Es geht mir nicht um Wahrscheinlichkeiten, sondern um effektiv verfügbare Möglichkeiten ...

Auf mich selbst bezogen schätze ich dieses Risiko als überschaubar ein, aber ausschliessen kann ich es nicht. Jetzt darf jeder für sich selbst entscheiden, was er damit macht ... ich für meinen Teil beuge mich nach vorn, bevor ich mir auf die Schuhe kotze
...

Gruss

fasi

Gut gut - aber man kann sich natürlich auch beliebige Szenarien konstruieren, um dann in Panik zu verfallen... Wohin würde das führen...? Vielleicht ist dann KNX grundsätzlich nix für Dich?!

Allerdings, da wären wir wieder beim grünen Kabel, das außen am Haus irgendwo erreichbar ist, und erst recht das Cat.5/7 von der installierten Kamera. Ganz zu schweigen von dem WLAN, das sich schlecht innerhalb der 4 Wände begrenzen lässt. Wo war gleich wieder das Thema mit den vorm Haus campenden KNX-Hackern?

Und blöderweise ist es am Ende dann doch der böse Bube, der einfach das Fenster aufhebelt

Wie ketzerisch. Genau mein Geschmack, gefällt mir!

fasi Ich leih dir gern meinen Seitenschneider zum Durchtrennen deines LAN-Kabels zu deiner FlitzpiepeBox oder was auch immer...

Die Seitenschneider-Methode halte ich auch für sehr sicher. Wobei einfach Abstecken wohl schon reichen würde. Neben der maximalen Sicherheit hätte das wohl auch einen immensen Zugewinn an Lebenszeit / Freizeit / Erholung zur Folge.
Vielleicht sollte man mal einen *Stecker aus der Fritzbox Tag* pro Woche einführen... klingt sehr erstrebenswert.

Ungefähr so erstrebenswert wie der "Weltspartag" In Zeiten von "Verwahrentgeld"...

Und eure Kinder lasst ihr auch nicht impfen ... es trifft ja nur eines von 100000 ...

Aber gemäß euren Aussagen habt ihr ja keine ... Seitenschneider ...

Offen gesagt: ich finde, dieses Thema nimmt einen Weg, der dem bisherigen Umgang miteinander hier nicht gerecht wird. Das empfinde ich als schade.

inhaltlich fand ich die Ausgangsfrage und ergänzende Fragen und Gedanken doch valide. Genauso valide, wie zB die Frage, wie man sein erstes UE klickbar macht. Völlig wertfrei kann man wohl feststellen, dass edomi im aktuellen default im Vergleich zu anderen Diensten (beispielsweise nextcloud, mediawiki, NAS, ...) konzeptionell eine geringe Hürde hinsichtlich Sicherheit darstellt. Dafür bekommt man eine unschlagbare, hochklassige KNX-Lösung. Es ist ja niemand auch gezwungen, edomi zu nutzen. Das Leben ist voller Kompromisse...

Dennoch sehe ich die Frage danach und die offene Diskussion und Abwägung als gut und richtig an. Das ist weder ein Angriff auf Kompetenz bei der Entwicklung, noch ist es eine „blöde Frage“, die einen Seitenschneider verdient.

Ja, definitiv muss man diese Frage im Gesamtkontext seines Netzwerks sehen. Und ja, wenn man Alexa, seinen Nas und diverse ungeschützte wlan-Kameras offen in Clouds plappern lässt, dann ist die Frage nach der Sicherheit von edomi sicher - fragwürdig... .
Aber ich denke, es gibt hier genug, die durchaus überlegt ihr Netz gestalten - und ja, das kann auch „nur“ eine Fritzbox sein. Wenn derjenige sonst keine offenen Scheunentoren unbedacht aufreißt, dann darf man das genauso offen im geiste des KNX UF diskutieren, wie edomi auf einem rPi oder eine Kaffeemaschine an KNX zu bringen oder oder oder sonstige schöne und manchmal ungewöhnliche Dinge hier, die auch nicht jeden betreffen...

es geht hier einerseits um die Diskussion, ob und wie edomi von Hause aus sicherer werden kann (wobei Christian hier eine klare und faire Meinung zu hat und klar kommuniziert). Hier entwickelt sich die Welt ja auch weiter. Und abseits unterschiedlicher Ansichten dazu: das könnte zB irgendwann https statt http sein. Oder wie man das centOS etwas Härten kann - falls das überhaupt sinnvoll ist (mir persönlich fehlt dazu das tiefere Fachwissen)

aber auch, wie man das gegebene edomi Sicherheitstechnisch sinnvoll in sein Netzwerk einbetten kann, um das eine oder andere realistische Angriffsszenario zu vermeiden oder diese auf Realitätsbezug abzuklopfen.

eine offen und fachlich fundierte Diskussion dient doch allen.

Also das ganze ist dann doch ziemlich arg konstruiert und völlig am Ziel vorbei, wenn es wie hier ums Beispiel aktuelles Linux-System geht. Glaubst du wirklich, dass jemand der einen Trojaner baut der spezifisch auf lokal installierte PHP-Applikationen lauscht? Dann auch noch über den Weg iOS? Davor passieren eine ganze Menge anderer Dinge, welche wesentlich einfacher und viel lukrativer sind.

Deine Lücke interessiert absolut niemanden, siehe oben, die China-Lampe ist weltweit 1 Mio mal im Einsatz, die ist attraktiv. Aus IT-Sicherheit-Sicht bewegst du dich mit deiner Argumentation in unrelevanten Bereichen.

