Habe gerade diesen Artikel gefunden. Sicherlich für viele interessant.
1 „Gefällt mir“
Die Aussage von Shelly, so sie denn so getroffen wurde, finde ich recht “witzig”. 
Shelly betont, das Verhalten des Access Points sei nicht als klassische Schwachstelle zu verstehen, sondern vielmehr als beabsichtigte Installationsfunktion gedacht. Während der Einrichtung würde mehrfach darauf hingewiesen werden, dass der Zugangspunkt ungesichert bleibt. Zudem erfordere ein Angriff physische Nähe zum Gerät.
Ja ne ist klar - It’s not a bug, it’s a feature. 
VG Jim
Bei den Shellys, die ich in letzter Zeit eingerichtet hatte, wurde immer der Hinweis eingeblendet mit der Option, diese Zugangspunkte (WLAN,BT) nach erfolgter Installation zu deaktivieren.
als ich den Shelly RGBW PM eingerichtet habe, wurde das automatisch deaktiviert.
Das ist ja der Punkt, sprich das es bei unterschiedlichen Shelly Geräten unterschiedlich gehandhabt wird. Es ist m.M.n. schon eher ungewöhnlich das man einen AP-Zugang nach erfolgter Ersteinrichtung weiterhin aktiv und offen lässt. Zumindest kenne ich das so von keinem anderen smarten WLAN-Gerät wo die Ersteinrichtung per AP-Funktion des Gerätes erfolgt. Auch war es früher bei Shelly ja anders, sprich dort wurde der AP-Zugang nach erfolger Ersteinrichtung dann ja auch automatisch deaktiviert. Das offen bleiben jetzt als “beabsichtigte Installationsfunktion” verkaufen zu wollen ist schon recht “kreativ”. 
Das es dann einen Hinweis gibt und die Option die AP-Funktion zu deaktivieren, ist natürlich gut und wenn ein User das dann nicht macht ist er quasi selbst Schuld, aber trotzdem ist es etwas was man als Hersteller m.M.n. so nicht machen sollte und scheinbar hat Shelly das jetzt - nachdem es öffentlich wurde - ja wohl auch eingesehen und ändert es durch ein Firmware-Update.
VG Jim
1 „Gefällt mir“
Die Frage, die für mich offen bleibt:
Um welche Geräte, bzw. welche Generation geht es hier?
Wer muss jetzt also aktiv werden?
Für mich eigentlich ganz einfach:
Jeder schaut, wenn es sich nicht sicher ist, in seinen Shelly’s selber nach, ob der AP noch aktiviert ist - fertig!
Hier:
oder hier bei Gen1:
2 „Gefällt mir“
Jepp das dürfte wohl die sinnvollste Vorgehensweise sein, denn so genau scheint ja nicht klar zu sein bei welchen Shelly Gerät mit welcher Firmware-Version jetzt was Sache ist.
Im Shelly-Forum wurde vor ein paar Tagen eine Umfrage/Diskussion zu dem Thema gestartet, sprich welches Vorgehen bzgl. dem AP dann “besser” für die User wäre.
https://community.shelly.cloud/topic/13608-we-want-your-opinion-about-shelly-ap-behaviour-security-vs-easy-setup/#comment-55015
VG Jim
Wer Shellys mit HA betreibt, sollte safe sein, HA bemängelt das als Reparatur, wenn man ein Shelly drin hat und Access-Point aktiv ist.
2 „Gefällt mir“
Bin ich der Einzige, der den großen Skandal dabei nicht sieht?
Man muss den AP deaktivieren, wenn man ihn nicht mehr brauche. Aber das tut man doch ohnehin, wenn man so weit ist, oder nicht?! Gehört das nicht genau so dazu wie einmal die Firmware Updates durch schleifen und die anderen Einstellungen einmal zu prüfen?
Ich aktiviere ja auch mqtt und deaktiviert die Cloud, im Zuge der Anpassung der Einstellungen.
Außerdem sprechen wir hier über Shelly und nicht zum Beispiel einen Router, den jeder DAU mehr oder minder zwangsweise zu Hause hingestellt bekommt, ob er will oder nicht.
