Обсуждение проблемы безопасности онлайн-сервиса MGT24

[glory24]

"Сейчас на MGT24 даже email не верифицируется. А надо бы по-хорошему привязку мобильника сделать и 2-х факторную авторизацию для маньяков. А то я как представлю себе, что некий хакер зимой ломает мой акк, выключает Телеграмм бота, ставит все в ноль и дом у меня замерзает, трубы лопаются, вода льется на пол, короткое замыкание, пожар, землетрясение, астероид... Ужас."
Текст не мой, но страхи имеют право на существование.
Надо учитывать что "Создатель" сервиса у нас один и на все его, точно не хватит.
Есть ли среди пользователей, кто мог бы взять на себя направление "безопасности"?

 

[glory24]

Кстати, я тут немного подумал и не смог найти ничего такого, на что могло бы критично повлиять, внешнее вмешательство в моей домашней инфраструктуре.
Может кто ни будь поможет мне поискать потенциальные уязвимости?

 

[PeterPK]

Взломать аккаунт.
Отключить Телеграм бота, чтоб не было оповещений.
Выставить температуру в котле на 0, чтобы дом замерз и трубы полопались, если зима.
Открыть ворота - заходите все кому не лень.

 

[glory24]

Взломать аккаунт.
Отключить Телеграм бота, чтоб не было оповещений.

Это жестоко

Выставить температуру в котле на 0, чтобы дом замерз и трубы полопались, если зима.

У меня дом неделю будет остывать от комнатной температуры до "0", даже в самые суровые морозы.
У меня иногда Sonoff управляющий бойлером отваливается, я узнаю об этом, когда в нем уже нет горячей воды. Это крайне неприятно, но не смертельно. Передернул ему питание и он снова оживает.

Открыть ворота - заходите все кому не лень.

Если кто-то в стоянии удаленно открыть ворота, то нафига ему на это тратить время?
Он скорее всего в состоянии легально заработать
А вообще интересно, сможет ли это, кто ни будь проделать с моими.

 

[NeoroN]

Или просто написать MGT24 и вы сами туда все сообщите, останется только взять)))

Вот я как то написал скрипт чтобы принимать с трекера данные и опубликовал адрес - и получил данные с других трекеров от тех кто не захотел писать такой сервис.

 

[glory24]

Или просто написать MGT24 и вы сами туда все сообщите, останется только взять)))

Вот я как то написал скрипт чтобы принимать с трекера данные и опубликовал адрес - и получил данные с других трекеров от тех кто не захотел писать такой сервис.

Ничего не понял из того что Вы написали. Давайте проще, Вот панель устройства. Сможете им управлять?
К примеру, сможете ли управлять этим двумя кнопками?

При нажати на них они должны менять свой цвет.

 

[NeoroN]

Ладно намек не поняли, поробуем по другому.
Что вы знаете о создателях MGT24 и о целях данного ресурса?
Какие они дают гарантии что не будут продавать ваши данные?

У меня впечатление о наспех сделанном ресурсе. Мне ваша панель не нужна, а вот владелец ресурса легко получит к ней доступ.

 

[glory24]

Какие они дают гарантии что не будут продавать ваши данные?

Какие данные может продать владелец ресурса?
Мой пароль к сервису, или какие-то еще?

 

[glory24]

Что вы знаете о создателях MGT24 и о целях данного ресурса?
Какие они дают гарантии что не будут продавать ваши данные?
....владелец ресурса легко получит к ней доступ.

Кстати Вас не беспокоит что мы Вами на форуме, владельцы котрого, абсолютно очевидно, преследуют какие-то цели, могут продать наши данные и легко получить доступ к нашим учетным записям?

 

[NeoroN]

форум это всего лишь форум - тут никакие устройства не подключают, и из данных максимум ник, почта, пароль, круг интересов. Пусть продают, не жалко - это осознанный риск для любого подобного ресурса.

