Custom pages "indépendantes": Attention à la sécurité!

[lost]

Hello,

Je voudrais attirer l'attention sur un pb des custom pages qui ne soient pas une remise en forme d'info domoticz, mais en qqsorte indépendantes, dans le cadre d'une interface ouverte sur l'extérieur (nom domaine+https+let's encrypt classiquement): Je me suis rendu compte depuis un moment que celles-ci pouvaient être rechargées de dehors sans limitation après s'être connecté (changer d'onglet vers d'autres pages générant par contre une redirection vers la page login).

En fait, il s'est avéré après avoir attiré l'attention à l'occasion d'une autre discussion sur ce thème que c'est plus grave (passant toujours par la page principale avant, je ne m'étais pas rendu compte que c'était totalement "open bar"):
https://www.domoticz.com/forum/viewtopi ... 83#p303883

Bref, si on connaît le nom exact d'une page custom n'utilisant pas de données/API Domoticz (juste le serveur web intégré) on y accède direct sans authentification, cette dernière n'étant pas gérée globalement... Oups!

Pas vu de trace de fuzzing du site de Domoticz chez moi mais en attendant d'y voir plus clair l'ajout d'une iframe masquée vers la page de login Domoticz semble faire le job et renvoyer vers cette dernière quand on n'est pas déjà authentifié.

Perso, je trouve que c'est vraiment piégeux comme comportement.

[lost]

Comportement changé depuis la bêta 15368!
Pas encore testé pour ma part, sans doute ce WE...

EDIT: MAJ faite ce midi, une petite correction à faire sur un changement d'API HTTP/JSON utilisé par un script et je confirme que la sécurité des custom pages est désormais OK sans besoin d'artifice plus ou moins efficace.

Pas testé l'authentification 2FA, désormais dispo (mais partie en anglais/pas encore traduite), faisant partie des ajouts de ces dernières semaines.