All streams
Search
Write a publication
Pull to refresh

Comments 38

"Театр безопасности"

Rating is hidden

Ага. «Graceful degradation»? Не слышали!

Rating is hidden

Нельзя ли им PR с решением куда-нибудь отправить? Что починили - круто, но проблему имеет смысл решить глобально, добавив фоллбэк и вменяемое сообщение в лог.

Rating is hidden

На их форуме уже несколько месяцев переписка болтается. Боюсь мне недостучаться. Только так - через общественное мнение если

Rating is hidden

Накинул ещё на вентилятор во внутреннем чате части разрабов HA. Следить не буду - там на плохом английском много личной хераборы, но авось поможет.

Rating is hidden

Это вообще опционально должно быть, причем явно и выключено по умолчанию.

Rating is hidden

Логичнее было бы поправить только три последние строки, чтобы при недоступности сервиса делалась запись в лог, но проверка считалась пройденной. У кого доступно - пусть проверяется

Rating is hidden

Логичнее всего - отключить и не включать. Хочется чего то проверять - проверять локально. Cracklib в помощь

Rating is hidden

Вообще идея посылать чего-то личное в какое-то облако не спрашивая - охрененно плохая, так то.

Rating is hidden

Справедливости ради, HIBP использует k-anonymity: отправляются только первые 5 символов SHA 1 хеша. Сервер не знает ваш пароль, он возвращает список всех хвостов, а клиент уже сам ищет совпадение

Но да, без явного согласия пользователя такие запросы делать моветон

Rating is hidden

Это вообще очень подозрительно, возможно сервис просто создает базы хешей по адресам.

Rating is hidden

Как в старой притче.

Мастер, я погуглил - такого пароля в интернете нет!

Теперь - есть.

Rating is hidden

Ну, лично мне хешей от автогенеренных паролей не жалко. Могу и поделиться ;)

Rating is hidden

На ваш хэш может найтись более одной строчки с паролем. А далее, дело за малым, можно просто подставить совершенно другую строку в качестве пароля и войти в ваш сервис не зная оригинаььного пароля.

Rating is hidden

Я и пару миллионов хешей могу пожертвовать на хорошее дело ;)

Rating is hidden

Заведите issue в репозитории supervisor на GitHub. Сейчас там всего 40 открытых, похоже что их разгребают.

Rating is hidden

Да, я проверял это в конце года и всё, что меняется - пропадает одна из двух ошибок в логах. Кроме того, мне попадался совет с редактированием pwned.py, но либо я что-то делал не так, либо разработчики что-то изменили, но после перезапуска системы файл восстанавливался и проверка снова работала.

Rating is hidden

Пользуюсь HA лет так 4-5, очень сильно выручал в условиях "живем в тайге, интернет только спутниковый и дорогой".

Пришлось уехать на время - супруга через день стала говорить, что "умный дом" зависает, то свет вовремя на улице не включит, то в курятнике термостат не сработает. Вернулся, стал проверять - все работает.

И только сейчас подумал, а ведь HA мог стучаться в инет, в ответ получать "заглушку" от провайдера с редиректом на страницу авторизации и через *цать запросов ложиться намертво. Потому что пока я дома и инет подключен - кроме сбоев по питанию ничего умный дом не ложило.

Спасибо, натолкнули на мысль.

Rating is hidden

Это должно быть галочкой в настройках я считаю, а по умолчанию выключено.

Rating is hidden

за что боролись... накрутили 100500 багофич, типа все остальное уже работает, вендронезависимость, работает без интернета. Если ЭТо изначально не пускать в интернет то и паролю будет некуда утекать. Но нам же жизнено нужны свежие автообновления ..

Rating is hidden

Не проще ли эту проблему решить с помощью VPN зайдя, так сказать, с другой стороны?

Rating is hidden

Настоящая проблема тут в том что подобные вещи должны быть опциональными и по умолчанию отключенными, поэтому и решать проблему нужно соответствующим способом, а не подключая VPN к автономному умному дому.

Rating is hidden

А завтра VPN ляжет, и что? Все повторится же. Или сам провайдер ляжет

Rating is hidden

С этим тоже интересно. Если настраивать ВПН на Home Assistant так, как это рекомендуется, через аддоны, то эти аддоны не заведутся из-за той же ошибки. Не проверял на других ВПН, но в конфигах аддонов для wireguard поле для закрытого ключа имеет тип password и, соответственно, при сохранении настроек или при запуске аддона система пытается проверить ключ на HIBP, проверка падает и ВПН не поднимается.

Rating is hidden

Замкнутый круг

Rating is hidden

Почему то кажется что если файл в докере то и править правильнее докер файл.

Rating is hidden

Если брать ha в докере, там такой проблемы нет. Она есть только в версии с супервайзером, то есть на текущий момент в ha os. А там может быть все что угодно, а не только проверка пароля...

Rating is hidden

Система для локального умного дома требует интернет, чтобы проверить, не украли ли ваш пароль от локального умного дома - рекурсия паранойи) Видимо разработчики HA считают, что у каждого пользователя в подвале стоит хакер, который брутфорсит его зигби-лампочки через HIBP

Rating is hidden

Блин только собрался купить малинку и освоить home assistant! Получается что лучше не надо палить деньги и остаться на спруте и iobroker?

Rating is hidden

Я в Голландии работаю, живём обычно на съёмных квартирах. Лет 5-6 назад там началось поветрие на (без)умные дома на дешёвой китайской базе - весь этот зоопарк от нонеймов до Хуавей и сяоми.

Вы даже не представляете, сколь нерационально эта хрень разработана, сколь ограничена по функционалу и какими разными способами умудряется не работать. 😈

Лично для себя я бы строил систему на базе промышленного PLC. Да, дороже, да, сложнее. Зато надежно, функционально и никаких скрытых сюрпризов.

Rating is hidden

Кажется pwned блокируется по IPv6. Отключение v6 на интерфейсе решило проблему с блокировкой сервиса.

Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2026, Habr