HC3 & HC3L - 5.181.62 - BETA - 17/07/2025

[Lazer]

Firmware 5.181.62

BETA

17/07/2025

 

Thank you for using our gateway! Be sure to update to the latest version to enjoy new features and improvements.

 

Main features:

 

1. New interface design.

Redesigned user interface.

2. New Smart Implant device pairing wizard

A new, dedicated device pairing process in the Yubii mobile application and web interface, where you can easily add and configure your device.

 

What's new:

 

Access

    Added the ability to delete a user yourself in user settings.

 

Devices

    Added new sets of Icons for roller shutters.

    Improved curtain behavior when controlled via interface.

 

Elero

    Support for Elero Bi-rec device (Veinor).
    Support for Elero RGBW device (Veinor).
    Reduced polling for the VarioTec-868 device.
    Improved the type definition for the Revio4M device from a light to roller blinds and venetian blinds.
    Improved the name and icon for the Sun Motion 868 device.
    Add new device types for new RolAir motors.
 

Energy panel

    Added the ability to set quarterly prices in the energy panel.

 

Nice*

    Support for TTDW and TTDRGB LED strips devices controllers.
    Improvements in binding procedures using already memorized transmitter.
    Improved communication with the radio chip.
    Group actions are now handled simultaneously for quicker reaction to commands. 
    Added generic support for devices with unknown product types.
    Reduced polling for battery-powered devices.
    Improved wake-up from the Hub for the Climatic sensor battery-powered device.
    Support for the ERA Inn Li-ion battery-powered device.
 

Scenes

    Performance improvements in scenes execution in large systems.
  

Z-Wave

    Improvements for handling the reports in Alarm V2 Command Class.
 

Bug Fixes:

 

Access

    Improved display of full screen camera view for advanced user.

 

Devices

    Fixed assigment of the whole device to specific room when adding devices from the mobile app.

    Added the ability to manually enter values for Multilevel sensors when pairing devices in the mobile app.
    Fixed the slider display when the thermostat is set to the maximum value in the device preview.
    Fixed the control dialog for the Nice BiDi-Shutter device as a Venetian blind.
    Missing source information in DeviceActionRanEvent.
    Fixed the display of long device names in modal windows.

 

Elero

    Improved the connection process when grouping Elero devices.

 

Gateway connection

    Fixed an issue with reverting to the schedule for MCOHome MH8 devices on a slave Hub.
    Removed duplication for Support and Installer users in the database after updating from version 5.161.15 or higher with gateway connection setup.

 

Other

    Fixed selection of devices on the Reset Elero network dropdown list.
    Fixed the 8-character limit for entering Wi-Fi passwords during the FTI process.
    Improved the tooltip display for offline users in the Access tab.
    Improved handling of the /api/scenes endpoint in Swagger.

 

Quick Apps

    Improved refreshing in the setColorComponent function for Quick Apps.

 

Z-Wave

    Improved node id (associations) handling when controller has different NodeID that 1.**

Known issues:

Z-Wave Engine 3.0

    Some Z-Wave devices are not fully compatible with the new version of Z-Wave engine.

* - Does not apply to HC3L (Home Center 3 Lite).
** - Applies only to Z-Wave 3.0 engine.

 

Security:

    The option to use only the HTTP protocol in network settings has been removed.
    Log security has been improved through additional security measures for private user data.
    Security actions have been separated into separate, additionally secured Hub logs.
    Secure communication for the Z-Wave device update service has been added. 
    The master Hub communicates with the slave Hub only via a secure https connection.
    Restricted unauthorized API and backup file requests.
    Updated some low-level libraries.
    Database protections against storing private data.
    Fixed error codes returned for authentication errors.
    Fixed potential RCE vulnerabilities.
    Removed information regarding the existence of usernames in the system for the password reset mechanism.
    Reduced vulnerability to DoS attacks.
    Improved log file encryption.

[Lazer]

il y a 11 minutes, Lazer a dit :

    Restricted unauthorized API and backup file requests.

Attention à cette nouvelle sécurité, je pressens que ça va poser problème avec script de backup auto sur NAS.

 

 

Sinon, l'interface a changée... dès l'écran de connexion, ça fait tout drôle.

 

 

[Lazer]

A l'usage par super fan de ce thème bleu, je préférais le thème sombre précédent, plus reposant, plus contrasté.

Et surtout la fenêtre de log... écriture bleue sur fond bleu, c'est une idée brillante pour masquer les logs, on ne voit plus rien....

[TitiXsi]

J'ai un doute sur ce point :

 

The option to use only the HTTP protocol in network settings has been removed.

 

C'est sur la connection à la box ou sur les requêtes que c'est désormais bloqué ?

