Sicherheitsbedenken

[Manni]

Bin seit langem ein Fan dieses Pool-Controllers, habe aber ein Sache die mich stört.
Sofern der Controller aus dem Internet erreichbar ist, sind doch zu viele Informationen sichtbar.
Die komplette Konfiguration (Einstellungen/Netzwerk/E-Mail/Telefon) ist für alle ersichtlich
(was kann man eigentlich auf der "SD-Card" alles so auslesen und verändern)
Wenn man wie ich, aus der IT-Branche kommt, sieht man das als absolut kritisch an.
Ich weiß ja, das diese Daten teilweise für euren Support hilfreich sind, aber gibt es dafür nicht eine andere Lösung.
Zumindest sollte der Punkt Konfiguration erstmal nur mit User/Passwort aufklappbar sein.

Vielleicht kann man dies noch überdenken und sowas in die nächste Version mit einbauen.

[Alex]

>> Die komplette Konfiguration (Einstellungen/Netzwerk/E-Mail/Telefon) ist für alle ersichtlich
Nein personenbezogene Daten sind für niemanden ersichtlich ohne eingeloggt zu sein. Das geht nur Netzwerkintern ohne Login.

[Manni]

ups ... habe mich durch die Dummy Einträge in den Konfigurations-Tabs täuschen lassen.
und ja es stimmt .. intern geht's auch ohne Login

Aber wichtig ist das extern keiner reinschauen kann

[Mark48]

Man kann hier im Forum mehr Daten über dich sehen als über den Controller.
Datenschutz fängt bei jedem selber an, den Wohnort hättest du hier auch nicht angeben müssen.

[cguenther]

... wenn ich sehe, wieviele ProCon.IP per shodan.io zu finden sind und die default-Passwortsettings nutzen...

[Manni]

Man kann hier im Forum mehr Daten über dich sehen als über den Controller.
Datenschutz fängt bei jedem selber an, den Wohnort hättest du hier auch nicht angeben müssen.

Da gibbet einen schönen Artikel in der c't, wo durch entsprechende Querverbindungen, Verknüpfen von Daten und reinem logischen Denken ein Profil einer Person aufgebaut wird.
Wer weiß was eine automatisierte KI damit macht.
Vor manchen Sachen ist man einfach nicht gefeit und manche Sachen muss man einfach in Kauf nehmen, wenn man den Luxus der Fernabfrage haben möchte.
(sprich am öffentlichen Leben teilnehmen will).
Klar kann man auch VPN (und wir sprechen nicht NordVPN) nutzen oder einen Webproxy vorab schalten.

Aber ob dort für Foren-Mitglieder ein Wohnort steht oder interne IP-Adressen für Public sichtbar sind, ist schon ein Unterschied.
Gut das ich mich da verguckt habe.

[Mark48]

Im Grundsatz widerspreche ich dir ja nicht. Datenschutz ist für mich auch kein Fremdwort und ich halte diesen für extrem wichtig aber die Zauberformel lautet hier wohl Riskmanagement.
Man kann einfach nicht jedes Risiko vermeiden.

[markus]

Ich kann mich da nur anschließen und hoffen das einige hier sich das zu Herzen nehmen. Im Moment sind es fast 190 Poolsteuerung die aus dem Internet erreichbar sind. Ich möchte nicht Wissen wieviele davon noch die Default Passwörter verwenden. Nicht auszudenken was man da für einen Schaden anrichten könnte.

Wenn Ihr schon Remote auf Eure Anlage wollt, warum richtet Ihr euch nicht einen VPN Tunnel ein. FritzBox + Android ist das eine Sache von 5 Minuten.

[Alex]

Hat ja nicht jeder die Möglichkeit, überhaupt nen VPN Zugang ein zu richten oder zu nutzen... zum anderen scheitert's dann natürlich auch irgendwann am "Wissen".
Es ist ein durchaus brauchbarer Schutz, vernünftige Zugangsdaten zu wählen.

>>...Schaden anrichten.
Ja, könnte man wohl irgendwie, mit verstellen von entsprechenden Einstellungen
Man darf sich aber auch die Frage stellen, wer daran Interesse hat und was für ein Nutzen daraus entsteht... das ist eher keiner.
Aus reiner Langeweile ist heute kaum mehr einer unterwegs. Es geht entweder um's Sammeln von Daten oder um Zugänge/Zugriffe, die man dann irgendwann zu "irgendwas" benutzen kann (im Regelfall gerne um das betreffende Gerät zum Teil eines Botnets zu machen). Weder das eine, noch das andere ist hier gegeben. Die paar Emailadressen, die man sich ziehen könnte... hm... Datensätze mit gültigen Emailadressen kann man in 100k-Paketen für wenige Euro auch so bekommen - dafür betreibt keiner mehr den Aufwand... und irgendwelche Exploits oder sonstige Software bekommt man auf der Steuerung nicht unter.

Also ein brauchbares Passwort ist erstmal ein guter "Schutz"... allein eben schon weil kein wirklicher Nutzen aus einem Zugang zur Benutzeroberfläche der ProCon resultiert...

[markus]

>>Hat ja nicht jeder die Möglichkeit, überhaupt nen VPN Zugang ein zu richten oder zu nutzen... zum anderen scheitert's dann natürlich auch irgendwann am "Wissen".
Naja, fast jeder Internet Anschluß gibt das heutzutage her. Bei manchen kostet es halt wenige Euros mehr eine Öffentliche IP zu bekommen. (keine Statische)

>>Es ist ein durchaus brauchbarer Schutz, vernünftige Zugangsdaten zu wählen.
Richtig, aber anscheinend scheitert es bei manchen schon daran. Und dann wäre ja noch die Sache das alles im Klartext rübergeht.....

>>Man darf sich aber auch die Frage stellen, wer daran Interesse hat und was für ein Nutzen daraus entsteht... das ist eher keiner.
Man könnte z.B. dir als Hersteller Schaden und probieren dir einen schlechten Ruf umzuhängen, auch wenn du erstmal nichts dafür kannst.

Es hilft wohl nur Sensibilisierung.
Also, seit euch bitte bewusst wenn Ihr in eurer FritzBox eine Portfreigabe einrichtet, dass jeder auf eure Steuerung zugreifen kann und ändert das Passwort zu einem sicheren, weil auch die sind leicht automatisiert anzugreifen.

[Alex]

>>Richtig, aber anscheinend scheitert es bei manchen schon daran.
Jo

>>Und dann wäre ja noch die Sache das alles im Klartext rübergeht.....
Und wo genau, wer und wie kann diesen Klartext lesen?... derjenige, der in der "Position" und "Lage" ist das zu lesen, kann auch verschlüsselten Traffic lesen (im Klartext). Das ist - Stand jetzt - immer noch kein wirklicher "Mehraufwand", beim meisten Traffic der so anfällt.

>>Naja, fast jeder Internet Anschluß gibt das heutzutage her
Scheitert ja nicht unbedingt am Internetzugang. Wenn Du keinen Router hast, der selbst einen VPN Zugang bereitstellen kann (wie eine Fritz)... dann brauchst Du einen "Rechner", der 24/7 in Deinem Netzwerk an ist und zu dem Du den Tunnel herstellst.... und genau das meint ich mit "es hat nicht jeder die Möglichkeit und das Wissen"...