Hallo,
Montag (22.7.) soll wohl ein Software-Update für den eco 1.0 freigegeben werden. Die stille Post vermeldet, dass es Änderungen wg. VPN-Zugriff und Verbesserungen bei der Anzeige am Gerät geben soll.
Gibt es dazu schon konkretere Infos? Wenn jemand in den nächsten Tagen bei einem Service eine neue SW-Version aufgespielt bekommt: Was wurde tatsächlich geändert? Funktioniert der Zugang per LAN weiter nur jeweils für eine Stunde?
Viele Grüße
Dirk
das update sollten eigentlich alle bekommen bzw. die mit wartungsvertrag
da zur zeit urlaubszeit ist, wird es sich wohl hinziehen..
denke bis ende September sollte jeder das update haben
gruß daniel
... da wurde mir gesagt, dass das Update - da nicht dringend / sicherheitsrelevant - einfach bei der nächsten Wartung / Vor-Ort Service aufgespielt wird. Bei den Vollwartungs-Kunden soll ja irgendwann die VPN Box eingebaut werden, da würde dann das SW Update eingespielt.
wenn es bei der Wartung gemacht wird ist doch ok...
wer es vorher haben möchte wird es denke ich mal auch früher bekommen
ich persönlich bzw.die die ich kenne brauchen das update nicht...ist aber ein anderes thema..
ich weiß nur das die box eingebaut werden soll...und es dann sicher ist 
hat den die feldtest-box funktioniert ? bzw. warst du damit zufrieden ?
gruß daniel
ich persönlich bzw.die die ich kenne brauchen das update nicht...ist aber ein anderes thema..
Wie meinst Du das denn? Weißt Du schon was drin ist? Kannst Du uns ein paar Hinweise geben?
Die eco haben offensichtlich schon noch ein paar Bugs, Phantom-Fehler wenn man Fehler nicht richtig bestätigt, Anzeigeprobleme bei den Graphen etc. Warum sollte ich da ein sinnvolles Update da nicht gut finden? Und bevor Du das falsch verstehst: Ich habe beruflich mit der Qualitätssicherung hauptsächlich von Software zu tun, jede etwas größere Software hat Bugs. Abgesehen vom Saia-Burgess Sicherheits-DAU-GAU ist die eco 1.0 SW schon ganz ok, hat aber noch Verbesserungspotential.
hat den die feldtest-box funktioniert ? bzw. warst du damit zufrieden ?
Die Box funktioniert, ich komme mit OpenVPN von meinem Rechner auf den ecoPower, der über die VPN-Box vernetzt ist. Bei unserer Box ist ein Funkmodul und eine SIM-Karte eingebaut, darüber kommt der eco ans Internet (wir haben noch keinen Telefonanschluss / DSL auf der Baustelle).
Ich bin kein Sicherheitsexperte, aber so weit ich das verstanden habe ist die Anbindung nun viel besser und ein ganzes Stück sicherer: Für den Zugriff wird ein Schlüsselpaar gebraucht, das ein Angreifer wahrscheinlich erst irgendwie umgehen müsste.
Bei unserer SW-Testversion ist es aber noch so, dass das eco 24x7 online ist. Und ich meine es schickt an einen Angreifer, der doch irgendwie per OpenVPN dran kommt, wohl auch noch die Kennworte raus. Muss ich gleich mal ausprobieren... 
Wobei ich nicht weiss, wie das bei den neueren SW-Versionen ausschaut.
Viele Grüße
Dirk
Bei unserer SW-Testversion ist es aber noch so, dass das eco 24x7 online ist. Und ich meine es schickt an einen Angreifer, der doch irgendwie per OpenVPN dran kommt, wohl auch noch die Kennworte raus. Muss ich gleich mal ausprobieren...
Ok, die bei uns im April aufgespielte Testversion schickt auch noch fröhlich alle Kennworte an den Angreifer (Kunde, Fachhandwerker, Entwickler). Ich hoffe einfach mal, dass das bei der neuen SW-Version behoben ist.
Wenn jemand ab Montag die neue Version aufgespielt bekommt: Bitte mal mit Fiddler2 oder Wireshark schauen, ob da auch noch die Kennworte im Klartext 1-2 mal pro Sekunde geschickt werden, wenn man die Startseite aufruft, man also noch nicht eingeloggt ist. Danke!
