Plat programátora Arduino

[Bart_]

Ahoj,

zajímalo by mě, kolik si říkáte za programování arduina na běžných deskách (UNO, MEGA, ..). V závislosti na složitosti kódu, např. ovládání relé s webovým rozhraním, sběrem dat ze senzorů a zobrazením na displeji NEXTION?

[pavelve]

Ahoj, ono primárně záleží na tom, jestli jsi to už někdy programoval nebo to děláš poprvé. To co popisuješ může zabrat do 1 dne zkušenému člověku, ale i třeba 2 týdny začátečníkovi. Osobně dávám větší hodinovku na věci, které dělám už po několikáté a nižší na věci, které dělám poprvé. Tím se to snažím vyvažovat. Většinou to stejně se zákazníkem řešíme úkolově, aby předem věděl, kolik to bude stát.

[KamilV]

do 1 dne zkušenému člověku, ale i třeba 2 týdny začátečníkovi

A profíkovi zase třeba ty 2 týdny, protože na rozdíl jen od zkušeného už ví, co všechno musí ošetřit a neudělá webový frontend nebo API pro Arduino plné bezpečnostních chyb. A to si prostě nějaký čas vezme.

[pavelve]

do 1 dne zkušenému člověku, ale i třeba 2 týdny začátečníkovi

A profíkovi zase třeba ty 2 týdny, protože na rozdíl jen od zkušeného už ví, co všechno musí ošetřit a neudělá webový frontend nebo API pro Arduino plné bezpečnostních chyb. A to si prostě nějaký čas vezme.

Pokud jsou kladeny vysoké nároky na webovou bezpečnost a okolnosti to umožňují, je výhodnější použít něco s operačním systémem než Arduino.

[KamilV]

Na Arduinu je client.

[martinius96]

Na Arduinu je client.

To je pravda, ale v prípade útoku napríklad MITM môžeš Arduinu podhodiť to, čo chceš, napríklad do HTTP response. Na základe toho ako má napísaný program mu môžeš ovládať výstupy, alebo čokoľvek, čo obsluhuje prostredníctvom API.

Arduino nemá softvérové možnosti ako ESP32 / ESP8266, ktoré by ti mohlo pomôcť overiť hosta, že sa Arduino pripojilo práve k tomu API, aké si chcel. Čiže u Arduina je určite väčšie riziko bezpečnostných dier ako u ESP. Nehovoriac o tom, že šifrovanú komunikáciu na ňom nerozbehneš.

Takže aj keď bude API kvalitné a nebude obsahovať chyby, tak je tu stále riziko na client-side, že Arduinu niečo podvrhneš, pošleš mu pozmenené dáta.

[KamilV]

Nesouhlasím zcela. Minimálně AES na Arduinu rozběhneš. Součástí requestu také může být nějaký "dotaz" závislý na timestampu a jen správné a originální API do response zahrne validní "odpověď", kterou zase klient může verifikovat.
A jsem zpět u toho, co jsem psal. Čím více má člověk zkušeností (a znalostí), tím více ví, kolik toho je potřeba udělat.
U asymetrických šifer problematika MITM odpadne úplně.
Každý takový projekt je komplexní ekosystém a nejde to zjednodušit jen na "jaký bude klient" a "jaký bude server".
Samozřejmě, na kvalitně udělané API se musí připojovat kvalitně udělaný client.