De thuisveilig variant van Homewizard

Ik verplaats 'm even naar DED, daar is Homewizard en aanverwanten meer op zijn plek.

Get-status bij de Homewizard werkt alleen als je het password erbij zet.
Verder werken de sensors en lamp van Thuisveilig met 868MHz 2-weg communicatie.
Wat er precies niet werkt zeg je er niet bij, is dat de bereikbaarheid via internet of iets anders?
Op zich ziet het er simpel uit, een bedrade verbinding met de router lijkt me zekerder dan wifi.

gerb_1963 schreef op woensdag 8 februari 2017 @ 20:13:
[...]

Wat er precies niet werkt:
- Via internet en de app van thuisveilig werkt alles zeer onbetrouwbaar. TIjden kloppen niet en schakelingen van de lamp worden verkeerd gepland en vaak 'vergeten'. De sensoren heb ik getest met een testalarm en die gaat niet meer weg. Dat is dus niet te gebruiken en eigenlijk wil ik dit soort zaken ook niet via internet hebben lopen;
- Als ik het kastje direct aansluit dan kan ik wel de ingebouwde webserver benaderen, maar ik krijg alleen de 404 pagina.
Hopelijk is het nu wat duidelijker.

Dat is al wat duidelijker, je zou zeggen dat het ding met zo weinig componenten goed moet kunnen werken.
Ik heb de Homewizard, die is een stuk uitgebreider en werkt goed wat schakeltijden e.d. betreft.
Om niet iets op de router te hoeven instellen gebruiken ze een online dienst, ik denk dat dit met Thuisveilig ook zo is.
Echter is dat een relatief nieuw product en denk ik dat er nog bugs in zitten, toen de Homewizard op de markt kwam was dit niet anders.

Mogelijk is de markt voor het product nog klein en komt er weinig feedback over de werking, dan wordt problemen oplossen een stuk lastiger.
Op dit moment lijkt de focus bij Homewizard meer op verkoop te liggen (sinds de overname door Smartwares) dan bij de service, ook Homewizard klanten ondervinden dit (geen of heel laat reactie op vragen en service verzoeken).
Dat Openresty krijg je te zien als je via http met de box probeert te praten?
Ik denk dat hij behoorlijk is dichtgetimmerd en alleen via de app communiceert.

Ik heb ondertussen ook zo'n ding.
En ik wil ook kijken of ik hem meer lokaal kan aansturen. Ik heb nu het idee dat er veel via de servers van homewizard loopt.
Ik heb zelf nu Domoticz al draaien en dit graag daarmee willen koppelen.

Ik heb ook al een beetje zitten kijken.
Als je naar ip-adres/handshake gaat krijg je dat hij een token mist.
Wellicht is dat hetzelfde token als wat je in de app kan zien in de link.
Ik verwacht dat je dit in de header moet meegeven, maar hoe precies weet ik (nog) niet.
Ik hoop dat ik via die interface dan de status kan uitlezen en schakelen. Als dat zo is, dan blokkeer ik daarna gewoon alle communicatie van dat ding met internet.

gerb_1963 schreef op donderdag 11 mei 2017 @ 22:08:
Je weet al meer dan ik. Ik denk dat ik het ding maar weg gooi.

Ik zou hem nog wel ff houden hoor, ik denk dat ik met postman wel nog wat kan proberen.
Zo heel moeilijk kan het allemaal niet zijn denk ik.
Desnoods ga ik nog wel wat network sniffen.

@gerb_1963 OK, het heeft even geduurd, maar ik heb nu een man in the middle proxy draaien en kan nu kijken wat de app allemaal doet.
Ik zie dat hij eerst naar het device gaat om een handshake te doen, die faalt omdat het te oud is. Dan haalt hij een token van de api server van home wizard.

Vervolgens zie ik allerlei dingen rechtstreeks naar de link gaan.
Dus ik denk dat we een redelijk eind moeten kunnen komen.

Het schakelen van de lamp gebeurd met:
https://<hash>.homewizard.link/devices/3/state

wat zich vertaalt naar:
intern-ip/devices/3/state

Verder vraagt hij info op met:
intern-ip/v8/home/

Je hebt wel een authorization header nodig met een bearer token.
Als ik nog even kan uitvinden hoe we die buiten de app om kunnen krijgen, dan kunnen we dus wel iets verzinnen om dit te integreren met iets anders.

Update:
Het probleem blijft nu het token ophalen.
Dat lukt me ondertussen ook via de api server, maar wel met mijn login+hash, geen idee nog waar die hash van gemaakt wordt.
Ik weet vrij zeker dat het een sha1 hash is.

Vervolgens krijg je dan een token van de api server, maar deze is helaas beperkt houdbaar.
Ook al blijf je elke 5 seconden het token gebruiken, dan nog verloopt hij.
Ik heb al een mail gestuurd naar homewizard en interpolis.

Deze opzet zorgt er namelijk voor dat er alleen gecommuniceerd kan worden met de link zolang de api servers online zijn. Daar voel ik me toch niet helemaal veilig bij. Wat als ze failliet gaan, of geddost worden?

Ik heb gevraagd of er ook een andere manier is om je te authenticeren met de link, ik ben benieuwd.

[ Voor 31% gewijzigd door Balachmar op 22-05-2017 08:31 ]

Ik heb reactie van HomeWizard:

Het klopt dat we op dit moment tokens uitgeven en dat dit de enige manier is om te communiceren met de Link. De conclusie die je trekt dat zonder onze servers de Link niet meer te bereiken is klopt dan ook.

snip, extra info als reactie op mijn vraag

Wat betreft authenticatie verwachten we op korte termijn geen aanpassingen te maken. We hebben gekeken naar lokaal authenticeren zonder tokens, maar dit brengt verscheidene veiligheidsrisico’s met zich mee. Wel zijn we aan het kijken of we op de middellange termijn de API tot op zeker hoogte open te stellen met oAuth zodat het mogelijk wordt het pakket makkelijker te integreren met andere oplossingen. Voor nu is integratie met andere software dus niet mogelijk.

Wat ikzelf wel voor elkaar heb gekregen is dus een hash afvangen welke vast is (iets met je wachtwoord waarschijnlijk) en dan met die hash een token aanvragen bij de api server.
Daar kun je dan eventjes wat mee doen, ik zou dus nu voor mezelf best iets aan de praat kunnen krijgen.

Wat ik ook nog gezien heb is dat er SSH op draait, dat kan ook nog wel interessant zijn.

gerb_1963 schreef op maandag 15 mei 2017 @ 12:38:
Dat is wel waar. Dan hou ik 'm nog even. Ik ben benieuwd wat je met postman nog weet te achterhalen.

Ik zou hem sowieso houden, aangezien dit wel de toekomst voor HomeWizard is.

dfrenner in "HomeWizard; domotica middels je smartphone - Deel 3"

Hi Folks,
Iemand nog verder gekomen met het koppelen van de ThuisVeilig set van Interpolis/HomeWizard?


Ik zou de HomeWizard rookmelder uit de set graag willen koppelen aan mijn Loxone. Die kan netwerkcommando's lezen en versturen.