Bei der 2.04 war das große Saia Passwort-Flooding bereits durch den Verzeichnisschutz abgestellt, dennoch konnte man sich über andere Wege den großen Zugriff verschaffen. Mit der 2.05 sollte das aber schon im Juni abgestellt worden sein (http://www.bhkw-infothek.de/nachrichten/19…s-ecopower-1-0/), ist die etwa noch nicht im Feld? Was jetzt in Kürze kommen müsste, ist das große Sicherheitsupdate inkl. gepatchter Saia-Basisfirmware... aber vermutlich braucht es noch ein paar Wochen "erfolgreichen Entwicklungsverlauf" bei Saia-Burgess mit Schweizer Gemütlichkeit... Dauert ja erst seit Februar (http://www.heise.de/ct/artikel/Fue…lf-1897198.html)
Bei der 2.04 war das große Saia Passwort-Flooding bereits durch den Verzeichnisschutz abgestellt, dennoch konnte man sich über andere Wege den großen Zugriff verschaffen.
Meinst Du mit "andere Wege", dass man einfach Wireshark oder Fiddler anwirft? Sorry, aber dann ist zumindest in der 2.04 noch gar nichts abgestellt. Ob man nun über den mangelhaften Verzeichnisschutz alle Kennworte bis runter zur Entwicklerebene auslesen kann - oder durch trivialstes Mitlesen des Traffics: Beides sind banalste Anfängerfehler - und es ist unfassbar, dass Saia-Burgess sie bis heute nicht abstellen konnte.
Der Angriff übers Mitlesen ist ja jetzt auch schon x mal veröffentlicht worden, eine Geheimhaltung ist dabei nicht mehr angebracht. Und damit nicht wieder eco-Besitzer (und andere Saia-Burgess-Kunden...) das Risiko unterschätzen: Es geht NICHT darum mitzulesen, wenn sich ein Vaillant Entwickler einloggt. Jeder der die Webseiten des eco aufruft, egal ob Kunde, Handwerker, Angreifer, bekommt 1-2 mal pro Sekunde ALLE Kennworte im Klartext auf den PC übertragen. Man muss nur noch hinbekommen, dass man sie auch angezeigt bekommt. Mit dem Tipp "Fiddler" oder "Wireshark" können das Grundschüler!
Wie meinst Du das denn? Weißt Du schon was drin ist? Kannst Du uns ein paar Hinweise geben?
Die eco haben offensichtlich schon noch ein paar Bugs, Phantom-Fehler wenn man Fehler nicht richtig bestätigt, Anzeigeprobleme bei den Graphen etc. Warum sollte ich da ein sinnvolles Update da nicht gut finden? Und bevor Du das falsch verstehst: Ich habe beruflich mit der Qualitätssicherung hauptsächlich von Software zu tun, jede etwas größere Software hat Bugs. Abgesehen vom Saia-Burgess Sicherheits-DAU-GAU ist die eco 1.0 SW schon ganz ok, hat aber noch Verbesserungspotential.
Viele Grüße
Dirk
ich meinte wegen der Sicherheitslücke brauch ich kein Update....sonstige Verbesserungen sind immer willkommen 
hab mein eco eh nicht am netz, und wenn nötig kann ich das eco per lankabel an pc anschliessen. ansonsten wäre es ja über mein Heimnetzwerk abgesichert.. 
ohne Frage, wenn es von Vaillant angeboten bzw. vorschrieben wird ( i-Net Anschluss ) sollte es auch Funktionieren bzw. sicher sein.
nur ist es nicht überall möglich einen i-Anschluss 24/7 bereit zu stellen.....bzw. was nützt es Vaillant ?
auch ist es für Vaillant nicht einfach, neben guten Heizgeräten und Regelungen bauen noch daran zu denken das jeder evtl. das Heizgerät hacken kann 
sorry, was ist heute sicher ?
(hab ne teure kaspersky version drauf..laptop 15 monate alt.....darf ich neu machen....dank java....nix ist mehr sicher)
mein Display ist aus 2011 und das geht besser als die aus 2013..
gruß daniel