 

[glory24]

форум это всего лишь форум - тут никакие устройства не подключают, и из данных максимум ник, почта, пароль, круг интересов. Пусть продают, не жалко - это осознанный риск для любого подобного ресурса.

Ладно. Но что тогда можно продать с сервиса MGT24 и кому это может понадобится?

 

[PeterPK]

Ладно намек не поняли, поробуем по другому.
Что вы знаете о создателях MGT24 и о целях данного ресурса?
Какие они дают гарантии что не будут продавать ваши данные?

Ну, владельцы Microsoft или Google могут продать о нас гораздо больше, и я тоже по сути ничего о них не знаю.
Весь вопрос в репутации.
MGT24 ни в чем таком пока замечен не был.

У меня впечатление о наспех сделанном ресурсе.

У меня тоже сложилось такое же впечатление по началу.

Если не трудно - напишите пожалуйста, что создало у вас такое впечатление? Хочу сравнить.

 

[NeoroN]

Ну, владельцы Microsoft или Google могут продать о нас гораздо больше, и я тоже по сути ничего о них не знаю.
Весь вопрос в репутации.
MGT24 ни в чем таком пока замечен не был.


У меня тоже сложилось такое же впечатление по началу.

Если не трудно - напишите пожалуйста, что создало у вас такое впечатление? Хочу сравнить.

Во первых это вырвиглазная тема "по умолчанию", во вторых половина элементов кривые, верстка сыпется. Уровень школьника, 7 класс. Человек явно не слышал про дизайн интерфейсов или не стал заморачиваться. В третьих в демо похоже показываются все добавленные устройства. И последнее в whois домена забит как "12345"( контактов на сайте нет впринципе), человек не может предоставить свои персональные данные? Если ты чесный разработчик то чего тебе скрывать, почему бы не заполнить как положено? Выложить код проекта на гитхаб? Я все свои публичные проекты выкладываю на гитхаб. А тут не понятно с чего такая щедрость в одном и отсутствие ее в другом - нет даже кошелька для поддержки проекта.

Подозрительность проекта 7 из 10.

 

[glory24]

Во первых это вырвиглазная тема "по умолчанию",

Не понял, что в ви под этим имеете ввиду?

во вторых половина элементов кривые, верстка сыпется. Уровень школьника, 7 класс. Человек явно не слышал про дизайн интерфейсов или не стал заморачиваться.

У меня практически нет сомнений, что Вы можете лучше. Вы могли бы показать свой какой ни будь проект, что бы мы могли оценить уровень Ваших возможностей?
В проекте действительно не хватает дизайнера. Хотите присоединиться к проекту в этом качестве?

третьих в демо похоже показываются все добавленные устройства.

Нет. Это только "похоже"
В "демо" видны только расшаренные устройства, то есть только те, что владельцы решили выложить в открытый доступ

И последнее в whois домена забит как "12345"

Это мне не понятно.

( контактов на сайте нет впринципе)

Смотрите внимательнее

Но возможно, Вы правы, можно хоты бы имя и Телеграм добавить.

человек не может предоставить свои персональные данные?

Ну, скажем, и Вашем профиле информации не густо Хотя возможно Вы правы, сервису, для придания открытости, стоило бы указать какую ни будь штаб-квартиру.

Если ты чесный разработчик то чего тебе скрывать, почему бы не заполнить как положено?

А как положено и где это "положено" можно посмотреть?

Я все свои публичные проекты выкладываю на гитхаб.

Дайте пожалуйста ссылку для ознакомления.

А тут не понятно с чего такая щедрость в одном и отсутствие ее в другом

Возможно для этого есть свои причины, но стоит ли их обсуждать именно с Вами? Мы ведь еще не достаточно хорошо знакомы
Если Вы желаете стать участком проекта - милости просим. Станете участником - будем с Вами обсуждать интимные его подробности

Наличие кошелька для проекта снизит "подозрительность"?

