schön geschrieben gaert

Tatsächlich geht es mir genau nur um die E2E-Verschlüsselung.

Und genau das macht es Lauschern in jedem Netz (egal ob WAN, hotspot oder auch die Malware im LAN) sehr schwer, z.B: ein passwort mit zu lauschen - auch das von edomi. Natürlich halte ich mein LAN sauber, aber mit dem gleichen Argument, wie ich edomi auf dedizierter HW und ohne Lüfter laufen lasse ("es geht um mein Haus") sehe ich das für SSL ebenso - selbst im LAN: Es geht um mein Haus. Natürlich könnte ein Bösewicht... - ja, der schon (gegen den kann man sich auch schlechter schützen), aber irgend ein script-kiddy-mist auf irgend einem Amok-Rechner im Haus, der wird nicht auf die mysql auf edomi huschen, aber ggf. meine http-Verbindung mitschneiden und irgendwo hin funken, bevor ich es erkennen, finden und töten konnte.

Es ist einzig der Aufwand/Ressourcen, die ein Argument gegen SSL sein könnten. Aber hey, es geht um mein Haus...

Daher kann ich mit den vermeintlichen Lücken auf dem edomi-Server selber recht gut leben (andere Threats), bei denen andere Bauchschmerzen haben, aber https halte ich dennoch immer für besser. Alles und jedes gehört E2E-verborgen. Es kann doch nicht sein, dass wir 800€-Handys mit uns herum tragen (die das wunderbar können), aber daheim nicht bereit sind, ab 300€ (mit einer viel längeren Lebenszeit) für eine HW hinzustellen, die das Schippchen SSL auch noch kann... ich persönlich kann das Ansinnen, dass alles und jedes auf einen Raspi muss, nicht nachvollziehen. Tolles Ding für tolle Anwendungen. Aber edomi? Dauerhaft?
Und wer die Tage die DDOS-Attacken mal mit Hintergrund (lohnt sich!) und Auswirkungen und Ausblick gelesen hat, sollte einen heiden Respekt vor dem so tollen IoT bekommen. Millionen Elektroschrott-Bots..."Jim, es ist lustig... - aber anders, als wir es kennen...". Man sagt mir nach, gnadenloser Optimist zu sein und neige sicher nicht zu Welt-Untergangs-Szenarien, aber wir werden mit dem IoT und Cloud für alles und jedes und vor allem für billige Smart-homes-Lösungen noch unschöne Dinge erleben, die es in die tagesschau schaffen. Okay, etwas OT, aber hey, wir können jeden Tag die Welt um uns herum etwas sicherer machen, da ist https ein guter Anfang...

BTW: Können nicht sogar diese amazon-Knöpfchen https?

PS: Mist jetzt bin ich wieder völlig nüchtern. Mach' wohl besser noch etwas LBS...

Wenns jemand in mein internes Netzwerk schafft (VPN,LAN) hätte ich weit größere Sorgen als das mitlesen eines edomi-Passworts . Darum gehts mir auch in dem Sicherheits-Threat, ich würde gerne den Zugriff aufs Betriebssystem verhindern, denn aktuell wäre es ein leichtes Schadsoftware auf dem edomi-Server zu installieren, zumindest bei meinem

wie gesagt: gegen "jemanden" werde ich mich vermutlich nicht wirklich wehren können - und ja, da hätte ich auch ganz andere Sorgen. Aber meine Einschätzung ist, dass das größere Risiko (=Eintrittswahrscheinlichkeit * Schadenshöhe) bei Wald-und-Wiesen-Malware liegt, die man sich in einer Familie - trotz aller Vorsichtsmaßnahmen und Medienkompetenz - mal einfangen kann. Wenn dann die kritische Kommunikation (Banken, edomi, NAS,...) über https laufen, sind diese zumindest nicht direkt angreifbar oder abgreifbar. Vielleicht unterschätze ich die Fähigkeiten dieser Tools, aber ich hatte den Eindruck, dass die sich vielleicht noch in einem Windows-Netzwerk fortpflanzen, aber nicht im Linux-Umfeld (da braucht es immer noch ein root-PW). Aber im Wesentliche wollen die automatisiert Infos (effizient sniffen, Tastatur,...), um damit Geld zu verdienen. Eher nicht, um sich dann bei einem befallenen Rechner aktiv (ineffizient, da "jemand") durch sein Netzwerk zu bewegen.

Aber vielleicht habe ich da auch eine falsche/zu naive Sicht auf die Gefahren. Man versucht ja auch nur mit den Informationen sich ein Bild zu machen. Ein Profi bin ich zu Sicherheitsfragen auf dem Niveau sicher nicht. Ich versuche abzuwägen und nicht unterzugehen...

