Sicherheitslücke im Internetzugriff von Home Assistant
Frederik Braun versuchte, Home Assistant für die Fernsteuerung seines Smart Homes zu verwenden, entdeckte aber eine erhebliche Sicherheitslücke. Obwohl Home Assistant Benutzername/Passwort und Zwei-Faktor-Authentifizierung bietet, verhindert die Unfähigkeit, URLs mit eingebetteten Anmeldeinformationen zu verarbeiten, und die Notwendigkeit der Bereitstellung im Root-Pfad zusätzliche Sicherheitsmaßnahmen wie Webserver-Authentifizierung oder das Verstecken des Dienstes hinter unkonventionellen Pfaden. Dies lässt die Sicherheit von Home Assistant allein auf seine internen Mechanismen angewiesen, was ein Sicherheitsrisiko darstellt. Der Autor fordert die Home-Assistant-Community auf, die Flexibilität ihrer Sicherheitskonfiguration zu verbessern.