Kachel-Visualierung Passwort im GET-Parameter

firebuster · 2. Januar 2025 um 13:17

In der Doku vom Webfront link ist das Übergeben vom Passwort als GET-Parameter erklärt.

Nach Einführung der Kachel-Visualisierung hatte ich auch angemerkt, dass die Funktion dort auch schön wäre.
In der Doku link ist die Funktion nicht dokumentiert.

Die Funktion wurde zwar implementiert funktioniert jedoch noch nicht zuverlässig.
Die URL sieht so aus
192.168.1.123:3777/?password=geheim#12345
wobei „geheim“ das Passwort ist und 12345 die Instanz der Kachel-Visualisierung

Beim starten der Seite wird ein URL Rewrite auf
192.168.1.123:3777/?password=geheim
durchgeführt wodurch ein Reload der Seite dazu führt, dass man auf die Anmeldeseite weiter geleitet wird. (die Visualisierungsinstanz wird ja vielleicht auch im Hintergrund gecached )

Bei mehrmaligem laden der Seite über ein Lesezeichen (mit kompletter URL) funktioniert der Login manchmal.
(Teilweise kommt es aber auch dazu, dass man wegen zu vielen Versuchen ausgesperrt wird)

Da viele Sachen im Browser gespeichert werden wäre es auch sinnvoll Passwort und VisualisierungsID auch im Browser zu speichern und aus der URL komplett zu entfernen.
(ist einfach optisch schöner weil das PW dann außer Sicht ist)

khc · 31. Januar 2025 um 08:42

Hallo Entwickler,

wird es hierzu irgendwann mal eine Lösung geben.
Wäre schön wenn die Funktionalität in der neuen Visu auch funktionieren würde…

VG Heinz

paresy · 11. Februar 2025 um 12:34

Hi,

aktuell haben wir bisher nicht vor diese - ich nenne Sie mal „Sicherheitslücke“ - wieder einzubauen. Was ist euer Use-Case für das Feature? Für einen automatischen Login haben wir ja das viel bessere IP-Autostart, welches ebenfalls sauber ohne Kennwort funktioniert.

paresy

khc · 11. Februar 2025 um 13:20

Ok. Vielen Dank für die Info.

Ich habe das Ganze immer genutzt um z.B. dem Gärtner oder der Putzfrau einen zeitlich beschränkten Zugang zum Haus zu gewähren. Die haben dann den vollständigen Link zugeschickt bekommen. Nach Ablauf des Zugangs wurde automatisch das Pwd. neu gesetzt.
Als Pwd. habe ich eine zufällig generierte GUID verwendet.

Da muss ich mir dann in Zukunft etwas anderes überlegen.

VG Heinz

firebuster · 11. Februar 2025 um 14:13

Gerade wenn man an mehreren Systemen unterwegs ist und auch die verschiedenen Zugänge der Benutzer testet und die Kacheln anpasst geht das mit übergebenem Passwort unglaublich schnell.

Das ganze wird auch von Geräten genutzt, die DHCP verwenden oder z.B. auch über VPN. Hier ist das mit der IP auch schwierig.

lainuks · 11. Februar 2025 um 14:35

IP Autostart funktioniert mit Reverse-Proxy leider nicht. Daher ist auch hier teilweise das Passwort in der URL bisher mehr als praktisch gewesen.