Was keinen interessiert, muss man auch nicht abschotten im lokalen Lan! Du tust so, als hättest du in edomi deine Bankdaten hinterlegt. Hier ist im lokalen LAN dein PC/Handy wesentlich interessanter. Aber da drehen wir uns echt Kreis! Wenn man sich mit IT-Sicherheit beschäftigt, sollte man auch relevante KPIs beachten, und das ist mindestens eine Risikoanalyse vorab.

Solange edomi von aussen nur per VPN (also im Prinzip von aussen GAR nicht) erreichbar ist, und man eine grundabsicherung mit vernünftigem Router/Firewall gemacht hat und sonst keine zweifelhaften Geräte im LAN betreibt, sehe ich kein Thema hier. Und wenn, ist das keine Gefahr für edomi, sondern eher für eure privaten Daten auf den Endgeräten.

Sehr schön und m.E. absolut korrekt!

Dieses Szenario ist also nicht realistisch? Smartphones, welche sich zufällig Trojaner einfangen, die sich beim Connect im WLAN versuchen weiter zu verbreiten? Glaubt Ihr echt, dass alle Viren/Würmer/Trojaner nur eure
wollen?

Schonmal was von Botnetzen gehört?

Wie gross ist die installierte Basis für:
---snip---
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.2
22/tcp open ssh OpenSSH 7.4 (protocol 2.0)
80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/7.2.24)
3306/tcp open mysql MySQL 5.5.64-MariaDB
8080/tcp open http-proxy?
---snap---
?
Abbildung-1-13.png

Hier die passenden Vulnerability-Lists:
https://www.cvedetails.com/vulnerabi...db-5.5.47.html
https://www.cvedetails.com/vulnerabi...8/PHP-PHP.html
https://www.cvedetails.com/vulnerabi...ver-2.4.6.html
https://www.cvedetails.com/vulnerabi...d-Openssh.html

Aufwand um das zusammen zu suchen ... 10 Minuten. Da geht es nicht um Edomi sondern um die darunter liegende Software ... und diese Software läuft nicht nur auf Edomi-Installationen.

Also für mich sieht das grundsätzlich nach einem lohnenden Ziel aus ...

Klar bist du Beifang ... und ich auch. Aufräumen müssen möchte ich das aber hinterher trotzdem nicht ...

Wie viele Web-Präsenzen werden heutzutage (glücklicherweise) bei Hosting-Providern gemacht?

Es geht auch nicht um
sondern um:
Gruss

fasi

Glaub was du glauben willst, aber alles was du da an Szenario aufmachst hat nichts mit edomi zu tun oder einem Cent OS beliebiger Version, da diese Systeme nicht offen im Internet stehen. Und wenn ein Trojaner per Android in den Haushalt geschleppt wird, dann ist das nicht das Problem von edomi und ich bleibe bei meiner Aussage, dass sich dieser auch nicht für edomi interessieren wird. Aber mir wird das zu theoretisch hier, lass uns einfach einigen das jeder seine Sicht der Dinge hat

Full ACK ... für Edomi selber sehe ich derzeit keine ausreichende Installationsbasis, sodass das für irgendeinen Hacker interessant sein könnte.

NACK ... hier ist die Installationsbasis wiederum eine ganz andere, zumal sich die

Dienste nicht nur auf CentOS-Installationen befinden dürften, sondern auch auf vielen anderen Distributionen, z.B: RedHat, SuSe, Debian, Ubuntu, Mint, ...
Klar haben nicht alle identische Versionen, aber es gibt oft genug Exploits, die nicht nur eine sondern eine ganze Liste von Versionen betreffen ...

Müssen Sie auch nicht ...
Damit wäre
wiederlegt und
(N)ACK ... kein Problem von Edomi, wohl aber für das
und um dessen Updates ging es ja ...

Ja leider beginnen die meisten Exploits mit reiner Theorie, bevor Sie in die Praxis umgesetzt werden

Das schrieb ich schon in Post #16 bevor mir grosszügig der
angeboten wurde ...
Und an meiner Eignung für KNX gezweifelt worden ist, weil ich die unbekümmerte Meinung bzgl. Updates nicht teile ...

Gruss

fasi

Nein, das war nicht böse gemeint - ich wollte nur spitzfindig andeuten, dass KNX i.d.R. vollkommen unsicher ist (bzw. der IP-Router/Schnittstelle).

Natürlich hast Du theoretisch nicht unrecht, aber praktisch sehe ich da einfach keine relevante Gefahr. Ich (persönlich) lade keine komischen Taschenlampen- und Gratis-Irgendwas Apps herunter. Bin ja keine 15 mehr...

Ich frage mich inzwischen, wann hier mal vom Bedenkenträger-Modus in den Lösungs-Modus umgeschaltet wird. In jedem Post lese ich von neuen Bedrohungsszenarien, Vulnerability-Lists, Exploits, Wahrscheinlichkeiten, Botnetzen, etc.
Wenn es nur um die Frage geht, ob regelmäßige Updates sinnvoll sind, dann kann das doch jeder für sich entscheiden.
fasi Mich würde mehr interessieren welche weiteren praktikablen Maßnahmen zur Erhöhung der Sicherheit es aus deiner Sicht gibt als jede mögliche oder unmögliche Bedrohung zu kennen?