Skip to end of metadata
Go to start of metadata

Für das Nachstellen eines Problems benötigt der Loxone Support manchmal externen Zugang zum Miniserver. Dazu fragt der Support nach einem Benutzernamen & Passwort falls der Miniserver von außen erreichbar ist. Diese Informationen werden dann u.U. im Ticket bzw. in internen Dokumenten verspeichert → 

Niemals den admin Benutzer an den Loxone Support weitergeben (der admin Benutzer kann nicht gelöscht, aber z.B. auf "LoxoneSupportUser" umbenannt).
Nach dem Kontakt mit Loxone Support sofort den Benutzer für den Zugriff durch den Support löschen oder umbenennen und PW ändern.


Legt man ein Ticket bei Loxone an, so bekommt man dafür als Bestätigung eine E-Mail (und weitere Mails, sobald das Ticket bearbeitet wurde). In diesen Mails findet sich auch ein Link auf das Ticket. Klickt man auf den Link, so gelangt man zu dem Ticket und ist auch gleich eingelogged (warning). Hat jemand anderer diesen Link, so kann er sämtliche Tickets des Benutzers sehen und bearbeiten. Dieses Security-Problem ist bei Loxone bekannt (Ticket #335527).

Loxone Ticket Mails niemals weiterleiten

Niemals ein Benachrichtiungs-E-Mail zu einem Ticket vom Loxone Support weiterleiten. Der Link zum Ticket in der E-Mail ermöglicht die Übernahme des Loxone Benutzers. 

  • No labels