 

[PeterPK]

Во первых это вырвиглазная тема "по умолчанию", во вторых половина элементов кривые, верстка сыпется. Уровень школьника, 7 класс. Человек явно не слышал про дизайн интерфейсов или не стал заморачиваться. В третьих в демо похоже показываются все добавленные устройства. И последнее в whois домена забит как "12345"( контактов на сайте нет впринципе), человек не может предоставить свои персональные данные? Если ты чесный разработчик то чего тебе скрывать, почему бы не заполнить как положено? Выложить код проекта на гитхаб? Я все свои публичные проекты выкладываю на гитхаб. А тут не понятно с чего такая щедрость в одном и отсутствие ее в другом - нет даже кошелька для поддержки проекта.

Подозрительность проекта 7 из 10.

По поводу оформления - согласен. Но я бы сделал ничуть не лучше. Веб дизайн это тоже работа и что-то я сильно сомневаюсь, что любой 8-классник сделает лучше. Подозрительность это у меня не вызовет, но и на солидность проекта тоже не намекает.

Про демо уже ответили.

Про отсутствие контактов на сайте совершенно согласен.
whois вроде поправили.

Со своей стороны еще добавлю:
- отсутствие верификации email
- отсутствие личного кабинета и возможности хоть что-либо ввести/изменить в персональных данных кроме пароля

 

[valeraba]

Если ты чесный разработчик то чего тебе скрывать, почему бы не заполнить как положено? Выложить код проекта на гитхаб? Я все свои публичные проекты выкладываю на гитхаб. А тут не понятно с чего такая щедрость в одном и отсутствие ее в другом - нет даже кошелька для поддержки проекта.

Опубликовать исходники прошивок устройств, нет проблем. А вот открыть код публичного сервиса, с моей точки зрения, было бы сейчас не разумным. У хакеров появиться соблазн долбить сервис по слабым местам. Такие атаки, радости моим пользователям уж точно не принесут. А чтобы обезопасить себя от перебоев работы облачного сервиса, я всем пользователям рекомендую устанавливать локальный сервер.
Если говорить конкретней, то вопрос мог бы звучать таким образом, могут ли вообще существовать публичные многопользовательские сервисы для домашней автоматизации? Да, такие сервисы есть. А вот насколько они популярны, это другой вопрос.

Если не будет сил поддерживать этот сервис, то я опубликую все исходники и умою руки. Нет нужды заниматься обманом.

Почему сервис бесплатный? Движок этого сервиса будет переиспользован в корпоративном сегменте.

 

[antenna-krsk]

А мне нравятся критики, взгляд со стороны всегда важен, иногда зарывшись в своей теме не видишь главного. Я уверен, что безопасность - важный момент, и этот аспект стоит прорабатывать, он ограничивает и может развернуть весь ход событий. Если Валерий считает, что проблемы нет, я ему поверю однозначно, но если есть мысли, то давайте сделаем какие то шаги. Может быть кто то здесь сможет быть полезным.

 

[PeterPK]

Желательны разные уровни безопасности, чтобы каждый мог выбрать в зависимости от своей паранойи.

1. Как сейчас, логин пароль и все.
2. Тоже самое что и 1, но аккаунт привязан к телефону и смена пароля/email возможна только с подтверждением по смс.
3. Вход только с кодом смс.
4. 2FA (для маньяков)

На мой взгляд "3." вполне достаточно.

 

[valeraba]

Мои мысли:
1) Вход по sms, неоправданно дорого для сервиса, который должен быть всегда под рукой.
2) А вот восстанавливать пароль было бы разумно только через sms (не через email).
3) Для 2FA использовать приложения для получения временных паролей FreeOTP , Google Authenticator и другие.

 

[PeterPK]

Мои мысли:
1) Вход по sms, неоправданно дорого для сервиса, который должен быть всегда под рукой.
2) А вот восстанавливать пароль было бы разумно только через sms (не через email).
3) Для 2FA использовать приложения для получения временных паролей FreeOTP , Google Authenticator и другие.

Ну и еще конечно необходимы "профиль пользователя", возможность смены email (через sms) и тд.