[Lazer]

ça veut dire que tu ne peux plus ouvrir uniquement le port 80 (HTTP standard non chiffré).

 

Avant :

 

 

Après :

 

 

 

Vu que le port 80 HTTP est toujours disponible, ça ne change rien en pratique (pour l'instant.... jusqu'à ce qu'ils finissent par bloquer purement et simplement le port 80)

 

[Lazer]

Le 17/07/2025 à 21:15, Lazer a dit :

Attention à cette nouvelle sécurité, je pressens que ça va poser problème avec script de backup auto sur NAS.

Bon et bien c'est confirmé

 

Ceux qui utilisent mon script, attendez avant de faire la mise à jour, il va falloir que je regarde si je peux contourner cette nouvelle restriction.

[jojo]

Le 17/07/2025 à 21:15, Lazer a dit :

  Restricted unauthorized API

ça veux dire quoi ? J'ai des Google Scripts qui envoient des ordres à ma HC3 en fonction de mes calendriers Google (cfr ma signature). Fonctionneraient-ils toujours, ou devraient-ils être adapté comme ton script backup ?

[Lazer]

Tu as oublié de citer la fin de la phrase, qui indique que ça concerne l'API de Backup.

EDIT : je pense que j'ai compris le changement, à priori il faut rajouter l’authentification, l'accès aux sauvegardes n'était pas protégé jusqu'à présent, ce qui constitue une faille de sécurité (même si les backups en eux-même sont chiffrés depuis longtemps)

 

Modifié le 19 juillet par Lazer

[jojo]

ok, cela ne concerne donc que le'API backup, qui est fait avec un compte administrateur.

En fait, c'est la même chose que pour les reboot via GEA où il faut rentrer le mdp administrateur

[Lazer]

Oui, mais pour le coup le reboot/shutdown c'est plus critique !

Ce qui est pénible avec ça, c'est que la sécurité existe aussi quand on exécute le code en local (donc qui a déjà les droits d'administrateur).

Avec le serveur Web ils pourraient très bien faire la distinction entre les appels à l'API qui proviennent d'une source local, de ceux qui proviennent d'une source distante.

De mémoire c'est ce qu'ils faisaient sur la HC2.

 

Dans l'ensemble, protéger les API avec l'authentification, ça va dans le sens de l'amélioration de la sécurité, mais c'est pénible pour le code LUA qui s'exécute en local dans un QuickApp.

Et puis il reste toujours des différences entre le LUA des QuickApps et celui des Scènes... le reboot justement, fonctionne dans une scène sans devoir passer par l'authentification.
C'est incohérent.

 

 

M'enfin bon, quand ils passent leur temps à changer les couleurs et les icône, ils ne peuvent pas réfléchir à uniformiser les API... 

[jojo]

idée, peut-être saugrenue pour garder des backup automatiques (sur NAS), qui restent indispensables :

• faire un LUA qui lancerait m'API de backup
• programmer cela via :

1. GEA ou
2. avec le gestionnaire de tâches du Syno (pour ceux qui n'utilisent pas GEA)

Ainsi :

• ok sécurité pas de mdp admin dans le script)
• ça fonctionne indépendamment du FW de la HC3.
• ...

???

[Lazer]

Euh ben si, parce que si tu appelles l'API pour exécuter une scène/une fonction d'un QuickApp, tu auras de toute façon besoin de mémoriser le mot de passe dans le script.
N'espère pas contourner aussi facilement les mécanismes de sécurité, ils sont justement là pour ça !

 

Après, comme dit sur le topic dédié au script de backup, celui-ci n'a d'intérêt que pour faire un backup en local et récupération du fichier sur le NAS.
Si tu veux faire un truc 100% depuis la box, sans dépendre du NAS, alors il faut faire un backup cloud, qui partira vers les serveurs de Fibaro... ça reste finalement la solution la plus fiable pour se prémunir contre la perte définitive de la box, puisque que le cloud permettra de le restaurer sur une nouvelle box. Et pas de dépendance à un NAS externe.

[jojo]

il y a 20 minutes, Lazer a dit :

Euh ben si, parce que si tu appelles l'API pour exécuter une scène/une fonction d'un QuickApp, tu auras de toute façon besoin de mémoriser le mot de passe dans le script.

juste, mes Google scripts doivent contenir les credentails, mais d'un utilisateur (non admin !) qui peut uniquement exécuter le QA spécifié => j'ai (comme d'hab) raconté une bêtise...

 

il y a 25 minutes, Lazer a dit :

N'espère pas contourner aussi facilement les mécanismes de sécurité, ils sont justement là pour ça !

C'est de la "sécurité" à 2 balles, car ici on parle de backup cripté, pas de restore.

