Manglende vilje fra schneider til opdatering af java certifikat

[chrmm]

Er jeg den eneste der fornemmer at Schneider ikke gider at bruge tid og penge på at få opdateret deres Java certifikat?

Jeg kontaktede Schneider for lidt over en mdr. siden ang. at deres certifikat har været udløbet siden december, og fik af vide de arbejde på sagen, men en workaround var at nedgradere Java til 8v66, men det giver til gengæld en masse sikkehedsbrister.

Er der nogen her på forummet der har undersøgt om men kan holde Schneider økonomisk ansvarlige da deres produkt jo ikke lever op til beskrivelserne, for hvis alle brugere skulle have erstatning, kunne det være de fik fingeren ud og opdateret certifikatet.    

 

[BrianPedersen]

Jeg er ret sikker på at du ikke kan holde dem økonomisk ansvarlig for noget som helst, det har de sikkert skrevet sig ud af i nogle af de betingelser vi jo allesammen læser inden vi klikker fortsæt... men det ville da ikke gøre noget..

Jeg er selv træt af det, der gik på et tidspunkt rygter om at der skulle komme en ny controller i 2016, men ? da der gik rygter om et sms modem gik der 3-4 år før vi så den... de siger jo selv at de ikke er på vej til at droppe IHC, men hvorfor f....n sker der så ikke noget mere? nogle oplysninger vi kan bruge til noget... jeg har selv flere gange her på det sidste overvejer om jeg skulle begynde at skifte til KNX istedet for...

[pwulff]

Hvis ikke de gider at gøre noget ved det selv, kunne de jo være så omsorgsfulde, at gøre det til open source - så er vi da flere, der gerne vil fixe deres problemer

[Kim carlsen]

Har lige haft en snak med LK. Den seneste melding er at der kommer en opdatering med nyt certifikat  i uge 27. De havde løst problemet på HW 6.2 controllere, men 6.1 gik ned. Min teori er at det sikkert har noget at gøre med at de skifter til SHA 256 certifikat, da de gamle SHA 1 er betragtet som usikre i branchen. MS har eks per 1. januar 2016 desupporteret det. SHA 256 er mere krævende, så kan være de er løbet ind i hardware problemer.

 

[SilverLine]

2 timer siden, Kim carlsen skrev:

Har lige haft en snak med LK. Den seneste melding er at der kommer en opdatering med nyt certifikat  i uge 27. De havde løst problemet på HW 6.2 controllere, men 6.1 gik ned. Min teori er at det sikkert har noget at gøre med at de skifter til SHA 256 certifikat, da de gamle SHA 1 er betragtet som usikre i branchen. MS har eks per 1. januar 2016 desupporteret det. SHA 256 er mere krævende, så kan være de er løbet ind i hardware problemer.

 

Snakkede de om årstal :-)

 

Jeg skal efterhånden se det, før jeg tror på noget fra den front :-/

[Lars1]

På 9/6/2016 at 14:27 , Kim carlsen skrev:

Har lige haft en snak med LK. Den seneste melding er at der kommer en opdatering med nyt certifikat  i uge 27. De havde løst problemet på HW 6.2 controllere, men 6.1 gik ned. Min teori er at det sikkert har noget at gøre med at de skifter til SHA 256 certifikat, da de gamle SHA 1 er betragtet som usikre i branchen. MS har eks per 1. januar 2016 desupporteret det. SHA 256 er mere krævende, så kan være de er løbet ind i hardware problemer.

 

Det vil være dejligt hvis LK endeligt dropper SHA 1, men der vil ikke være noget i vejen for at de udsendte en ny firmware med opdaterede certifikater, og senere en ny firmware uden SHA 1 support. SHA 1 har været usupporteret i f.eks. Firefox i over 1 år nu, med mindre du ved hvordan du slå det til ved at rette direkte i firefox config filen.

Jo længere der går før vi får en ny firmware, jo korter er levetiden på de nye certifikater. 2.7.220 havde såvidt jeg husker under 6 mdr. tilbage, selvom certifikaterne normalt har en levetid på 2 år.

[thk]

Så vidt jeg husker har LK pakket deres IHC software distribution med JRE version 1.6! Den kan hackes i løbet af 5 sek. Alene den historie er til forsiden!

[Lars1]

På 14/6/2016 at 21:28 , thk skrev:

Så vidt jeg husker har LK pakket deres IHC software distribution med JRE version 1.6! Den kan hackes i løbet af 5 sek. Alene den historie er til forsiden!

Nu tror jeg det er begrænset hvor mange som gider forsøge at hacke en IHC controller. Men bortset fra det, er en stor del af controlleren tilgængelig via HTTP uden login. Så hvis man vil snakke LK's IHC skal man ikke samtidig snakke sikkerhed.

Dertil komme at hele deres konsept om hvornår man kan tilgå f.eks. admin viewet og hvornår man ikke kan, høre til i en tid, hvor man kunne have en server direkte på internettet uden firewall og den vil køre et par år før den blev hacket. Idag regnes dette i minutter.