Ein "bullet-proof" des Servers fände ich auch gut und es wert, zu besprechen, doch muss man auch sehen, dass Christian eine - sehr bemerkenswerte - one-man-show hinlegt. Das ist tatsächlich - in Abstimmung mit und/oder Unterstützung von ihm - eine Aufgabe der Community von Menschen, die darin sehr gut sind. Mit meinen obigen Gedanken begrüße ich aber derzeit, eine Priorisierung auf the-one-and-only >>>"DIE LISTE"<<< mit seinen und unseren funktionalen Entwicklungen... ... und hoffe, dass keiner von uns vorher umfällt durch einen Angriff

Die Firma (naja eher Monstrum) Google spioniert schon aus was geht, keine Frage. Aber was geht denn tatsächlich, wenn WIR uns zurückhalten ?
Doch nur etwas wie "Kunden die diesen Artikel gekauft haben, haben sich diese Artikel angesehen". Lästig, sicher, aber was haben die damit wirklich ?
Das ich einen Artikel gekauft habe. Geschenkt !
Problematisch ist es mMn dann, wenn WIR gedankenlos mit unseren Daten umgehen. Da wird hemmungslos die gesamte Privatssphäre in Facebook, Whatsapp und Co preisgegeben. Dann braucht sich der Leichtsinnige (oder viele L.) nicht wundern, dass beim Vorstellungsgespräch, zu dem es vermutlich nicht kommen wird, über die letzte Party/Äusserung oder sonstwas diskutiert wird. Und das bleibt im Netz, obwohl dieser Mensch inzwischen erwachsen geworden ist.
Will sagen, wenn man unter seinem Namen nichts im Netz findet (wie bei mir), ausser dass Google weiss welche Webseiten ich besucht habe, sehe das immer noch relativ gelassen. Gefährlich wird es erst, wenn diese Firmen ein detailliertes Bild eines Opfers zusammensetzen können.

Und https ist mir schnurzegal ! Sicherheit gibt es sowieso nicht im Netz.
Mein Edomi läuft deshalb offline in einem eigenen Netz, darf täglich mal kurz "Gassi" und muss dann wieder zurück ins Körbchen.
Edomi hat bei mir die Regie, wenn ich nicht da bin. Und wenn das Haus brennt, kann ich von der Ferne auch nichts machen.
Nach dem letzten Urlaub (2 Wochen) war, wie immer, in Edomi kein Fehler aufgelaufen. Das ist für mich Hausautomation.
Sonst hätte ich gleich bei der bewährten Relaistechnik bleiben können.

Aber nur weil irgendein PC in deinem Netzwerk befallen ist, kann der ja nicht sofort sämtliche Verbindungen in dem Netzwerk auch mitsniffen, denn Switche leiten nur eigentlich nur den Netzwerkverkehr überhaupt an den PC weiter, wenn dieser auch für diesen gedacht war. Bedeutet: wenn das Passwort mitgelesen werden kann, entweder deine Netzwerkhardware ist betroffen, die Malware hat es geschafft irgendwie eine Mac-Adresse zu spoofen und so den Netzwerkverkehr zu sich umzuleiten oder der PC von dem aus du "administrierst" ist direkt betroffen. Wenn letzteres der Fall ist hilft dir aber auch eine HTTPS-Verschlüsselung nicht mehr.
Und selbst wenn irgendwie das Passwort herausgefunden wird, kann man damit ja außerhalb des Netzwerks nicht anfangen, wenn du den Zugriff nur per VPN und nicht per Portfreigabe von außen erlaubst - außer du hast beim VPN das gleiche Passwort.

Und was du mit den DDOS Angriffen mittels IoT-Hardware geschrieben hast, stimmt auch alles, aber da müsste man eher direkt am System ansetzen, wie crewo schon geschrieben hat. Denn die wird ja dann direkt im System installiert und nicht über die edomi Oberfläche.

Aber ich muss dir schon recht geben: so eine SSL-Verschlüsselung kostet kaum etwas und einmal eingerichtet läuft sie ja auch, nur bringt sie meiner Meinung nach im Heimnetzwerk keine Vorteile und man muss sich dauernd mit den SSL-Sicherheitswarnungen der Browser rumärgern, wenn man nicht gerade einen DNS-Server mit einer externen Domain im internen Netzwerk hat, wodurch man sich entsprechende SSL-Zertifikate besorgen kann.

Gruß
Lennart

danke für Eure Einordnung. Muss ich mal drüber nachdenken....