Merci pour ces détails c’est exactement ça que je cherchais à comprendre.
C’est exactement ce que j’allais dire, tout ce qui viens vers cette Open API n’est pas chiffré.
C’est sûr dès que c’est possible il faut chiffrer, mais ça ne sera pas possible dans tous les cas. Tu as surement raison pour Tasker c’est à étudier, mais je ne le prenais que comme exemple. Il y aura d’autres applications/services dans lesquels ce ne sera pas possible, Totof citait PhoneTrack ici: Utiliser Owntracks avec Gladys 4! - #24 par Totof, les données sont transmises dans une requête HTTP, on ne pourra pas chiffrer depuis l’application. Dans ta présentation du Gateway tu parlais de connexion avec des services exterieurs (Google Assistant, Alexa, IFTTT…) je ne sais pas exactement comment ils fonctionnent mais s’ils ont besoins d’un webhook vers Gladys ça sera le Gateway et une nouvelle fois on ne pourra malheureusement rien y faire. Je comprends tout à fait l’objectif de chiffrer de bout en bout, personnellement je suis totalement pour, et Gladys a entre autre comme points essentiels la sécurité et le respect de la vie privée. Malheureusement dans certains cas il va peut être falloir de la confiance (comme pour OwnTrack), quitte à bien avertir l’utilisateur dans la documentation. On fait notre maximum pour le chiffrement et on est transparent pour le reste.
Pour ce qui est de la liste des routes de l’Open API, je ne sais pas si cela vaut le coup de mettre toutes les routes de Gladys. Je n’ai pas encore beaucoup de scénarios en tête, mais limiter l’Open API à quelques routes qui en ont réellement besoins nous pousserait à vraiment limiter cette exposition des données à la Gateway et nous forcerai à toujours chercher la solution la plus sécurisée.
Comme tu dis la réflexion reste complètement ouverte je vais continuer d’étudier cela ces prochains jours.