FHEM: Nach Update gehen keine Links zu FHEM mehr: Dies hilft!

Problem mit HA Bridge oder eigenen Links? Mit dem Update auf Version 5.8 hat FHEM seit März 2017 eine neue Sicherheitsfunktion: Dies sorgt aber dafür, dass alle Links zu FHEM, die zum Beispiel ein Gerät schalten sollen, nicht mehr funktionieren – auch die HA Bridge, mit der man FHEM mit Alexa zur Sprachsteuerung verknüpfen kann, funktioniert nicht mehr. Generell ist dies eine praktische Funktion und der ab jetzt nötige “csrfToken” lässt sich in eigene Skripte oder eigene Programme für schicke Floorplan-Ansichten leicht einbauen – bei fremden Skripten wie der HA Bridge sorgt das FHEM Update aber dafür, dass nicht mehr funktioniert.

Schnell-Tipp: csrfToken ausschalten

Schaltet man sie Sicherheitsfunktion ab, funktionieren alle Links aus anderen Programmen (zum Beispiel eine eigene HTML-Seite für den Floorplan oder die HA Bridge zur Sprachsteuerung) wieder problemlos. Allerdings ist FHEM dann auch wieder per Cross-Site-Request-Forgery angreifbar, wenn man die Benutzeroberfläche mit einem Browser öffnet: Ein Angreifer kann, wenn man bei FHEM angemeldet ist, über einen Link von außen (einer manipulierten Webseite oder aus einer Email zum Beispiel), mit den Rechten des Nutzers auf FHEM zugreifen.

 
csrfToken trotzdem ausschalten?

Dazu öffnet man die Konfigurationsdatei fhem.cfg und fügt unter dieser Zeile:

define WEB FHEMWEB 8083 global

…diese neue Zeile ein:

attr WEB csrfToken none

Damit wird das csrfToken für die Web-Ansicht (Port 8083) abgeschaltet. Möchte man es auch für die Handy- und Tablet-Ansicht deaktivieren, muss man für die Handy-Ansicht unter der Zeile:

define WEBphone FHEMWEB 8084 global

ebenfalls eine Zeile ergänzen:

attr WEBphone csrfToken none

Für die Tablet-Version muss man zusätzlich noch unter der Zeile:

define WEBtablet FHEMWEB 8085 global

diese Zeile ergänzen:

attr WEBtablet csrfToken none

Sicherer: csrfToken für bestimmte Anfragen ausschalten

Eine etwas aufwendigere, aber sichere Lösung ist, das csrfToken nicht pauschal für alle Anfragen zu deaktivieren sondern neben dem Port 8083 für den normalen Web-Zugriff und den Ports 8084 und 8085 für WEBphone und WEBtablet noch einen neuen Bereich anzulegen: Das FHEM-Wiki schlägt hier Port 8088 für eine neue WEBapi vor:

define WEBapi FHEMWEB 8088 global
attr WEBapi csrfToken none

Das nützt aber nur etwas, wenn man auf den neuen Port 8088 nicht mit einem Webbrowser zugreift, sondern es nur für die Kommunikation der Rechner untereinander (zum Beispiel für die Links der HA Bridge) nutzt: Diese müssen dann alle auf den neuen Port geändert werden, statt “192.168.1.50:8086” müssen die Links dann auf “192.168.1.50:8088” zeigen, wenn 192.168.1.50 die IP-Adresse des FHEM Servers ist.

Noch mehr Sicherheit bekommt man im WEBapi mit einem IP-Filter, der nur bestimmte IP Adressen zulässt:

attr WEBapi allowFrom 192.168.1.51|127.0.0.1

Dies würde nur Links von dem eigenen Rechner (127.0.0.1) und dem Rechner mit der IP-Adresse 192.168.1.51 (falls die HA Bridge auf einem anderen Rechner läuft) zulassen, alle anderen Anfragen würden nicht beantwortet.