РЕКЛАМА НА ФОРУМХАУС Теперь спешу обрадовать. Тоже рассматривал себе Эктоконтрол. Зашел в панель управления, удобно, хорошо, но... Далее переписка с производителем: "-Добрый день Вопрос по управлению EctoControl - я смотрю, вход в личный кабинет идет по протоколу http В связи с этим - а как защищен пароль лк от перехвата? -Добрый день. Доступ к нашему ЛК осуществляется по принципу "Как есть". -Простите, не понял. В смысле - пароль передается в открытом виде, закрытом виде внутри отдельно модуль шифрует или это неизвестно? Если в открытом - можно ли через личный кабинет сделать привязку по ip или как-то еще защититься от взлома? -Да, пароль передаётся в открытом виде. Как хранится дальше - информация для служебного пользования." Перевожу: "Система сделана так, как сделана. Кому не нравится - нам всё равно, переделывать не будем." То есть - система безопасности, которая обеспечивает безопасность Вашего имущества и это её основная функция, принимает команды на управление собой от личного кабинета в интернете, доступного откуда угодно. При этом пароль от этого личного кабинета передается в открытом виде по открытому протоколу То есть грубо - любой man in middle (Сосед, сотрудник провайдера, просто абонент сети/сетей по пути соединения Вас с этим личным кабинетом) может перехватить этот пароль. И сделать это совершенно несложно. Для сетей GSM безопасность основана хотя бы на привязке к номеру телефона (хотя они последнее время тоже могут внезапно перейти к другому абоненту), а тут - просто дыра, нет, ДЫРИЩА
Ну можно наверное попросить, чтобы сделали Push на вход в ЛК. Или ещё что нибудь. А вообще кому оно нужно, выискивать логин и пароль, чтобы ... чтобы что?
Попросить можно. попросить можно, но как мы видим, производитель вопросы о "можно ли?..." просто проигнорировал, а точнее ответил "будет как есть". Меня вообще эта ситуация несколько озадачила, ибо это - не какая-то дополнительная функция устройства безопасности, а его основная. Иначе можно задать вопрос - "да кому надо шифровать радиоканал брелка автосигналки? никто же в здравом уме не будет угонять машину? ну правда же?" Собственно, когда внедрялась ip-телефония - тоже авторизацией и защитой особо никто не заморачивался, ну кому надо будет логиниться на атс, чтобы что? звонить в зимбабве? Пока не начали получать соединения из неясных источников, звонки в ту же зимбабве и счета на многие килобаксы. Это к вопросу "кому надо". То есть мы предполагаем, как в случае кситала с двумя симками (как они пишут у себя), что взломщик может приехать с глушилкой GSM-сигнала, такую заморочку мы предполагаем, а что кто-то может прочитать http - это мы не предполагаем. Да меня вообще-то даже чье-то хулиганство напрягло бы. По обсуждаемым производителям: Эритея - вход в лк по HTTP ZONT - вход по HTTPS Лично я склоняюсь к Zont'у, вообще разнообразие и расширяемость у них понравилась, хоть и вроде подороже Если кто-то может еще дополнить по защищенным протоколам личных кабинетов - было бы неплохо.
К сожалению, отсутствие https - это не столько дыра в безопастности сама по себе, сколь показатель отношения производителей к защите, глубины их непонимания угроз в интернете. Приделать https к любому сайту - это задача на 15 минут для плохого админа. Ну и $60 условно за сам сертификат заплатить. (Заметим, что форумхаус работает по https.) Если даже этого не сделали, то уж точно не делали сканирование своего сайта. И скорее всего он вскрывается школьником за несколько часов. Ну и еще момент. Раз не говорят в каком виде хранят пароли, значит либо в открытом, либо максимум в виде md5-хэша (вскрывается за 5 минут на майнинговой машине).
А причем тут устройства, если ЛК не на устойстве работает, а на сайте производителя? Да и на устройстве это не так уж сложно. Не надо только "велосипеды" изобретать.
CCU825 - через интернет тоже работает по HTTPS. Не был уверен в этом, поскольку не являюсь пользователем этого контроллера. Поэтому не стал сразу писать. Сейчас посмотрел по мануалу и решил дополнить список, ради справедливости.
Эктоконтрол, прежде всего, умный дом, охрана как опция. Если требуется защищать что- то более ценное, нужно ставить другие системы и на пульт охраны выводить, у меня, например, несколько лет так и было, но посчитал, что это лишнее (особенно в плане переплаты). Охрана мне нужна от залётных воришек, взламывать сайты - не их уровень. Да и в Эктоконтроле, если есть подозрения на взлом, личный кабинет можно отключить после настройки и управлять по смс
эмм...ну там и там есть СМС-управление. Вот если бы не было у одного, тогда можно так сказать - этот лидер, у него есть смс.
Управление по смс у всех есть. Немного спорно говорить, что кто-то тут лидер. А вот управление через интернет у CCU действительно очень интересно организовано.
Ну есть и есть управление через интернет. Как оно организовано, не пофиг ли... Хотя чего там такого, есть данные, передаются на сервер, из них строятся графики, по этим данным идет управление. Все! Никаких ноу-хау. Да все ж эти системы как однояйцевые близнецы! Мне вот на этапе выбора показалось, что ЭК это коробочный продукт. Не нужно ничего допиливать. Вытащил из коробки, подключил и работает. Думаю, у других так же. Вот не взял Зонт только потому, что не люблю когда выпускает производитель кучу моделей и вот сидишь и пытаешься разобраться в них..., какая колбаса лучше, какая сковородка долговечнее, какая модель стиральной машины удобнее и т. д. Ведь чтобы выбрать смартфон, того же Самсунга, нужно перелопатить десятки моделей...Да гори оно все в аду! Открываю ЭК, о ё! всего одна модель и делает все что нужно - Т поддерживает, дом охраняет. Все! Её и изучаю... как-то так короче...
Ну так у всех так и CCU и у Кситала и Zonta и Эритеи. В какой то степени у них всех это реализовано, немного по разному, не полностью, где то хорошо где то плохо, но у всех. Есть всего 3 варианта управления и мониторинга: -смс -смс и облако -только облако
переведу ваш перевод. Если реально есть угроза взлома вашего дома, то вам тогда нужен сторож или ЧОП. А если вы думаете, что ваш пароль будут взламывать, искать и что-то делать, то я не уверен. все машины угоняются на раз-два. Только что-то меньше их не стали покупать. А по поводу Зонта. А как у него идет передача данных от системы до сервера. Может и там есть возможность взломать.) Вы это уточняли? По поводу Https скорее больше для самоудовлетворения.) Но я им напишу тож, может что ответят иначе) Больно у вас никнейм странный)