Wenn ich mir zutraue meinen Motor bzw. die Steuerung meines Garagentors auf etwas wie einen Shelly nachzurüsten, kann es schwerlich ein Skandal sein, wenn der Hersteller mich wie einen mündigen Menschen behandelt und in der Steuerung der Software kein betreutes Denken einbaut.
Wer auf solche grundlegenden Funktionen nicht aus einem Selbstverständnis achtet, der sollte schon die Dose zum anklemmen des Shelly nicht öffnen dürfen.
Einstellungen nicht richtig zu setzen ist dumm. Am falschen Kabel lecken lebensgefährlich. Und skandalöser Weise wird bei Strom auch keine betreute Handhabung mitgeliefert.
5 „Gefällt mir“
Für uns hier im Nerd-Universum ist das selbstverständlich, aber die Dinger werden als Konsumerware verkauft und viele Unwissende trauen sich sowas dann auch zu. Ob das vernünftig ist, sei dahingestellt. Grundsätzlich sehe ich es aber auch wie du: primär handelt es sich um einen Bedienfehler, wenn man den AP nicht abschaltet. Ob darauf deutlich genug hingewiesen wird im Lauf der Installation, kann ich nicht sagen: wenn ich mal ausnahmsweise Shelly Geräte installiere, gehe ich immer über die Weboberfläche und dort sieht man auf den ersten Blick in der rechten oberen Ecke, ob der AP an ist oder nicht. Ich finde es aber auch ein wenig bedenklich, dass Shelly diese “range extender” Funktion anbietet, für die man zwangsläufig den AP einschalten muss. Mich würde nicht wundern, wenn der eine oder andere denkt:”klasse, kostenloser range-extender” und vergisst, den AP zumindest mit einem brauchbaren PW zu sichern. Was aber auch wieder ein Bedienfehler wäre. Bei mir ist bei den wenigen Shelly Geräten alles abgeschaltet, was nicht gebraucht wird: Cloud, AP, Websocket, BT und meist auch MQTT.
Ich sehe das ein bisschen wie mit dem Tauchen…
In Deutschland ist es legal, wenn Du Dir ohne jegliche Erfahrung und Qualifikation entsprechende Tauchausrüstung kaufst und ins nächste Gewässer (tauchen erlaubt ist) wirfst.
Ja, Du hast gute Chancen Dich damit umzubringen. Und es ist zweifelsohne sehr sinnvolle entsprechende Brevets zu machen und Dinge zu lernen. Verboten ist es aber nicht.
Und niemand würde nun auf die Idee kommen dem Shop oder dem Hersteller Vorwürfe zu machen, oder doch?
Der Vergleich mit dem Tauchen ist sehr gut. Passt zu 100%, was ich als aktiver Taucher bestätigen kann.
Ich fand’s trotzdem gut den Artikel hier mal zur Diskussion zu stellen, denn leider gibt’s im Smarthome-Bereich eine große Anzahl von “Tauchern ohne Brevet”.
Denen also einen Hinweis zu geben, dass ihre Shelly’s möglicherweise ein Sicherheitsrisiko sind, sollte sie aufmerksam machen und zur Überprüfung anregen.
Um nochmal auf die Taucher zurück zu kommen … es gibt leider viele “erfahrene” Taucher mit unzähligen Brevets, die den Sicherheitsaspekt irgendwann außer acht lassen. Die Routine halt. Es ging ja bei 1000 Tauchgängen gut … der 1001te kann dann aber möglicherweise der letzte sein.
1 „Gefällt mir“
Das Interessante daran ist m.M.n. eben auch das Shelly das Thema AP dauerhaft aktiv oder nicht bei seinen Geräten (jetzt) unterschiedlich handhabt und wie hier ja bereits von anderen erwähnt wurde gibt es eben genug User die sich über so etwas überhaupt keine Gedanken machen und eben die AP-Funktion dann nicht deaktivieren. In sofern fand ich es gut und richtig das @Schwippser mit dem Link darauf hingewiesen hat. Oder anders gesagt: Warum sollte man nicht darauf hinweisen und warum sollte man dann auch noch darüber diskutieren (wollen) was User dann wissen oder machen, oder was irgendwelche Selbstverständlichkeiten sind, oder sein könnten.
