[ad_1]
En la versión 2023.12, agregamos una página de inicio de sesión rediseñada a Home Assistant. Detecta cuándo accedes a Home Assistant a través de tu red doméstica local y, cuando lo haces, presenta una experiencia de inicio de sesión rediseñada que muestra tus perfiles de usuario. Si accede a Home Assistant desde fuera de su red doméstica, la página de inicio de sesión aún le pedirá su nombre de usuario y contraseña como antes.
Hemos escuchado preocupaciones de la comunidad de que esta funcionalidad podría dejar su instancia de Home Assistant vulnerable a un ataque de enumeración de usuarios desde la red local. Un actor malintencionado con acceso a su red local podría obtener los nombres y las imágenes de todos los usuarios de Home Assistant. Podrían usar esta información para facilitar el ataque a su instancia de Home Assistant.
Con este fin, se informó un problema de seguridad el 10 de diciembre, aceptamos y publicamos el aviso de seguridad de GitHub correspondiente y deshabilitamos la funcionalidad de la página de inicio de sesión rediseñada en el parche 2023.12.3 lanzado el 14 de diciembre.
Mientras investigábamos los comentarios que recibimos, nos inquietó descubrir que los usuarios que experimentaban problemas con la nueva página de inicio de sesión a menudo utilizaban servidores proxy inversos mal configurados. Si el proxy inverso no está configurado correctamente, Home Assistant ya no podrá distinguir entre el tráfico de su red doméstica local y una red pública. Estos usuarios verían la página de inicio de sesión rediseñada al acceder a Home Assistant desde fuera de su red doméstica.
Para mejorar la seguridad de la red de estos usuarios, estamos explorando cómo podemos usar Home Assistant para detectar y alertar variantes adicionales de servidores proxy mal configurados.
Rediseñamos la página de inicio de sesión porque creíamos que la red doméstica local se encuentra en la privacidad de su propio hogar y es un entorno confiable para ver a las personas que están en ella. Supusimos que los usuarios que intentaran iniciar sesión en la red local también serían confiables y se les permitiría ver otros perfiles de usuario, similar a lo que Microsoft, Apple, Netflix y otras compañías asumen en sus productos.
Sin embargo, lo escuchamos y tomamos en serio sus comentarios y el posible riesgo de seguridad para los usuarios con servidores proxy inversos mal configurados. Gracias por informarnos sobre esto y expresar abiertamente sus inquietudes.
[ad_2]