...
| Hinweis |
|---|
Niemals den admin Benutzer an den Loxone Support weitergeben (der admin Benutzer kann nicht gelöscht werden, aber z.B. auf "LoxoneSupportUser" umbenannt). |
Legt man ein Ticket bei Loxone an, so bekommt man per dafür als Bestätigung eine E-Mail eine Benachrichtigung(und weitere Mails, sobald das Ticket bearbeitet wurde). In dieser Nachricht diesen Mails findet sich auch ein Link auf das Ticket. Klickt man auf den Link, so gelangt man (ohne Login) zu dem Ticket und ist auch gleich eingelogged 
. Hat jemand anderer diesen Link, so kann er sämtliche Tickets des Benutzers sehen und bearbeiten. Dieses Security-Problem ist bei Loxone bekannt (Ticket #335527).
| Warnung | ||
|---|---|---|
| ||
Niemals ein Benachrichtiungs-E-Mail zu einem Ticket vom Loxone Support weiterleiten. Der Link zum Ticket in der E-Mail ermöglicht die Übernahme des Loxone Benutzers. |
...