#停用新版登录页面功能

在发布 2023.12中，我们为 Home Assistant 添加了一个重新设计的登录页面。它会检测你是否通过本地家庭网络访问 Home Assistant；如果是，就会显示一个新的登录界面，并展示你的用户资料。如果你是从家庭网络之外访问 Home Assistant，登录页面仍会像以前一样要求你输入用户名和密码。

我们已经听到了社区的担忧：这项功能可能会让你的 Home Assistant 实例在本地网络内遭受用户枚举攻击。一个能够访问你本地网络的恶意行为者，可能获取所有 Home Assistant 用户的姓名和头像，并利用这些信息让攻击你的 Home Assistant 实例变得更容易。

12 月 10 日，我们收到了与此相关的安全问题报告。我们已经接受并发布了对应的 GitHub 安全公告，并在 12 月 14 日发布的 2023.12.3 补丁版中禁用了这个重新设计的登录页面功能。

在研究我们收到的反馈时，一个让我们担忧的发现是：那些在新登录页面上遇到问题的用户，往往使用了配置不正确的反向代理。当反向代理没有正确配置时，Home Assistant 就无法再区分流量究竟来自你的本地家庭网络，还是来自公共网络。这些用户在家庭网络之外访问 Home Assistant 时，也会看到重新设计的登录页面。

为了提升这些用户的网络安全性，我们正在研究如何让 Home Assistant 检测出更多类型的错误代理配置，并向用户发出提醒。

我们之所以重新设计登录页面，是因为我们认为本地家庭网络处于你自己家中的私密空间里，是一个可以安全展示家庭成员信息的受信任环境。我们原本假设，那些尝试在本地网络中登录的用户同样是可信的，也被允许看到其他用户资料，这和微软、苹果、Netflix 以及其他公司在其产品中的假设类似。

话虽如此，我们确实听到了你的声音，也非常认真地看待你的反馈，以及这项功能对错误配置反向代理用户可能带来的安全风险。感谢你提醒我们注意这一点，也感谢你坦诚表达自己的担忧。