Das die Überschrift bei dem verlinkten Artikel reißerisch ist, in dem man direkt das Wort “Skandal” nutzt, dürfte wohl klar sein, aber so ist das heutzutage nun mal (im Internet). Jeder content creator will möglichst viel Aufmerksamkeit und Leute auf seine Webseite, oder auch zu seinen irgendwo erstellen Videos locken. Schließlich könnten durch die Besucher irgendwelche Einnahmen generiert werden. Selbst wenn ich mal über irgendwelche Videos zu dem Thema HA stolpere - bekanntlich schaue ich ja so gut wie nie irgendwelche Videos - finde ich so manche Überschriften zu den Videos dann eher lächerlich und z.T. fast schon peinlich und man sieht ganz deutlich das es dem Ersteller wohl weniger darum geht Usern zu helfen, sondern eher (nur) darum User auf den Video-Kanal zu locken, um dadurch - wie auch immer - Einnahmen generieren zu können. Kann und darf er das so machen? Ja klar kann und darf er das und ich spreche auch niemanden dieses Recht ab, aber ich erkenne dann eben auch was vermutlich der Grund dafür ist wenn jemand irgendwelche reißerischen Überschriften nutzt und bewerte das dann eben auch für mich entsprechend.
Der Konkurrenzkampf zwischen den content creatoren ist nun mal sehr groß und jeder will ein Stück vom Kuchen abbekommen. Leider wirkt sich das dann eben auch oftmals auf das Niveau und die Qualität von Artikeln oder Videos aus. 
VG Jim
Ist leider so … und man hat sich so langsam dran gewöhnt (schaut euch die Wettermeldungen in den Medien an. Eine Schneeflocke und wir werden alle sterben) - was wiederum auch eine Gefahr darstellt, nämlich wirkliche Gefahrenmeldungen zu ignorieren.
Passt genau zum Thema:
Shelly hat vorab in einer Beta ein FW-Update veröffentlicht, dass das “Problem?” löst:
Weiß jemand ob der AP oder Range extender wirklich was bringt? Ich habe noch nie gesehen, das ich dadurch eine besser Verbindung habe.
Bei HA gibt es übrigens nur einen Hinweis wenn kein Passwort gesetzt ist, sobald ein Passwort gesetzt ist, ist alles gut.
Naja, der Range Extender bringt halt was, wenn man bis zum Shelly eine stabile Verbindung bekommt und man das Signal noch weiter entfernt nutzen/verbreiten möchte.
Das sagt ja auch schon der Name aus.
Bei meinen Shellys ist der AP nur aktiv, um überhaupt eine Verbindung zur Konfiguration zu bekommen.
Wenn man das Gerät dann ins eigene Netz einbindet, schaltet man den AP halt ab oder viele Geräte wechseln automatisch von AP zu Netzwerkgerät.
Bei meinen Shellys schalte ich WLan sogar ganz aus, wenn eine andere Funkschnittstelle problemlos läuft.
Das entlastet dann auch das eh schon völlig überlaufene WLan.
1 „Gefällt mir“
Und was an dieser Meldung ist jetzt so inteessant?
Einzig und allein, daß Schnarchnasen wenn “sie nicht wissen was sie tun” ein offenes Gerät haben .. dann wäre es sowieso besser nicht mit solchen Geräten zu hantieren.
1 „Gefällt mir“
Also … auch als du zur Welt gekommen bist wusstest du nicht was ein Shelly ist. Also bitte vorsichtiger mit solch Begriffen. Jeder ist irgendwann mal in die Smart-Home-Materie eingestiegen und diese ist ein ständiger Lernprozess. Jeder der meint alles zu wissen ist ein Lügner.
Gerade für die Neueinsteiger sind solche Informationen wichtig um Fehler zu erkennen und zukünftig zu vermeiden.
4 „Gefällt mir“