On se doit d'essayer de se montrer plus malin qu'eux 

 

il y a 36 minutes, Lazer a dit :

Si tu veux faire un truc 100% depuis la box, sans dépendre du NAS, alors il faut faire un backup cloud, qui partira vers les serveurs de Fibaro... ça reste finalement la solution la plus fiable pour se prémunir contre la perte définitive de la box, puisque que le cloud permettra de le restaurer sur une nouvelle box. Et pas de dépendance à un NAS externe.

Je trouve le backup local indispensable, car :

1. "pas" de limite de place => avec historique (accessible plus rapidement que via Domocharts/Grafane)
2. on a une sauvegarde qui ne dépends pas de l'humeur de notre FAI ou de celle de Fibaro.

Le backup cloud me semble également indispensable (et tant pis pour l'historique) si on doit migrer de box, et donc uniquement avec les modules z-wave.

Les 2 types de backup sont important pour des raisons différentes.

[Lazer]

Pour résumer :

- le backup local sert en cas de crash de la box => réinstallation et restauration intégrale à l'identique

- le backup cloud sert en cas de panne de la box => bascule vers une nouvelle box

[flacon030]

ils se sont mis a la charte couleur NICE avec ce bleu...

C'est sur que je préférais le orange

[TitiXsi]

A lire les Releases Notes on sent très bien l'orientation propriétaire vers nice... Le zwave n'es plus qu'en support bugfix et le zigbee.... Comment dire... Je pense qu'ils ne veulent pas en entendre parler... Combien de temps allons nous rester en zwave sur fibaro... ?

[Lazer]

il y a une heure, TitiXsi a dit :

Combien de temps allons nous rester en zwave sur fibaro... ?

Bonne question 

[Lazer]

Il y a 22 heures, flacon030 a dit :

ils se sont mis a la charte couleur NICE avec ce bleu...

C'est sur que je préférais le orange

Perso je n'ai jamais trouvé le thème orange très beau.

 

Je préfère les tons bleus.

Mais le souci, c'est qu'il a perdu en contraste, le bleu sur fond bleu ou à d'autre endroits le gris sur fond gris, .... c'est juste illisible.

Le problème a été remonté à Fibaro, espérons qu'ils corrigent le tir rapidement.

 

Modifié le 23 juillet par Lazer

[ericl78]

Il y a 20 heures, TitiXsi a dit :

A lire les Releases Notes on sent très bien l'orientation propriétaire vers nice... Le zwave n'es plus qu'en support bugfix et le zigbee.... Comment dire... Je pense qu'ils ne veulent pas en entendre parler... Combien de temps allons nous rester en zwave sur fibaro... ?

Si ils désirent tuer la HC3 , pourquoi pas ! Jeedom est en déconfiture, Fibaro Bof, je pense que HomeAssistant prend ou gagne du terrain.

[RHODITIS]

New Smart Implant device pairing wizard

A new, dedicated device pairing process in the Yubii mobile application and web interface, where you can easily add and configure your device.

 

Si cela ne concerne effectivement que la configuration, c'est OK mais j'espère que les éléments déjà installés ne seront pas impactés... pas juste avant les vacances alors que mes vannes pour l'arrosage fonctionnent grâce aux Smart Implants.

[Lazer]

Alors déjà on n'installe pas une mise à jour avant d'aller en vacances.

Ensuite on n'installe pas une beta sur un système en production.

Donc si tu respectes ces 2 principes élémentaires, tu n'as aucun risque à avoir

 

En outre, le changelog mentionne que ça s'applique au "pairing", donc à l'inclusion du module... donc ça ne touche pas aux modules déjà en place... bon après ça c'est la théorie, les bugs sont toujours possible, surtout sur une beta. Mais comme vu précédemment, aucun risque puisque tu n'installeras pas une beta sur une box en production la veille de partir en vacances

 

Profite bien !

 

 

[RHODITIS]

Façon élégante de dire, fais pas le c... et tout ira bien :-).

 

Non, le plus inquiétant est surtout le sentiment que Zwave soit en recul...

[Lazer]

En "recul", non je ne diras pas ça, mais il n'y a pas d'avancée.
Dire qu'on attend toujours le moteur Z-Wave v3 en Stable depuis.... 2021 je crois ???

[henri-allauch]

Mais ne dit-on pas que tout ce qui n'avance pas recule ! 

 

Quant aux couleurs, c'est la mode des jeunes graphistes qui ont des yeux neufs et qui n'acceptent plus le noir sur blanc. Certaines revues sont devenues illisibles. C'est pareil pour les ingénieurs du son avec les musiques qui couvrent  les paroles d'un film. 

 

La version stable actuelle est satisfaisante. Les évolutions promises au départ de la Hc3 n' arriveront certainement pas. 

 

 

[jjacques68]

MAJ faite.

RAS pour le moment...