انتقل إلى المحتوى

حماية

تلخص هذه الصفحة سياسة أمان المشروع. النسخة الأساسية موجودة أيضًا SECURITY.md في المستودع.

الإصدارات المدعومة

النسخة مدعوم
0.5.x نعم

الإبلاغ عن ثغرة أمنية

الرجاء الإبلاغ عن المشكلات الأمنية خاصة:

  1. افتح أاستشارات أمان جيثب، أو
  2. أرسل بريدًا إلكترونيًا إلى omarraad@gmail.com مع الوصف وخطوات النسخ.

لا تفتح قضايا عامة لنقاط الضعف غير المكشوف عنها.

توجيه النشر

  • عند تعريض واجهة برمجة التطبيقات (API) خارج مدخل Home Assistant، قم بالضبطLOCAL_ADMIN_PASSWORD_HASH + SESSION_SECRETأوAPI_TOKENواستخدم HTTPS.
  • تعيينTRUST_INGRESS_HEADERS=trueفقط عندما يكون التطبيق قابلاً للوصول حصريًا عبر دخول HA (وليس مباشرة على المنفذ 8000). وهذا أيضا يحددX-Frame-Options: SAMEORIGINللشريط الجانبي iframe.
  • احتفظ برموز Home Assistant طويلة الأمد ضمن نطاقها وتدويرها. يرىإعداد مساعد المنزل → رمز الوصول طويل الأمد.
  • قم بالتشغيل في وضع الظل حتى تثق في كتابة العاكس الآلي.
  • تتضمن صورة Docker الافتراضية إضافات ML/MPC اختيارية؛ يستخدمINSTALL_EXTRAS=0للحصول على سطح هجوم أصغر حجمًا إذا لم يتم استخدام هذه الميزات.
  • لا تقم بالتمكين أبدًاDEMO_MODEعلى نظام متصل بالعاكس الحقيقي.

التفاصيل الكاملة للتحكم في الوصول:الأدوار والوصول.

دور العارض (الدخول)

مستخدمو Home Assistant غير الإداريين الذين تمت مصادقتهم عبر الدخول هم المشاهدون. يمكنهم القراءة مباشرة الحالة والتنبؤات والتاريخ، ويجوز نشر تجاوزات محدودة فقط:

  • shadow_mode, pause_engine, pause_shedding, pause_grid_charge, pause_optimization, force_grid_charge, kill_switch (مع confirm=true)

كل حقل pause_* ثنائي الاتجاه: true يوقف مؤقتًا، false يستأنف.

تم رفض قراءات التكوين للمشاهدين (GET /api/config)، تعداد الكيان (GET /api/entities)، يكتب التكوين، والمساعد، والدبوس الاحتياطي، وفرض رسوم الشبكة، وغيرها من المسارات المخصصة للمسؤول فقط. يتم التنفيذ على الواجهة الخلفية؛ تخفي لوحة القيادة عناصر التحكم كدفاع متعمق.

لا تعرض المنفذ8000مباشرة إذا كان لا ينبغي للمشاهدين تجاوز رؤوس هوية دخول HA.

تجول لوحة القيادة:لوحة تحكم العارض.