Немного о том что я знаю о Вашем умном доме.
Недавно в системе была закрыта критическая уязвимость по доступу из вне без пароля. Любой мог получить доступ к вашему умному дому. За обнаружение и исправление уязвимости спасибо Maksim London. Собственно и оставшуюся часть статьи побудил написать меня именно он.
На данный момент в системе имеются еще уязвимости о которых известно и уязвимости которые еще не обнаружены. Местами это не уязвимости а просто штатный функционал, который заложен разработчиками.
Я опишу как с этим боролся я и все варианты другие прошу описать в комментах.
Я могу найти вашу систему в сети интернет по уникальному имени системы, как это делается я описывать не буду. Но будьте уверены, если вы имеете доступ в интернете к своей системе по IP или имени сайта, то вас вероятно видно и остальным. Об этом не раз писалось в чатах и даже уверенные в себе пользователи попадались.
Увы, на данный момент эта проблема не решена.
Еще одна глобальная уязвимость закрыта на 50% и выводит нас на возможность скачать файл базы данных. Закрыли ее частично из-за разности ПО, апач полечили, другое нет. Проверяйтесь и закрывайтесь. Что храниться у вас в БД я представляю, это и пароли от разных систем и история действий умного дома, а многие и личные данные там хранят. Эту проблему, как я помню, нашел Тарас, он же и предложил частичное решение на основе своей системы.
Теперь о том что отдают ваши файлы сразу и без вопросов по прямому переходу к файлу
Файл rss.php
Выводит сразу 10-к крайних сообщений системы. Что-то сделать с этим в в вашем доме нельзя, но информация о ваших действиях в доме и привычках доступна любому, а значит найдутся люди которые этим смогут воспользоваться в итоге.
Как это лечить решайте сами, удалять или подменять файл, переименовывать. Тут кто во что горазд, но при каждом обновлении не забывайте этого сделать.
Файл gps.php выводит последнее сообщение системы, не 10 уже конечно, но при должном сканировании и последнее сообщение считаю уязвимостью личных данных.
Тут попроще ситуация, удалять или переписывать файл не обязательно, тем более что он используется в системе для получения данных.
Для отключения этого сообщения в этом файле есть настройка, но к сожалению в конфиге она изначально отсутствует
Define('BTRACED', 1); //отвечать ОК в gps.php иначе шлет последнее сообщение
После добавления этой строки произойдет то что написано в комментарии.
На этом я останавлюсь, еще раз спасибо Максиму за проделанную работу по обнаружению и лечению этих проблем.
Большое спасибо всем, кто помогает мне и остальным решать такие вот задачки.
Не забываем нажимать палец вверх, это стимулирует авторов к написанию других статей.
Краснодар, Россия
На форуме: newz20