veldig lite informasjon. Får for eksempel ikke noe informasjon om hvem som låser opp. Alt er bare manual lock/unlock. Sent from my iPad using Tapatalk

Nei, bare dersom du skal gjøre noe i innstillingene på selve låsen, når du holder inne låseknappen på innsiden i noen sekunder, taster masterkode, etc. Det er sikkert en feil, men sånn det er nå så godtar ikke låsen masterkoden etter at du har lagt til en kode via Z-wave. Tar du ut et par batterier så fungerer "lokale" endringer i innstillingene igjen. Sent from my iPad using Tapatalk

Det som fungerer for meg er å lage et event som bruker Z-wave actions -> Set a Security User Code ( eller Remove for å fjerne). Velg låsen, bruker id 60-69 (tilsvarer id 1-10 i låsen) og skriv inn koden i feltet. Master koden er User 1 og service koden er User 2. Som tidligere diskutert vil dette gjøre at låsen må "restartes" før du kan gjøre noe i innstillingene på selve låsen. Sent from my iPad using Tapatalk

Ja, den spiller en melodi og blinker blått når jeg sletter en bruker. Når jeg legger til en bruker med HomeSeer spiller den melodien to ganger og deretter "feil-melodien" så det virker som om den ikke er 100% fornøyd med det som sendes, men de nye kodene fungerer så da er jeg fornøyd [emoji1] Sent from my iPad using Tapatalk

Jeg tror det. Vi får blant annet ikke informasjon om hvem som låste opp døren, og om jeg leser dokumentasjonen riktig så er det med som en parameter i den meldingen. Virker som om HomeSeer ikke tolker meldingen riktig. Men jeg spekulerer bare, kan veldig lite om både Z-wave og HomeSeer. [emoji846] Sent from my iPad using Tapatalk