Ist nach meinem Verständnis seit der V5.1 dort: „Spezialschalter für Basis Authentifizierung des WebFront User Ordners, welche auch für den 3777 Server (inkl. Connect) gelten.“
Vielleicht kann das ja jemand vom Symcon-Team bestätigen oder ggf. richtigstellen.
Gut zu wissen. Wie konkret ist denn die Gefahr tatsächlich? Kann der „Angreifer“ nur die Skripte ausführen, oder sie sogar verändern?
Im ersten Fall müsste ich kontrollieren, was die Skripte so machen und entscheiden, ob ich damit leben kann (im Fall von IPSHighCharts kann ich das vermutlich).
Ok. Also ist die Empfehlung wohl, ihn mit User und Passwort abzusichern. Das werde ich dann mal tun
Da mir das Thema bislang gar nicht bekannt war, behaupte ich mal, dass es vielen (den meisten?) auch so geht.
@paresy: wäre da nicht ein deutlicherer Hinweis angebracht oder gar eine automatische Prüfung (eventuell beim Start des Dienstes) ob der Ordner genutzt wird?
So wie ich das sehe, betrifft das aktuell alle Zugriffe auf Resourcen, die einen Login via Dialog machen wollen. Dieser kommt aktuell nicht nach draußen und führt zu „Access denied“. Wir schauen mal, ob wir den nicht abfangen können und eine Eingabe anzeigen.
edit: Tatsächlich ist das abfangen insbesondere im Browser gar nicht so einfach. Einen schnellen Fix kann ich hier also leider nicht anbieten. Wir sind aber dran und schauen, was wir da machen können.
Danke für die Rückmeldung - nur hatte ich gehofft, dass es eine kleinere Korrektur ist (da es ja in der alten App mit IPS V7.x jetzt immer noch funktioniert).
Vor genau 10 Jahren hatten wir übrigens ein fast identisches Problem. Damals hat das paresy irgendwie gefixt - vielleicht ist das ja hilfreich?
würde gern das Thema noch einmal nach oben holen (da mich das Problem der Authentifizierung in der neuen App am Umstieg auf die neue Visualisierung hindert):
Darf ich mir Hoffnung auf eine Lösung machen? Mir ist gerade noch die Lösung von @paresy eingefallen, die das gleiche Problem bei der damaligen App-Umstellung beschreibt.
danke nochmals für die Lösung, leider gibt es aber noch ein Problem: Die Credentials werden anscheinend nicht gespeichert, beim Öffnen der App nach Neustart werden diese wieder abgefragt. Kannst Du das bitte noch beheben?
Ich mache in meiner Lösung leider nichts anderes als die Anfrage nach Credentials an einen Dialog weiterzuleiten. Wenn der bestätigt wird, weiß ich noch nicht mal, ob die Daten korrekt waren oder nicht. Daher kann ich nicht „einfach so“ ein Speichern hinzufügen, das wird aufwendiger. Vorerst müsste ich dich also darauf vertrösten, dass du dich wohl jedes mal anmelden musst.
Mittelfristig wäre es sicherlich sinnvoll, HighCharts als Modul mit HTML-SDK anzubieten, dann fällt die ganze Problematik weg und man muss auch keine Skripte hin- und herschieben. Dennoch ist mir natürlich wichtig, dass allgemein HTML-Inhalte mit Login auch in der App funktionieren. Ich sehe HighCharts und den user-Ordner daher nur als Sonderfall für ein allgemeines Feature.
Danke für die Rückmeldung, auch wenn sie das Problem leider nicht löst… Ich sehe das Thema genauso wie Du als einen Anwendungsfall des übergeordneten Fehlers „HTML-Inhalt mit Login im user-Verzeichnis“. Was mich nur wundert, dass es in der alten App (auch mit IPS 7) immer noch funktioniert - was ist da in der neuen App anders? Es sind die selben HTML-Variablen und die selben Skripte…
Ich gebe die Hoffnung nicht auf, dass Ihr da noch eine Lösung findet! Bis dahin warte ich mit der alten App. Danke!
PS: Falls jemand eine Idee hat, wie man die HighCharts über das HTML-SDK einbinden kann, gern her damit Ein eigenes Modul ist für mich eine Nummer zu groß. Die HighCharts sind für mich noch immer die beste Lösung für komplexe Charts.
Ich möchte das Thema gern noch einmal nach oben bringen, da es m.E. ein kritisches Problem in der iOS-App (für alle HTML-Inhalte mit Login) ist, das aktuell nur durch das (sicherheitsrelevante) Ausschalten der Authentifizierung des user-Ordners praktisch zu beheben ist. (Jedes Mal User und Passwort einzugeben für jede einzelne HTML-Box macht die App letztlich nicht benutzbar.)
In den Changelogs der letzten Betas habe ich herauslesen, dass hier etwas geändert wurde. Leider ist der Bug aber immer noch da… Habt Ihr das noch auf dem Radar @Dr.Niels ?
Ja, immer die aktuelle Beta im Testflight. Ich habe zwar den Eindruck, dass die Passwort-Abfrage etwas seltener kommt, aber kann es nicht exakt einer bestimmten Situation zuordnen (Netzwerkwechsel? Zeit?
PS: Bei IPS bin ich auf stable.
PPS: Hab mal auf die IPS beta gewechselt, kein Unterschied…
Ich hatte die Hoffnung, dass in der V8 der App der oben beschriebene Bug behoben ist. Leider funktioniert das noch immer nicht.
Frage an das Entwickler-Team: Können wir noch mit einer Lösung für das Login bei HTML-Boxen rechnen oder muss ich wohl oder übel alle meine HighCharts rausschmeißen? (Die IPS-Charts sind zwar gut, aber es fehlen wichtige Funktionen wie Pie Charts, Bar Stacking, Skalierung).