On 26.03.2023 13:56, heby wrote:

> A co jeśli ktoś, o muj bosze, odbierze Ci telefon (odblokowany) z Twoją
> aplikacją i magicznym pośredniczącym brokerem?
>

Pobawi się moim domem podobnie jak twoim.
Ale nic nie zrobi w sieci lokalnej w przeciwieństwie do twojej.


>> Może oberwać również twoja sieć i padnie ci sterowanie wewnątrz...
>
> Może. Dzięki temu nie spuszcze wody w kiblu z appki.
>

Nie spuścisz w ogóle, bo twój HA będzie zajęty pakietami ddos.


> portmap nie chroni *NIC*. Ma w nosie, czy lata tam goły tekst, http czy
> szyfrowane portole po torrentach. On nie wie i nie dba o to.
>

No więc przepuści też pakiety ddos do twojego HA.


> 1) to nie kwestia szyfrowania w internecie
> 2) to kwestia tego, że IoT to jeden z najgorszych przykładów inzynierii
> programowania, pisany przez programatorów embedded, dla których
> przepełnienie bufora na ARM7 to ficzer a nie bug.

Bzdura. Każdy broker ma limity na wielkość pakietu jak i na liczbę
pakietów na sekundę.

Ilość niebezpieczeństw
> zwiazanych z obsługą MQTT w małym urządzeniu w ścianie jest przeogromna,
> wliczajac zdalne wykonanie kodu, DDoS w sieli lokalnej itd itp. A Ty
> wesoło wystawiasz MQTT do internetu i nie martwisz się, że ktoś go
> przejmie i zacznie wysyłać w nim ramki z payload do Twojego wyłącznika w
> ścianie?

Równie dobrze może "przejąć" twoj VPN - taki sam poziom zabezpieczenia,
a skutki nieporównywalne.

>

> I dalej nie odpowiedziałeś na pytanie: po co on jest.
>

Juź mi się powoli odechciewa, bo to do niczego nie prowadzi.

OK. prosty przykład - masz firmę, albo sąsiada, kogokolwiek komu
chciałbyś umożliwić sterowanie częścią systemu - dasz im wszystkim VPN-a
do swojej sieci?
A ja dam im użytkownika, który będzie mógł pisać czy tylko czytać pod
konkretny temaat, a mój system będzie na to reagował, a jak mi się
odechce to nie.

> 1) Po utracie połaczenia internetowego, zewnętrzny broker nie ma zdarzeń
> z intranetu. Nie jest zsychronizowany

.
Bzdura. To załatwia flaga retained - tylko trzeba wiedzieć po co jest i
jak jej używać.
>
> 2) Jak już się pojawi, po kilku godzinach, to musisz synchronizować
> wszystkie zdarzenia pomiędzy nimi, aby mieć spójny obraz tego co się
> działo i jaki jest stan obecny

To się robi samo, tylko trzeba wiedzieć do czego służy retained, a nie
wymyślać problemu tam gdzie go nie ma.
>
>
--
Mirek.